hacktricks/generic-methodologies-and-resources/pentesting-network/glbp-and-hsrp-attacks.md

10 KiB

GLBP & HSRP Aanvalle

Leer AWS hakwerk vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun:

{% embed url="https://websec.nl/" %}

FHRP Kaping Oorsig

Insigte in FHRP

FHRP is ontwerp om netwerkrobuustheid te bied deur meerdere roetery een enkele virtuele eenheid te kombineer, wat sodoende lasverspreiding en fouttoleransie verbeter. Cisco Systems het prominente protokolle in hierdie reeks ingevoer, soos GLBP en HSRP.

GLBP Protokol Insigte

Cisco se skepping, GLBP, funksioneer op die TCP/IP-stapel en maak gebruik van UDP op poort 3222 vir kommunikasie. Routers in 'n GLBP-groep ruil "hallo" pakkette uit elke 3 sekondes. As 'n router nie hierdie pakkette vir 10 sekondes stuur nie, word aanvaar dat dit vanlyn is. Hierdie tydsaanduidings is egter nie vas en kan verander word.

GLBP Operasies en Lasverspreiding

GLBP val op deur lasverspreiding oor roetery met 'n enkele virtuele IP gekoppel aan verskeie virtuele MAC-adresse te aktiveer. In 'n GLBP-groep is elke router betrokke by pakketsending. In teenstelling met HSRP/VRRP, bied GLBP ware lasbalansering deur verskeie meganismes:

  • Gasafhanklike Lasbalansering: Handhaaf 'n konstante AVF MAC-adres toewysing aan 'n gas, noodsaaklik vir stabiele NAT-konfigurasies.
  • Rondom-Robin Lasbalansering: Die verstekbenadering, wisselende AVF MAC-adres toewysing tussen versoekende gasheer.
  • Gewigte Rondom-Robin Lasbalansering: Versprei las gebaseer op voorafbepaalde "Gewig" metriek.

Sleutelkomponente en Terminologieë in GLBP

  • AVG (Aktiewe Virtuele Gateway): Die hoofrouter, verantwoordelik vir die toekenning van MAC-adresse aan eweknie-routers.
  • AVF (Aktiewe Virtuele Stuurder): 'n Router aangewys om netwerkverkeer te bestuur.
  • GLBP Prioriteit: 'n metriek wat die AVG bepaal, begin by 'n verstek van 100 en wissel tussen 1 en 255.
  • GLBP Gewig: Weerspieël die huidige las op 'n router, aanpasbaar of deur middel van Object Tracking.
  • GLBP Virtuele IP-adres: Diens as die netwerk se verstekgateway vir alle gekoppelde toestelle.

Vir interaksies gebruik GLBP die voorbehoude multicast-adres 224.0.0.102 en UDP-poort 3222. Routers stuur "hallo" pakkette elke 3 sekondes en word as nie-operasioneel beskou as 'n pakkie oor 'n 10-sekondes duur gemis word.

GLBP Aanval Mekanisme

'n Aanvaller kan die primêre router word deur 'n GLBP-pakket met die hoogste prioriteitswaarde (255) te stuur. Dit kan lei tot DoS of MITM-aanvalle, wat verkeersonderskepping of -omleiding moontlik maak.

Uitvoering van 'n GLBP Aanval met Loki

Loki kan 'n GLBP-aanval uitvoer deur 'n pakket in te spuit met prioriteit en gewig wat op 255 ingestel is. Voor-aanval stappe behels die insameling van inligting soos die virtuele IP-adres, outentiserings teenwoordigheid, en router prioriteit waardes met behulp van gereedskap soos Wireshark.

Aanvalstappe:

  1. Skakel oor na promiskue modus en aktiveer IP deurstuur.
  2. Identifiseer die teikenrouter en haal sy IP op.
  3. Genereer 'n Gratis ARP.
  4. Spuit 'n kwaadwillige GLBP-pakket in, wat die AVG naboots.
  5. Ken 'n sekondêre IP-adres toe aan die aanvaller se netwerkinterface, wat die GLBP virtuele IP naboots.
  6. Implementeer SNAT vir volledige verkeersigbaarheid.
  7. Pas roetery aan om voortdurende internettoegang deur die oorspronklike AVG-router te verseker.

Deur hierdie stappe te volg, posisioneer die aanvaller homself as 'n "man in die middel," in staat om netwerkverkeer te onderskep en te analiseer, insluitend onversleutelde of sensitiewe data.

