10 KiB
Attacchi GLBP & HSRP
Impara l'hacking di AWS da zero a esperto con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata su HackTricks o scaricare HackTricks in PDF controlla i PACCHETTI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di NFT esclusivi
- Unisciti al 💬 gruppo Discord o al gruppo Telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi i tuoi trucchi di hacking inviando PR ai repository GitHub di HackTricks e HackTricks Cloud.
Panoramica degli attacchi FHRP Hijacking
Approfondimenti su FHRP
FHRP è progettato per fornire robustezza di rete unendo più router in un'unica unità virtuale, migliorando così la distribuzione del carico e la tolleranza ai guasti. Cisco Systems ha introdotto protocolli di rilievo in questa suite, come GLBP e HSRP.
Approfondimenti sul protocollo GLBP
La creazione di Cisco, GLBP, funziona sullo stack TCP/IP, utilizzando UDP sulla porta 3222 per la comunicazione. I router in un gruppo GLBP scambiano pacchetti "hello" a intervalli di 3 secondi. Se un router non invia questi pacchetti per 10 secondi, si presume che sia offline. Tuttavia, questi timer non sono fissi e possono essere modificati.
Operazioni e distribuzione del carico di GLBP
GLBP si distingue per la distribuzione del carico tra i router utilizzando un singolo indirizzo IP virtuale accoppiato a più indirizzi MAC virtuali. In un gruppo GLBP, ogni router è coinvolto nell'inoltro dei pacchetti. A differenza di HSRP/VRRP, GLBP offre un vero bilanciamento del carico attraverso diversi meccanismi:
- Bilanciamento del carico dipendente dall'host: Mantiene l'assegnazione dell'indirizzo MAC AVF coerente per un host, essenziale per configurazioni NAT stabili.
- Bilanciamento del carico round-robin: L'approccio predefinito, assegnazione alternata dell'indirizzo MAC AVF tra gli host richiedenti.
- Bilanciamento del carico round-robin ponderato: Distribuisce il carico in base a metriche "peso" predefinite.
Componenti chiave e terminologie in GLBP
- AVG (Active Virtual Gateway): Il router principale, responsabile dell'assegnazione degli indirizzi MAC ai router peer.
- AVF (Active Virtual Forwarder): Un router designato per gestire il traffico di rete.
- Priorità GLBP: Una metrica che determina l'AVG, partendo da un valore predefinito di 100 e variando tra 1 e 255.
- Peso GLBP: Riflette il carico corrente su un router, regolabile manualmente o tramite Object Tracking.
- Indirizzo IP virtuale GLBP: Serve come gateway predefinito della rete per tutti i dispositivi connessi.
Per le interazioni, GLBP utilizza l'indirizzo multicast riservato 224.0.0.102 e la porta UDP 3222. I router trasmettono pacchetti "hello" a intervalli di 3 secondi e vengono considerati non operativi se un pacchetto viene perso per una durata di 10 secondi.
Meccanismo di attacco GLBP
Un attaccante può diventare il router primario inviando un pacchetto GLBP con il valore di priorità più alto (255). Ciò può portare a attacchi DoS o MITM, consentendo l'intercettazione o il reindirizzamento del traffico.
Esecuzione di un attacco GLBP con Loki
Loki può eseguire un attacco GLBP iniettando un pacchetto con priorità e peso impostati su 255. I passaggi precedenti all'attacco prevedono la raccolta di informazioni come l'indirizzo IP virtuale, la presenza di autenticazione e i valori di priorità del router utilizzando strumenti come Wireshark.
Passaggi dell'attacco:
- Passare alla modalità promiscua e abilitare l'inoltro IP.
- Identificare il router di destinazione e recuperare il suo indirizzo IP.
- Generare un ARP gratuitous.
- Iniettare un pacchetto GLBP malevolo, impersonando l'AVG.
- Assegnare un indirizzo IP secondario all'interfaccia di rete dell'attaccante, replicando l'indirizzo IP virtuale di GLBP.
- Implementare SNAT per una completa visibilità del traffico.
- Regolare il routing per garantire un accesso continuo a Internet tramite il router AVG originale.
Seguendo questi passaggi, l'attaccante si posiziona come un "uomo nel mezzo", in grado di intercettare e analizzare il traffico di rete, inclusi dati non crittografati o sensibili.
