14 KiB
Атаки GLBP & HSRP
{% hint style="success" %}
Вивчайте та практикуйте взлом AWS: Навчання HackTricks AWS Red Team Expert (ARTE)
Вивчайте та практикуйте взлом GCP: Навчання HackTricks GCP Red Team Expert (GRTE)
Підтримайте HackTricks
- Перевірте плани підписки!
- Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
- Поширюйте хакерські трюки, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.
{% embed url="https://websec.nl/" %}
Огляд Викрадення FHRP
Відомості про FHRP
FHRP призначений для забезпечення надійності мережі шляхом об'єднання кількох маршрутизаторів в один віртуальний блок, що покращує розподіл навантаження та стійкість до відмов. Компанія Cisco Systems представила важливі протоколи в цьому наборі, такі як GLBP та HSRP.
Відомості про протокол GLBP
Створення Cisco, GLBP, працює на стеку TCP/IP, використовуючи UDP на порту 3222 для зв'язку. Маршрутизатори в групі GLBP обмінюються пакетами "hello" кожні 3 секунди. Якщо маршрутизатор не відправляє ці пакети протягом 10 секунд, вважається, що він вийшов з ладу. Однак ці таймери не є фіксованими і можуть бути змінені.
Операції та Розподіл Навантаження в GLBP
GLBP виділяється тим, що дозволяє розподіл навантаження між маршрутизаторами за допомогою однієї віртуальної IP-адреси, пов'язаної з кількома віртуальними MAC-адресами. У групі GLBP кожен маршрутизатор бере участь у пересиланні пакетів. На відміну від HSRP/VRRP, GLBP пропонує справжній балансування навантаження за допомогою кількох механізмів:
- Балансування Навантаження Залежне від Хоста: Забезпечує постійне призначення MAC-адреси AVF хосту, що є важливим для стабільних конфігурацій NAT.
- Кругове Балансування Навантаження: Стандартний підхід, чергування призначення MAC-адреси AVF серед запитуючих хостів.
- Вагове Кругове Балансування Навантаження: Розподіл навантаження на основі попередньо визначених метрик "Вага".
Основні Компоненти та Термінологія в GLBP
- AVG (Активний Віртуальний Шлюз): Основний маршрутизатор, відповідальний за призначення MAC-адрес маршрутизаторам-рівню.
- AVF (Активний Віртуальний Пересилувач): Маршрутизатор, призначений для управління мережевим трафіком.
- Пріоритет GLBP: Метрика, яка визначає AVG, починаючи зі значення за замовчуванням 100 і в діапазоні від 1 до 255.
- Вага GLBP: Відображає поточне навантаження на маршрутизатор, яке можна налаштувати як вручну, так і через відстеження об'єктів.
- Віртуальна IP-адреса GLBP: Використовується як шлюз за замовчуванням мережі для всіх підключених пристроїв.
Для взаємодії GLBP використовує зарезервовану мультікаст-адресу 224.0.0.102 та UDP-порт 3222. Маршрутизатори відправляють пакети "hello" кожні 3 секунди і вважаються неопераційними, якщо пакет пропущено протягом 10 секунд.
Механізм Атаки GLBP
Атакуючий може стати основним маршрутизатором, відправивши пакет GLBP з найвищим значенням пріоритету (255). Це може призвести до атак DoS або MITM, дозволяючи перехоплення або перенаправлення трафіку.
Виконання Атаки GLBP за допомогою Loki
Loki може виконати атаку GLBP, впроваджуючи пакет з встановленим пріоритетом та вагою 255. Перед атакою необхідно зібрати інформацію, таку як віртуальна IP-адреса, наявність аутентифікації та значення пріоритету маршрутизатора за допомогою інструментів, таких як Wireshark.
Кроки Атаки:
- Перейдіть у режим прослуховування та увімкніть пересилання IP.
- Визначте цільовий маршрутизатор та отримайте його IP.
- Створіть вільний ARP.
- Впроваджуйте зловмисний пакет GLBP, видаючи себе за AVG.
- Призначте вторинну IP-адресу мережному інтерфейсу атакуючого, відображаючи віртуальну IP GLBP.