Vir demonstrasie, hier is die benodigde opdragfragment:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Passiewe Verduideliking van HSRP Ontvoering met Opdragbesonderhede

Oorsig van HSRP (Hot Standby Router/Redundansieprotokol)

HSRP is 'n Cisco-eienskapsprotokol wat ontwerp is vir netwerkgateway-redundansie. Dit maak die konfigurasie van meerdere fisiese roetery in 'n enkele logiese eenheid met 'n gedeelde IP-adres moontlik. Hierdie logiese eenheid word bestuur deur 'n primêre router wat verantwoordelik is vir die rigting van verkeer. Anders as GLBP, wat metriese soos prioriteit en gewig gebruik vir vragbalansering, steun HSRP op 'n enkele aktiewe router vir verkeersbestuur.

Rolle en Terminologie in HSRP

  • HSRP Aktiewe Router: Die toestel wat as die gateway optree en verkeersvloei bestuur.
  • HSRP Standby Router: 'n Reserwe-router, gereed om oor te neem as die aktiewe router misluk.
  • HSRP Groep: 'n stel roetery wat saamwerk om 'n enkele veerkragtige virtuele router te vorm.
  • HSRP MAC-adres: 'n virtuele MAC-adres wat toegewys is aan die logiese router in die HSRP-opstelling.
  • HSRP Virtuele IP-adres: Die virtuele IP-adres van die HSRP-groep, wat as die verstekgateway vir gekoppelde toestelle optree.

HSRP Weergawes

HSRP kom in twee weergawes, HSRPv1 en HSRPv2, wat hoofsaaklik verskil in groepkapasiteit, multicast IP-gebruik, en virtuele MAC-adresstruktuur. Die protokol maak gebruik van spesifieke multicast IP-adresse vir diensinligtinguitruiling, met Hello-pakette wat elke 3 sekondes gestuur word. 'n Router word as onaktief beskou as geen pakket binne 'n interval van 10 sekondes ontvang word.

HSRP Aanvalsmeganisme

HSRP-aanvalle behels die gedwonge oorneem van die rol van die Aktiewe Router deur 'n maksimum prioriteitswaarde in te spuit. Dit kan lei tot 'n Man-In-The-Middle (MITM)-aanval. Essensiële voor-aanvalstappe sluit in die insameling van data oor die HSRP-opstelling, wat gedoen kan word deur Wireshark vir verkeersontleding te gebruik.

Stappe om HSRP-verifikasie te omseil

  1. Stoor die netwerkverkeer wat HSRP-data bevat as 'n .pcap-lêer.
tcpdump -w hsrp_traffic.pcap
  1. Haal MD5-hashes uit die .pcap-lêer met behulp van hsrp2john.py.
python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
  1. Kraak die MD5-hashes met John the Ripper.
john --wordlist=mywordlist.txt hsrp_hashes

Uitvoering van HSRP-inspuiting met Loki

  1. Lanceer Loki om HSRP-advertensies te identifiseer.
  2. Stel die netwerkintefase in promiskue modus en aktiveer IP-deurverwysing.
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
  1. Gebruik Loki om die spesifieke router te teiken, voer die gekraakte HSRP-wagwoord in, en voer die nodige konfigurasies uit om die Aktiewe Router te simuleer.
  2. Nadat die Aktiewe Routerrol verkry is, konfigureer jou netwerkintefase en IP-tabelle om die wettige verkeer te onderskep.
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  1. Wysig die roetetabel om verkeer deur die vorige Aktiewe Router te roeteer.
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
  1. Gebruik net-creds.py of 'n soortgelyke nut om geloofsbriewe van die onderskepte verkeer vas te vang.
sudo python2 net-creds.py -i eth0

Die uitvoering van hierdie stappe plaas die aanvaller in 'n posisie om verkeer te onderskep en te manipuleer, soortgelyk aan die prosedure vir GLBP-ontvoering. Dit beklemtoon die kwesbaarheid in redundansieprotokolle soos HSRP en die behoefte aan robuuste sekuriteitsmaatreëls.

Verwysings

{% embed url="https://websec.nl/" %}

Leer AWS-hacking vanaf nul tot held met htARTE (HackTricks AWS Red Team Expert)!

Ander maniere om HackTricks te ondersteun: