首页    新闻    下载    文档    论坛     最新漏洞    黑客教程    数据库    搜索    小榕软件实验室怀旧版    星际争霸WEB版    最新IP准确查询   
名称: 密码:      忘记密码  马上注册

正在浏览:   1 名游客





Cisco路由入侵艺术
网站管理员
注册日期:
1970/1/1 8:00
所属群组:
网站管理员
帖子: 7077
等级: 58; EXP: 5
HP : 0 / 1426
MP : 2359 / 209546
离线
Cisco路由入侵艺术
奔流不息的网络里,Web绽放着绚丽的色彩、电子邮件呼哧的穿梭网际、语音电话、网络
会议、文件传输,各种数据交织错落,形成辉煌的数字世界。在喧闹的数字世界底层,
存在一种精致的次序,这种次序决定着数据的选路、异构介质衔接、协议的交互等功能
。而这一次序的缔造者正是布满整个网络的路由器。于是,路由器成了数据通信的交通
亭,也成为了众多黑帽(Blackhat)争夺的目标之一。
Cisco路由器占据这网络世界的绝对位置,于是安全焦点效应激发了路由入侵与防御而产
生的精美艺术。下面我将由浅入深的方式讲述Cisco入侵的手段以及防御策略。
【路由器感冒】
路由器从本身的IOS来说,并不是一个健壮的体系,因而它偶尔也会让自己感冒发烧。系
统感冒发烧起来,抵抗力自然就降低不少。

*IOS自身欺骗
Cisco路由器是用IOS系统来实现路由的细节功能,因此它是路由系统的灵魂。Show命令
的在线系统方式却为我们打开一个偷窥之门。
众所周知,Cisco路由器中,一般用户只能查看路由器的很少信息。而能进入特权模式的
用户才有资格查看全部信息和修改路由。一般模式下,show的在线帮助系统不会列表所
有可用的命令,虽然75个show的扩展参数只能用于特权模式下(enable),实际上只有13
个受到限制。这意味着一般用户(非特权用户)可以查看访问列表或其他路由安全相关
信息。
重要安全相关的ACL信息可以被登录路由的非特权用户查看,诸如:
#show access-lists
#show ip prot
#show ip ospf dat
#sh ip eigrp top
等命令可以在非特权模式下泄露网络敏感信息。通过这些命令,我们能得出路由器配置
的大致情况,这对采取进一步的入侵起到辅助作用。不过由于这种方式需要用户已经有
一个登录帐户,因此得到这样的信息有一定难度。

*WCCP暗道
Cisco在IOS 11.2版本中引入WCCP(Web Cache Control Protocol),为Cisco缓存引擎提
供协议通信。Cisco缓存引擎为www提供透明缓存服务。缓存引擎用WCCP来和其他cisco路
由器通信。路由器把HTTP数据发送到缓存引擎主机中。
虽然这种方式默认是关闭的。假如使能(enable)的话,那么WCCP本身是没有认证机制的
。路由器将会把每一个发送合法缓存引擎类型的Hello包的主机认为缓存引擎,于是把H
TTP数据缓存到那台主机。这意味着恶意用户可以通过这种方式获取信息。
通过这种方式,攻击者可以截获站点认证信息,包括站点密码;替代实际WEB内容为自己
设计的陷阱;通过路由彻底破坏Web提供的服务。这种方式,可以完全规避登录烦琐的攻
击方法,对Web提供全面而且致命的打击。
我们既可关闭WCCP的启用机制,也可通过ACL阻止WCCP发送HTTP流量给不信任主机来防止
这样的恶劣情况发生。


*HTTP服务的困惑
Cisco在IOS版本加入了远程管理路由的Web特性,这对于新羽(newbie)的管理员来,无疑
是值得高兴的事情。但引入方便的同时,隐患也随之进入。
1.基于拒绝式服务攻击的HTTP的漏洞
    Cisco路由启用(enable)远程WEB管理,很容易遭受DoS。这种DoS能导致路由器
停止对网络请求的响应。这是功能是Cisco路由的内嵌功能。但启用这个特性,通过构造
一个简单的Http请求就会造成DoS攻击:
/%% target=_blank>http://bbs.ccxx.net
这种请求导致路由停止响应,甚至引起路由器执行硬重置(hard reset)。