Per la dimostrazione, ecco i frammenti di comando necessari:
# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
Spiegazione passiva dell'hijacking HSRP con dettagli dei comandi
Panoramica di HSRP (Hot Standby Router/Redundancy Protocol)
HSRP è un protocollo proprietario di Cisco progettato per la ridondanza del gateway di rete. Consente la configurazione di più router fisici in un'unica unità logica con un indirizzo IP condiviso. Questa unità logica è gestita da un router primario responsabile del reindirizzamento del traffico. A differenza di GLBP, che utilizza metriche come priorità e peso per il bilanciamento del carico, HSRP si basa su un singolo router attivo per la gestione del traffico.
Ruoli e terminologia in HSRP
- Router attivo HSRP: Il dispositivo che agisce come gateway, gestendo il flusso di traffico.
- Router standby HSRP: Un router di backup, pronto a prendere il controllo se il router attivo fallisce.
- Gruppo HSRP: Un insieme di router che collaborano per formare un singolo router virtuale resiliente.
- Indirizzo MAC HSRP: Un indirizzo MAC virtuale assegnato al router logico nella configurazione HSRP.
- Indirizzo IP virtuale HSRP: L'indirizzo IP virtuale del gruppo HSRP, che agisce come gateway predefinito per i dispositivi connessi.
Versioni di HSRP
HSRP è disponibile in due versioni, HSRPv1 e HSRPv2, che differiscono principalmente per la capacità del gruppo, l'utilizzo di indirizzi IP multicast e la struttura dell'indirizzo MAC virtuale. Il protocollo utilizza specifici indirizzi IP multicast per lo scambio di informazioni di servizio, con pacchetti Hello inviati ogni 3 secondi. Un router viene considerato inattivo se non viene ricevuto alcun pacchetto entro un intervallo di 10 secondi.
Meccanismo di attacco HSRP
Gli attacchi HSRP prevedono il prendere il controllo del ruolo del Router attivo iniettando un valore di priorità massima. Ciò può portare a un attacco Man-In-The-Middle (MITM). I passaggi essenziali prima dell'attacco includono la raccolta di dati sulla configurazione HSRP, che può essere fatta utilizzando Wireshark per l'analisi del traffico.
Passaggi per aggirare l'autenticazione HSRP
- Salvare il traffico di rete contenente i dati HSRP in un file .pcap.
tcpdump -w hsrp_traffic.pcap
- Estrarre gli hash MD5 dal file .pcap utilizzando hsrp2john.py.
python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
- Craccare gli hash MD5 utilizzando John the Ripper.
john --wordlist=mywordlist.txt hsrp_hashes
Esecuzione dell'iniezione HSRP con Loki
- Avviare Loki per identificare le pubblicità HSRP.
- Impostare l'interfaccia di rete in modalità promiscua e abilitare l'inoltro IP.
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
- Utilizzare Loki per prendere di mira il router specifico, inserire la password HSRP craccata e eseguire le configurazioni necessarie per impersonare il Router attivo.
- Dopo aver ottenuto il ruolo di Router attivo, configurare l'interfaccia di rete e le tabelle IP per intercettare il traffico legittimo.
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
- Modificare la tabella di routing per instradare il traffico attraverso l'ex Router attivo.
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
- Utilizzare net-creds.py o un'utilità simile per catturare le credenziali dal traffico intercettato.
sudo python2 net-creds.py -i eth0
Eseguendo questi passaggi, l'attaccante si trova in una posizione per intercettare e manipolare il traffico, simile alla procedura per l'hijacking GLBP. Ciò evidenzia la vulnerabilità dei protocolli di ridondanza come HSRP e la necessità di misure di sicurezza robuste.
Riferimenti
Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!
Altri modi per supportare HackTricks:
- Se vuoi vedere la tua azienda pubblicizzata in HackTricks o scaricare HackTricks in PDF Controlla i PACCHETTI DI ABBONAMENTO!
- Ottieni il merchandising ufficiale di PEASS & HackTricks
- Scopri The PEASS Family, la nostra collezione di esclusive NFT
- Unisciti al 💬 gruppo Discord o al gruppo telegram o seguici su Twitter 🐦 @hacktricks_live.
- Condividi i tuoi trucchi di hacking inviando PR a HackTricks e HackTricks Cloud github repos.