12 KiB
3260 - ISCSIのペンテスト
ゼロからヒーローまでAWSハッキングを学ぶ htARTE(HackTricks AWS Red Team Expert)!
HackTricksをサポートする他の方法:
- HackTricksで企業を宣伝したいまたはHackTricksをPDFでダウンロードしたい場合は、SUBSCRIPTION PLANSをチェックしてください!
- 公式PEASS&HackTricksスワッグを入手する
- The PEASS Familyを発見し、独占的なNFTsのコレクションを見つける
- **💬 Discordグループ**に参加するか、telegramグループに参加するか、Twitter 🐦 @carlospolopmをフォローする
- HackTricksおよびHackTricks CloudのGitHubリポジトリにPRを提出して、あなたのハッキングテクニックを共有する
基本情報
Wikipediaから:
コンピューティングにおいて、iSCSIはInternet Small Computer Systems Interfaceの頭字語であり、データストレージ施設をリンクするためのインターネットプロトコル(IP)ベースのストレージネットワーキング標準です。TCP/IPネットワーク上でSCSIコマンドを運ぶことにより、ストレージデバイスへのブロックレベルアクセスを提供します。iSCSIはイントラネット上でのデータ転送を容易にし、長距離でのストレージ管理を可能にします。これは、データをローカルエリアネットワーク(LAN)、広域ネットワーク(WAN)、またはインターネットを介して転送し、場所に依存しないデータの保存と取得を可能にします。
このプロトコルにより、クライアント(イニシエータ)はリモートサーバー上のストレージデバイス(ターゲット)にSCSIコマンド(CDB)を送信できます。これはストレージエリアネットワーク(SAN)プロトコルであり、組織がストレージをストレージアレイに統合し、クライアント(データベースやWebサーバーなど)にローカルに接続されたSCSIディスクの幻想を提供します。主にFibre Channelと競合しますが、通常専用のケーブリングが必要な従来のFibre Channelとは異なり、iSCSIは既存のネットワークインフラを使用して長距離で実行できます。
デフォルトポート: 3260
PORT STATE SERVICE VERSION
3260/tcp open iscsi?
列挙
nmap -sV --script=iscsi-info -p 3260 192.168.xx.xx
このスクリプトは、認証が必要かどうかを示します。
Brute force
LinuxでiSCSIをマウントする方法
注意: ターゲットが発見されると、異なるIPアドレスの下にリストされることがあります。これは、iSCSIサービスがNAT経由または仮想IP経由で公開されている場合に起こりやすいことです。このような場合、iscsiadmin
は接続に失敗します。これには2つの調整が必要です。1つは、発見活動によって自動的に作成されたノードのディレクトリ名を変更すること、もう1つは、このディレクトリ内に含まれるdefault
ファイルを変更することです。
例えば、ポート3260で123.123.123.123のiSCSIターゲットに接続しようとしています。 iSCSIターゲットを公開しているサーバーは実際には192.168.1.2にありますが、NAT経由で公開されています。isciadmは、_公開_アドレスではなく、_内部_アドレスを登録します。
iscsiadm -m discovery -t sendtargets -p 123.123.123.123:3260
192.168.1.2:3260,1 iqn.1992-05.com.emc:fl1001433000190000-3-vnxe
[...]
このコマンドは、次のようにファイルシステム内にディレクトリを作成します:
/etc/iscsi/nodes/iqn.1992-05.com.emc:fl1001433000190000-3-vnxe/192.168.1.2\,3260\,1/
ディレクトリ内には、ターゲットに接続するために必要なすべての設定が含まれたデフォルトファイルがあります。
1. `/etc/iscsi/nodes/iqn.1992-05.com.emc:fl1001433000190000-3-vnxe/192.168.1.2\,3260\,1/` を `/etc/iscsi/nodes/iqn.1992-05.com.emc:fl1001433000190000-3-vnxe/123.123.123.123\,3260\,1/` に名前を変更します。
2. `/etc/iscsi/nodes/iqn.1992-05.com.emc:fl1001433000190000-3-vnxe/123.123.123.123\,3260\,1/default` 内で、`node.conn[0].address` 設定を 192.168.1.2 の代わりに 123.123.123.123 を指すように変更します。次のようなコマンドで実行できます:`sed -i 's/192.168.1.2/123.123.123.123/g' /etc/iscsi/nodes/iqn.1992-05.com.emc:fl1001433000190000-3-vnxe/123.123.123.123\,3260\,1/default`
リンク内の手順に従って、ターゲットをマウントできます。
### [Windows で ISCSI をマウントする](https://docs.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2008-R2-and-2008/ee338476\(v=ws.10\)?redirectedfrom=MSDN)
## **手動列挙**
sudo apt-get install open-iscsi
例:iscsiadm ドキュメントから:
まず最初に、IP の背後にあるターゲット名をdiscoverする必要があります:
iscsiadm -m discovery -t sendtargets -p 123.123.123.123:3260
123.123.123.123:3260,1 iqn.1992-05.com.emc:fl1001433000190000-3-vnxe
[2a01:211:7b7:1223:211:32ff:fea9:fab9]:3260,1 iqn.2000-01.com.synology:asd3.Target-1.d0280fd382
[fe80::211:3232:fab9:1223]:3260,1 iqn.2000-01.com.synology:Oassdx.Target-1.d0280fd382
注意してください。そこには、ターゲットに到達できるインターフェースのIPとポートが表示されます。使用したものとは異なる内部IPや異なるIPさえも表示されることがあります。
次に、各行の印刷された文字列の2番目の部分(最初の行から_iqn.1992-05.com.emc:fl1001433000190000-3-vnxe_)をキャッチしてログインを試みます。
iscsiadm -m node --targetname="iqn.1992-05.com.emc:fl1001433000190000-3-vnxe" -p 123.123.123.123:3260 --login
Logging in to [iface: default, target: iqn.1992-05.com.emc:fl1001433000190000-3-vnxe, portal: 123.123.123.123,3260] (multiple)
Login to [iface: default, target: iqn.1992-05.com.emc:fl1001433000190000-3-vnxe, portal: 123.123.123.123,3260] successful.