2.基于HTTP服务器查询的漏洞
Cisco 安全建议小组在2000年10月30日公布了这个漏洞。IOS 11.0引入通过Web方式管理
路由。”?”是HTML规范中定义的CGI参数的分界符。它也被IOS命令行接口解释成请求帮
助。在IOS 12.0中,当问号邻接于”/”,URL解释器就不能正确解释其含义。当一个包
括”?/”的URL对路由器HTTP服务器进行请求,并且提供一个有效的启用口令,则路由器
进入死循环。因而引起路由崩溃并重起。
如果http起用,浏览
http://bbs.ccxx.net
并且提供特权口令,则可以导致DoS攻击,导致路由停机或者重启。
除了让路由死亡之外,Http额外提供了一种可怕权限提升的漏洞,如下所论。

3.Cisco IOS 认证漏洞
    当HTTP服务器启用并且使用本地用户认证方式。在某些条件,可以绕过认证并
执行设备上的任何命令。用户可以对设备完全的控制。所有命令都将以最高特权执行(l
evel 15)。
使用username 和password的路由设备帐户认证方式,构造如下URL:
http://bbs.ccxx.net
(注:xx代表16至99之间的84种不同的组合攻击,因为路由器硬件类型众多,而IOS版本
也存在不同,因此针对不同的路由器类型,攻击组合数字不同。)
通过这种方式,攻击者可以完全控制路由并可以改变路由表配置。这种可怕的事实让网
管也感到惊悸。这种完整的控制方式将是网站数据通信枢纽的致命一击。

虽然Http漏洞带来如此之多的漏洞,但这种漏洞最主要原因是因为启用http服务器管理
路由的缘故,由于这种管理是种命令行方式的替代物,因此对于熟练的网管来说,没有
必要启动这种危害性很大的服务。
#no ip http server 的路由配置也成为时髦的安全配置语句。


【在SNMP中行走】
谈到Cisco路由的安全性,我们就必须涉及到SNMP这个看似简单,实际扮演着重要角色的
协议,正因为它的存在,路由器的入侵变的丰富有趣多了。

*SNMP基础简介:
每个SNMP启用的路由设备都包含一个叫做管理信息模块(MIB),这是一种包含简单等级
的数据目录结构,在这种树结构中包含设备各种信息。SNMP基本的命令GET,可以检索M
IB的信息,而SET命令则可设置MIB变量。一种用于监控和管理CISCO路由的的软件工具是
MRTG,至于如何配置其用于Cisco设备的监控可以参阅LOG的《怎样在Windows NT/2K下安
装MRTG》一文(http://bbs.ccxx.net
在路由器中配置SNMP的方法如下:
(conf)#snmp-server community readonly RO
(conf)#snmp-server community readwrite RW
SNMP协议通过社区(community)字串的概念赋予对设备MIB访问的权限。上例中,设置了
只读访问的社区字串readonly和可进行读写操作的readwrite社区字串。而大部分管理员
喜欢使用public和private设置只读字串和读写字串,疏不知,这样轻易的结果将给网络
带来巨大的波动。我们可以在【触及RouterKit】部分清楚认识到这种危害。
通过SNMP我们可以方便管理和监控Cisco的设备(参阅Log文章介绍),同时也给攻击者带
来可乘之机。

*Cisco IOS软件SNMP读写ILMI社区字串漏洞
ILMI是一个独立的工业标准,用于配置ATM接口。MIB是一个树形结构,包括操作(只读)
数据以及配置(读写)选项。在有漏洞的设备上,通过在SNMP请求中指定一个ILMI社团字
符串,可以访问整个树形管理结构中三个特定部分的:MIB-II系统组,LAN-EMULATION-
CLIENT MIB以及PNNI(Private Network-to-Network Interface)MIB。每一部分的子集
都可以使用相同的“ILMI”社团字符串修改。
MIB-II系统组包括设备本身的基本信息。能被修改的数目虽然是有限的。例如包括:
system.sysContact.
system.sysLocation.
system.sysName.
Cisco IOS软件版本11.x和12.0允许使用一个非文档的ILMI社区字串未经授权就查看和修
改某些SNMP。其中就包括诸如上面所说的"sysContact","sysLocation",和"sysName",虽
然修改它们不会影响设备的正常操作,但如果意外修改可能会产生混乱。剩下的包含于L
AN-EMULATION-CLIENT和PNNI MIBs,修改这些可以影响ATM配置。如果没有防止未授权使
用ILMI社团字符串,一台有漏洞的路由器可能会遭受DoS攻击。
如果SNMP请求可以被有漏洞的设备接收,那么没有适当授权,就可以访问某些MIB,违背
了保密性。没有授权就可以修改可读MIB的子集,破坏了完整性。而更具有危害性的方法
是向SNMP端口发送大量的读和写请求。有漏洞的设备,如果没有防范接收SNMP包的措施
,就会遭受DoS攻击,导致路由重载。

