17 KiB
161,162,10161,10162/udp - SNMP Pentesting
AWS hacklemeyi sıfırdan kahraman olmak için htARTE (HackTricks AWS Kırmızı Takım Uzmanı)!
HackTricks'ı desteklemenin diğer yolları:
- Şirketinizi HackTricks'te reklamınızı görmek veya HackTricks'i PDF olarak indirmek için ABONELİK PLANLARI'na göz atın!
- Resmi PEASS & HackTricks ürünlerini edinin
- The PEASS Ailesi'ni keşfedin, özel NFT'lerimiz koleksiyonumuz
- 💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'u takip edin.
- Hacking hilelerinizi HackTricks ve HackTricks Cloud github reposuna PR göndererek paylaşın.
Bounty ipucu: Intigriti'ye kaydolun, hackerlar tarafından oluşturulan bir premium bounty platformu! Bugün https://go.intigriti.com/hacktricks adresinde bize katılın ve $100,000'e kadar ödüller kazanmaya başlayın!
{% embed url="https://go.intigriti.com/hacktricks" %}
Temel Bilgiler
SNMP - Basit Ağ Yönetim Protokolü, ağdaki farklı cihazları (router'lar, switch'ler, yazıcılar, IoT'ler gibi) izlemek için kullanılan bir protokoldür.
PORT STATE SERVICE REASON VERSION
161/udp open snmp udp-response ttl 244 ciscoSystems SNMPv3 server (public)
{% hint style="info" %} SNMP, ayrıca tuzağı için 162/UDP bağlantı noktasını kullanır. Bunlar, açıkça istenmeyen SNMP sunucusundan istemciye gönderilen veri paketleridir. {% endhint %}
MIB
SNMP erişiminin üreticiler arasında ve farklı istemci-sunucu kombinasyonlarıyla çalışmasını sağlamak için Yönetim Bilgi Tabanı (MIB) oluşturulmuştur. MIB, cihaz bilgilerini depolamak için bağımsız bir formattır. MIB, bir cihazın sorgulanabilir SNMP nesnelerinin bir standartlaştırılmış ağaç hiyerarşisinde listelendiği bir metin dosyasıdır. En az bir Nesne Tanımlayıcı (OID) içerir ve gerekli benzersiz adresin yanı sıra bir ad, ayrıca ilgili nesnenin türü, erişim hakları ve açıklaması hakkında bilgi sağlar.
MIB dosyaları, Abstract Syntax Notation One (ASN.1) tabanlı ASCII metin formatında yazılır. MIB'ler veri içermez, ancak hangi bilginin nerede bulunacağını ve nasıl görüneceğini açıklar, belirli OID için dönen değerleri veya hangi veri türünün kullanıldığını açıklar.
OID'ler
Nesne Tanımlayıcıları (OID'ler) önemli bir rol oynar. Bu benzersiz tanımlayıcılar, bir Yönetim Bilgi Tabanı (MIB) içindeki nesneleri yönetmek için tasarlanmıştır.
MIB nesne kimliklerinin en üst düzeyleri veya OID'ler, çeşitli standart belirleme kuruluşlarına tahsis edilir. Bu üst düzeylerde, küresel yönetim uygulamaları ve standartlarının çerçevesi belirlenir.
Ayrıca, satıcılara özel dallar oluşturma özgürlüğü verilir. Bu dallar içinde, kendi ürün hatlarıyla ilgili yönetilen nesneleri dahil etme özerkliğine sahiptirler. Bu sistem, farklı satıcılar ve standartlar arasında çeşitli nesnelerin tanımlanması ve yönetilmesi için yapılandırılmış ve düzenli bir yöntem olduğunu sağlar.
Bir OID ağacı üzerinde gezebilirsiniz buradan: http://www.oid-info.com/cgi-bin/display?tree=#focus veya bir OID'nin ne anlama geldiğini görebilirsiniz (örneğin 1.3.6.1.2.1.1) http://oid-info.com/get/1.3.6.1.2.1.1'e erişerek.
1.3.6.1.2.1 içindeki gibi bazı tanınmış OID'ler vardır, bu da MIB-2 tarafından tanımlanan Basit Ağ Yönetim Protokolü (SNMP) değişkenlerine atıfta bulunur. Ve bu olandan bekleyen OID'ler ile bazı ilginç ana bilgisayar verilerine (sistem verileri, ağ verileri, işlem verileri...) ulaşabilirsiniz.
OID Örneği
1 . 3 . 6 . 1 . 4 . 1 . 1452 . 1 . 2 . 5 . 1 . 3. 21 . 1 . 4 . 7
Bu adresin ayrıntıları aşağıda verilmiştir.
- 1 - Bu ISO olarak adlandırılır ve bu bir OID olduğunu belirtir. Bu nedenle, tüm OID'ler "1" ile başlar.
- 3 - Bu ORG olarak adlandırılır ve cihazı oluşturan organizasyonu belirtmek için kullanılır.
- 6 - Bu dod veya İlk olarak İnternet'i kuran kuruluş olan Savunma Bakanlığıdır.
- 1 - Bu, tüm iletişimin İnternet üzerinden gerçekleşeceğini belirtmek için internetin değeridir.
- 4 - Bu değer, bu cihazın bir devlet değil, özel bir kuruluş tarafından yapıldığını belirler.
- 1 - Bu değer, cihazın bir kurumsal veya işletme birimi tarafından yapıldığını belirtir.
Bu ilk altı değer, tüm cihazlar için aynı olma eğilimindedir ve bunlar hakkında temel bilgileri verir. Bu sayı dizisi, cihaz hükümet tarafından yapıldığında hariç olmak üzere, tüm OID'ler için aynı olacaktır.
Sonraki sayı kümesine geçelim.
- 1452 - Bu cihazı üreten kuruluşun adını verir.
- 1 - Cihazın türünü açıklar. Bu durumda, bir alarm saati.
- 2 - Bu cihazın bir uzak terminal ünitesi olduğunu belirler.
Değerlerin geri kalanı cihaz hakkında özel bilgiler verir.
- 5 - Ayrık bir alarm noktasını belirtir.
- 1 - Cihazdaki belirli nokta
- 3 - Bağlantı noktası
- 21 - Bağlantı noktasının adresi
- 1 - Bağlantı noktası için ekran
- 4 - Nokta numarası
- 7 - Noktanın durumu
SNMP Sürümleri
SNMP'nin 2 önemli sürümü vardır:
- SNMPv1: Ana sürüm, hala en yaygın olanıdır, kimlik doğrulama bir dizeye (topluluk dizesi) dayanır ve tüm bilgiler düz metin olarak iletilir. Sürüm 2 ve 2c de trafiği düz metin olarak gönderir ve kimlik doğrulaması için bir topluluk dizesi kullanır.
- SNMPv3: Daha iyi bir kimlik doğrulama biçimi kullanır ve bilgiler, (sözlük saldırısı gerçekleştirilebilir, ancak SNMPv1 ve v2'den doğru kimlik bilgilerini bulmak çok daha zor olur) şifrelenmiş olarak iletilir.
Topluluk Dizeleri
Daha önce belirtildiği gibi, MIB'de kaydedilen bilgilere erişmek için sürüm 1 ve 2/2c'de topluluk dizesini, sürüm 3'te kimlik bilgilerini bilmek gerekmektedir.
2 tür topluluk dizesi vardır:
publicgenellikle salt okunur işlevlerprivategenellikle Oku/Yaz işlevler
Bir OID'nin yazılabilirliği kullanılan topluluk dizesine bağlıdır, bu yüzden herhangi bir "public" kullanıldığını bulsanız bile, bazı değerleri yazabilirsiniz. Ayrıca, her zaman "Salt Okunur" olan nesneler olabilir.
Bir nesneyi yazmaya çalışırsanız, noSuchName veya readOnly hatası alırsınız.
1 ve 2/2c sürümlerinde geçersiz bir topluluk dizesi kullanırsanız sunucu yanıt vermez. Bu nedenle, yanıt veriyorsa, geçerli bir topluluk dizesi kullanılmıştır.
Bağlantı Noktaları
- SNMP ajanı, UDP bağlantı noktası 161 üzerinden istekleri alır.
- Yönetici, bildirimleri (Tuzağa ve Bilgi İsteği) bağlantı noktası 162 üzerinden alır.
- Taşıma Katmanı Güvenliği veya
SNMP Numaralandırma
Cihazdan toplanan her OID'nin ne anlama geldiğini görmek için aşağıdakilerin kurulması önerilir:
apt-get install snmp-mibs-downloader
download-mibs
# Finally comment the line saying "mibs :" in /etc/snmp/snmp.conf
sudo vi /etc/snmp/snmp.conf
Eğer geçerli bir topluluk dizesi biliyorsanız, verilere SNMPWalk veya SNMP-Check kullanarak erişebilirsiniz:
snmpbulkwalk -c [COMM_STRING] -v [VERSION] [IP] . #Don't forget the final dot
snmpbulkwalk -c public -v2c 10.10.11.136 .