- Реалізуйте SNAT для повної видимості трафіку.
- Налаштуйте маршрутизацію, щоб забезпечити продовжений доступ до Інтернету через оригінальний маршрутизатор AVG.
Виконуючи ці кроки, атакуючий розміщує себе як "людина посередині", здатний перехоплювати та аналізувати мережевий трафік, включаючи незашифровані або чутливі дані.
Для демонстрації, ось необхідні фрагменти команд:
# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
Пасивне пояснення про викрадення HSRP з командними деталями
Огляд HSRP (Протокол гарячого резервування маршрутизатора/протокол забезпечення резервування)
HSRP є пропрієтарним протоколом Cisco, призначеним для забезпечення резервування мережевих шлюзів. Він дозволяє конфігурувати кілька фізичних маршрутизаторів у єдину логічну одиницю зі спільною IP-адресою. Ця логічна одиниця керується основним маршрутизатором, відповідальним за направлення трафіку. На відміну від GLBP, який використовує метрики, такі як пріоритет та вага для балансування навантаження, HSRP покладається на один активний маршрутизатор для керування трафіком.
Ролі та термінологія в HSRP
- Активний маршрутизатор HSRP: пристрій, який діє як шлюз, керуючи потоком трафіку.
- Резервний маршрутизатор HSRP: резервний маршрутизатор, готовий взяти на себе функції активного маршрутизатора у разі його відмови.
- Група HSRP: набір маршрутизаторів, які співпрацюють для утворення одного стійкого віртуального маршрутизатора.
- MAC-адреса HSRP: віртуальна MAC-адреса, призначена для логічного маршрутизатора в налаштуванні HSRP.
- Віртуальна IP-адреса HSRP: віртуальна IP-адреса групи HSRP, яка діє як шлюз за замовчуванням для підключених пристроїв.
Версії HSRP
HSRP має дві версії, HSRPv1 та HSRPv2, що відрізняються головним чином ємністю груп, використанням мультикастових IP-адрес для обміну інформацією та структурою віртуальної MAC-адреси. Протокол використовує конкретні мультикастові IP-адреси для обміну інформацією про послуги, з Hello-пакетами, що відправляються кожні 3 секунди. Маршрутизатор вважається неактивним, якщо не отримано жодного пакета протягом 10 секунд.
Механізм атаки HSRP
Атаки HSRP включають примусове захоплення ролі Активного маршрутизатора шляхом впровадження максимального значення пріоритету. Це може призвести до атаки типу "Людина посередині" (MITM). Необхідні передатактні кроки включають збір даних про налаштування HSRP, що може бути виконано за допомогою Wireshark для аналізу трафіку.
Кроки для обхіду аутентифікації HSRP
- Збережіть мережевий трафік, що містить дані HSRP, у файл .pcap.
tcpdump -w hsrp_traffic.pcap
- Витягніть хеші MD5 з файлу .pcap, використовуючи hsrp2john.py.
python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
- Відкрийте хеші MD5 за допомогою John the Ripper.
john --wordlist=mywordlist.txt hsrp_hashes
Виконання впровадження HSRP за допомогою Loki
- Запустіть Loki для ідентифікації реклам HSRP.
- Встановіть мережевий інтерфейс у режим підслуховування та увімкніть пересилання IP.
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
- Використовуйте Loki для спрямування на конкретний маршрутизатор, введіть розкритий пароль HSRP та виконайте необхідні налаштування для видачі себе за Активний маршрутизатор.
- Після отримання ролі Активного маршрутизатора налаштуйте мережевий інтерфейс та IP-таблиці для перехоплення законного трафіку.
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- Змініть таблицю маршрутизації для маршрутизації трафіку через колишній Активний маршрутизатор.
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
- Використовуйте net-creds.py або подібну утиліту для захоплення облікових даних з перехопленого трафіку.
sudo python2 net-creds.py -i eth0
Виконання цих кроків ставить атакуючого в положення для перехоплення та маніпулювання трафіком, аналогічно процедурі викрадення GLBP. Це підкреслює вразливість протоколів резервування, таких як HSRP, та необхідність надійних заходів безпеки.
Посилання
{% embed url="https://websec.nl/" %}