その後、–logout
を使用してログアウトできます。
iscsiadm -m node --targetname="iqn.1992-05.com.emc:fl1001433000190000-3-vnxe" -p 123.123.123.123:3260 --logout
Logging out of session [sid: 6, target: iqn.1992-05.com.emc:fl1001433000190000-3-vnxe, portal: 123.123.123.123,3260]
Logout of [sid: 6, target: iqn.1992-05.com.emc:fl1001433000190000-3-vnxe, portal: 123.123.123.123,3260] successful.
より多くの情報を見つけることができます。--login
/--logout
パラメータを使用せずに。
iscsiadm -m node --targetname="iqn.1992-05.com.emc:fl1001433000190000-3-vnxe" -p 123.123.123.123:3260
# BEGIN RECORD 2.0-873
node.name = iqn.1992-05.com.emc:fl1001433000190000-3-vnxe
node.tpgt = 1
node.startup = manual
node.leading_login = No
iface.hwaddress = <empty>
iface.ipaddress = <empty>
iface.iscsi_ifacename = default
iface.net_ifacename = <empty>
iface.transport_name = tcp
iface.initiatorname = <empty>
iface.bootproto = <empty>
iface.subnet_mask = <empty>
iface.gateway = <empty>
iface.ipv6_autocfg = <empty>
iface.linklocal_autocfg = <empty>
iface.router_autocfg = <empty>
iface.ipv6_linklocal = <empty>
iface.ipv6_router = <empty>
iface.state = <empty>
iface.vlan_id = 0
iface.vlan_priority = 0
iface.vlan_state = <empty>
iface.iface_num = 0
iface.mtu = 0
iface.port = 0
node.discovery_address = 192.168.xx.xx
node.discovery_port = 3260
node.discovery_type = send_targets
node.session.initial_cmdsn = 0
node.session.initial_login_retry_max = 8
node.session.xmit_thread_priority = -20
node.session.cmds_max = 128
node.session.queue_depth = 32
node.session.nr_sessions = 1
node.session.auth.authmethod = None
node.session.auth.username = <empty>
node.session.auth.password = <empty>
node.session.auth.username_in = <empty>
node.session.auth.password_in = <empty>
node.session.timeo.replacement_timeout = 120
node.session.err_timeo.abort_timeout = 15
node.session.err_timeo.lu_reset_timeout = 30
node.session.err_timeo.tgt_reset_timeout = 30
node.session.err_timeo.host_reset_timeout = 60
node.session.iscsi.FastAbort = Yes
node.session.iscsi.InitialR2T = No
node.session.iscsi.ImmediateData = Yes
node.session.iscsi.FirstBurstLength = 262144
node.session.iscsi.MaxBurstLength = 16776192
node.session.iscsi.DefaultTime2Retain = 0
node.session.iscsi.DefaultTime2Wait = 2
node.session.iscsi.MaxConnections = 1
node.session.iscsi.MaxOutstandingR2T = 1
node.session.iscsi.ERL = 0
node.conn[0].address = 192.168.xx.xx
node.conn[0].port = 3260
node.conn[0].startup = manual
node.conn[0].tcp.window_size = 524288
node.conn[0].tcp.type_of_service = 0
node.conn[0].timeo.logout_timeout = 15
node.conn[0].timeo.login_timeout = 15
node.conn[0].timeo.auth_timeout = 45
node.conn[0].timeo.noop_out_interval = 5
node.conn[0].timeo.noop_out_timeout = 5
node.conn[0].iscsi.MaxXmitDataSegmentLength = 0
node.conn[0].iscsi.MaxRecvDataSegmentLength = 262144
node.conn[0].iscsi.HeaderDigest = None
node.conn[0].iscsi.DataDigest = None
node.conn[0].iscsi.IFMarker = No
node.conn[0].iscsi.OFMarker = No
# END RECORD
基本的なサブネット列挙プロセスを自動化するスクリプトが iscsiadm で利用可能です
Shodan
port:3260 AuthMethod
参考文献
- https://bitvijays.github.io/LFF-IPS-P2-VulnerabilityAnalysis.html
- https://ptestmethod.readthedocs.io/en/latest/LFF-IPS-P2-VulnerabilityAnalysis.html#iscsiadm
ゼロからヒーローまでのAWSハッキングを学ぶ htARTE (HackTricks AWS Red Team Expert)!
HackTricks をサポートする他の方法:
- HackTricks で企業を宣伝したい または HackTricks をPDFでダウンロードしたい場合は SUBSCRIPTION PLANS をチェックしてください!
- 公式PEASS&HackTricksスウォッグ を手に入れる
- The PEASS Family を発見し、独占的な NFTs のコレクションを見つける
- **💬 Discordグループ に参加するか、telegramグループ に参加するか、Twitter 🐦 @carlospolopm をフォローしてください。
- HackTricks と HackTricks Cloud のGitHubリポジトリにPRを提出して、あなたのハッキングトリックを共有してください。