snmpwalk -v [VERSION_SNMP] -c [COMM_STRING] [DIR_IP]
snmpwalk -v [VERSION_SNMP] -c [COMM_STRING] [DIR_IP] 1.3.6.1.2.1.4.34.1.3 #Get IPv6, needed dec2hex
snmpwalk -v [VERSION_SNMP] -c [COMM_STRING] [DIR_IP] NET-SNMP-EXTEND-MIB::nsExtendObjects #get extended
snmpwalk -v [VERSION_SNMP] -c [COMM_STRING] [DIR_IP] .1 #Enum all
snmp-check [DIR_IP] -p [PORT] -c [COMM_STRING]
nmap --script "snmp* and not snmp-brute" <target>
braa <community string>@<IP>:.1.3.6.* #Bruteforce specific OID
Genişletilmiş sorgular (download-mibs) sayesinde aşağıdaki komutla sistem hakkında daha fazla bilgi tespit etmek mümkündür:
snmpwalk -v X -c public <IP> NET-SNMP-EXTEND-MIB::nsExtendOutputFull
SNMP, ağ hakkında birçok bilgiye sahiptir ve ilginizi çekebilecek şeyler şunlardır: Ağ arayüzleri (IPv4 ve IPv6 adresi), Kullanıcı adları, Çalışma süresi, Sunucu/İşletim sistemi sürümü ve çalışan işlemler (şifreler içerebilir)....
Tehlikeli Ayarlar
Ağ yönetimi alanında, belirli yapılandırmalar ve parametreler kapsamlı izleme ve kontrol sağlamak için önemlidir.
Erişim Ayarları
Ağ yönetiminde önemli bir bileşen olan tam OID ağacına erişimi sağlayan iki ana ayar vardır:
-
rwuser noauth, kimlik doğrulama gerektirmeksizin OID ağacına tam erişime izin vermek için ayarlanır. Bu ayar açıktır ve sınırsız erişime izin verir. -
Daha spesifik kontrol için erişim, aşağıdaki şekilde sağlanabilir:
- IPv4 adresleri için
rwcommunityve - IPv6 adresleri için
rwcommunity6.
Her iki komut da bir topluluk dizesi ve ilgili IP adresini gerektirir, isteğin kaynağına bakılmaksızın tam erişim sağlar.
Microsoft Windows için SNMP Parametreleri
SNMP aracılığıyla Windows sistemlerin çeşitli yönlerini izlemek için bir dizi Yönetim Bilgi Tabanı (MIB) değeri kullanılır:
- Sistem İşlemleri:
1.3.6.1.2.1.25.1.6.0üzerinden erişilen bu parametre, sistem içindeki etkin işlemlerin izlenmesine olanak sağlar. - Çalışan Programlar:
1.3.6.1.2.1.25.4.2.1.2değeri, şu anda çalışan programları takip etmek için kullanılır. - İşlemler Yolu: Bir işlemin nereden çalıştığını belirlemek için
1.3.6.1.2.1.25.4.2.1.4MIB değeri kullanılır. - Depolama Birimleri: Depolama birimlerinin izlenmesi,
1.3.6.1.2.1.25.2.3.1.4ile sağlanır. - Yazılım Adı: Bir sistemde yüklü olan yazılımı tanımlamak için
1.3.6.1.2.1.25.6.3.1.2kullanılır. - Kullanıcı Hesapları:
1.3.6.1.4.1.77.1.2.25değeri, kullanıcı hesaplarının takibine olanak sağlar. - TCP Yerel Portları: Son olarak,
1.3.6.1.2.1.6.13.1.3TCP yerel portlarının izlenmesi için ayrılmıştır ve etkin ağ bağlantıları hakkında bilgi sağlar.
Cisco
Eğer Cisco ekipmanına sahipseniz, bu sayfaya göz atın:
{% content-ref url="cisco-snmp.md" %} cisco-snmp.md {% endcontent-ref %}
SNMP'den RCE'ye
SNMP hizmeti içinde değer yazmanıza izin veren bir dizeye sahipseniz, bunu komutları yürütmek için kötüye kullanabilirsiniz:
{% content-ref url="snmp-rce.md" %} snmp-rce.md {% endcontent-ref %}
Kitlesel SNMP
Braa , kitlesel bir SNMP tarama aracıdır. Bu tür bir aracın amaçlanan kullanımı, tabii ki, SNMP sorguları yapmaktır - ancak net-snmp'den snmpwalk gibi, düzinelerce veya yüzlerce ana bilgisayara aynı anda ve tek bir işlemde sorgu yapabilir ve taramayı ÇOK hızlı bir şekilde gerçekleştirir.
Braa, kendi SNMP yığınına sahiptir, bu nedenle net-snmp gibi SNMP kütüphanelerine ihtiyaç duymaz.
Syntax: braa [Topluluk dizesi]@[SNMP sunucusunun IP'si]:[iso kimliği]
braa ignite123@192.168.1.125:.1.3.6.*
Bu, manuel olarak işleyemeyeceğiniz birçok MB bilgi çıkarabilir.
Öyleyse, en ilginç bilgilere bakalım (https://blog.rapid7.com/2016/05/05/snmp-data-harvesting-during-penetration-testing/):
Cihazlar
İşlem, her dosyadan cihazları tanımlamak için sysDesc MIB verilerinin (1.3.6.1.2.1.1.1.0) çıkarılmasıyla başlar. Bunun için bir grep komutu kullanılır:
grep ".1.3.6.1.2.1.1.1.0" *.snmp
Özel Dizeyi Tanımlama
Özellikle Cisco IOS yönlendiricilerinde kullanılan özel topluluk dizesini tanımlamak önemli bir adımdır. Bu dize, yönlendiricilerden çalışan yapılandırmaların çıkarılmasını sağlar. Tanımlama genellikle "trap" kelimesini içeren SNMP Trap verilerinin bir grep komutu ile analizine dayanır:
grep -i "trap" *.snmp
Kullanıcı Adları/Şifreler
MIB tablolarında depolanan günlükler, yanlış giriş denemelerini içerebilecek şekilde incelenir ve bu yanlış giriş denemeleri sırasında kullanıcı adı olarak girilen şifreler kazara bulunabilir. Değerli verileri bulmak için fail, failed veya login gibi anahtar kelimeler aranır:
grep -i "login\|fail" *.snmp
E-postalar
Son olarak, verilerden e-posta adreslerini çıkarmak için, e-posta formatlarına uyan desenlere odaklanan bir düzenli ifade ile bir grep komutu kullanılır:
grep -E -o "\b[A-Za-z0-9._%+-]+@[A-Za-z0-9.-]+\.[A-Za-z]{2,6}\b" *.snmp
SNMP değerlerini değiştirme
Değerleri değiştirmek için NetScanTools kullanabilirsiniz. Bunun için private string'i bilmelisiniz.
Spoofing
Eğer SMNP servisine sadece belirli IP'lerin sorgu yapmasına izin veren bir ACL varsa, UDP paketi içinde bu adreslerden birini sahteleyebilir ve trafiği izleyebilirsiniz.
SNMP Yapılandırma dosyalarını inceleme
- snmp.conf
- snmpd.conf
- snmp-config.xml
HackTricks Otomatik Komutları
Protocol_Name: SNMP #Protocol Abbreviation if there is one.
Port_Number: 161 #Comma separated if there is more than one.
Protocol_Description: Simple Network Managment Protocol #Protocol Abbreviation Spelled out
Entry_1:
Name: Notes
Description: Notes for SNMP
Note: |
SNMP - Simple Network Management Protocol is a protocol used to monitor different devices in the network (like routers, switches, printers, IoTs...).
https://book.hacktricks.xyz/pentesting/pentesting-snmp
Entry_2:
Name: SNMP Check
Description: Enumerate SNMP
Command: snmp-check {IP}
Entry_3:
Name: OneSixtyOne
Description: Crack SNMP passwords
Command: onesixtyone -c /usr/share/seclists/Discovery/SNMP/common-snmp-community-strings-onesixtyone.txt {IP} -w 100
Entry_4:
Name: Nmap
Description: Nmap snmp (no brute)
Command: nmap --script "snmp* and not snmp-brute" {IP}
Entry_5:
Name: Hydra Brute Force
Description: Need Nothing
Command: hydra -P {Big_Passwordlist} -v {IP} snmp
Bug bounty ipucu: Intigriti'ye kaydolun, hackerlar tarafından oluşturulan bir premium bug bounty platformu! Bugün https://go.intigriti.com/hacktricks adresine katılın ve $100,000'e kadar ödüller kazanmaya başlayın!
{% embed url="https://go.intigriti.com/hacktricks" %}
htARTE (HackTricks AWS Red Team Expert) ile sıfırdan kahraman olmak için AWS hacklemeyi öğrenin!
HackTricks'ı desteklemenin diğer yolları:
- Şirketinizi HackTricks'te reklamını görmek isterseniz veya HackTricks'i PDF olarak indirmek isterseniz ABONELİK PLANLARI'na göz atın!
- Resmi PEASS & HackTricks ürünlerini edinin
- The PEASS Family koleksiyonumuzdaki özel NFT'leri keşfedin
- 💬 Discord grubuna veya telegram grubuna katılın veya Twitter 🐦 @carlospolopm'ı takip edin.
- Hacking hilelerinizi HackTricks ve HackTricks Cloud github reposuna PR göndererek paylaşın.