至于如何查看这些的信息,可以参阅【触及RouterKit】部分。

*Cisco IOS软件层叠SNMP共享社区字串漏洞
Cisco 配置文件中,意外创建和暴露SNMP共享字符串,可以允许未授权地查阅或者修改
感染的设备。这种漏洞是调用SNMP函数中的缺陷引起的。SNMP利用“community”的标记
来划分“object”组,可以在设备上查看或者修改它们。在组中的数据组织MIB。单个设
备可以有几个MIBs,连接在一起形成一个大的结构,不同的社团字符串可以提供只读或
者读写访问不同的,可能重叠的大型数据结构的一部分。
启用SNMP,键入“snmp-server”命令时,如果社区在设备上不是以有效的社区字串存在
,就会不可预料地添加一个只读社区字串。如果删除它,这个社区字串将会在重载设备
时重新出现。
缺陷源于SNMPv2的“通知(informs)”功能的实现,这个功能包括交换只读社区字符串
来共享状态信息。当一个有漏洞的设备处理一条定义接收SNMP "traps"(陷阱消息)主
机的命令时(常规snmp-server配置),在trap消息中指定的社团也还是配置成通用,如
果它在保存配置中没有定义。即使社区在前面被删除并且配置在系统重载前保存到存储
器,也会发生这种情况。
当通过"snmpwalk"(一种检测SNMP配置正确性的工具),或者使用设备的只读社团字符串
遍历基于视图的访问控制MIB来检查设备时,就会泄漏读写社团字符串。这意味着知道只
读社区字串允许读访问存储在设备中的MIB,导致信息泄露。而更为严重的是,如果知道
读写社区字符串就可以允许远程配置的路由,可以绕开授权认证机制,从而完全控制路
由器的整体功能。

题外话:一个被发现漏洞很具有讽刺意味,使用nmap等安全扫描工具对路由进行扫描,
居然会产生DoS的攻击。有兴趣的朋友可以参阅:http://bbs.ccxx.net
rc...29/2002-12-05/1

【另类攻击】
前面的漏洞综述,似乎我们都在围绕着如何获得路由配置信息而讲述,因为得到一个完
整Router-config,那么我们便掌握了路由的世界。下面的入侵方法则另辟奚径。

*TFTP的艺术
Cisco的熟练管理员,一般习惯于Cisco免费提供的TFTP服务器(http://bbs.ccxx.net
pcgi-bin/tablebuild.pl/tftp),而Cisco培训的书籍总会介绍使用copy running-conf
ig tftp的命令来保存路由配置文件。于是获得TFTP就有可能获得路由配置文件。
幸运的是,TFTPD守护程序存在目录遍历的漏洞,允许远程用户从目标系统中获得任意文
件。我们可以通过下面简单方法获取目标系统中的任何文件:
Exploit
tftp> connect target_machine
tftp> get cisco-conf.bin
Recieved 472 bytes in 0.4 seconds
tftpd> quit
  而这个免费软件还没有任何修补措施,因此借助这种方式,可以不费吹灰之力就可
能得到一份完整的路由配置存档。

*SSH安全感
通过Telnet管理方式,造就了一批密码窃听者。通过明文的ASCII的网络传输形式,窃听
者随便放置嗅探装置(sniffer),就可安闲的等待着登录用户,密码以及各类敏感信息自
动送到面前。SSH加密方式在路由器的应用,大大的消灭了这种嚣张的气焰。
但入侵与反入侵本来就是个古老的话题。于是,SSH也开始有了危机感。Cisco SSH存在
着三个精妙且复杂的漏洞,这种攻击的手法所涉及的知识已经大大超出本文的范畴,所
以以简略的形式给予说明并指出应用漏洞的文章出处。(这些漏洞整理自中国网络安全响
应中心CNSAN,http://bbs.ccxx.net
1.RC-32完整性检查漏洞
参考:http://bbs.ccxx.net
作者运用及其复杂的数学方式来证明这种漏洞的存在性,看懂这片文章需要相当的数学
功底,本人在看这篇文章的时候也是头痛万分。不过文章中的理论分析十分精彩,初学
者可以省略此漏洞。
CNSAN的文章则指出“要使这种攻击成功,攻击者要拥有一或者2个已知chipertxt/plai
ntext串,这一般并不难,因为每个进程启动时的问候屏幕是固定并可探测的,这样可以
通过SNIFF进程来获得相应的chipertext”。

2.通信分析
参考:http://bbs.ccxx.net
CNSAN的文章论述:“要利用这个漏洞,攻击者必须捕获信息包,这样可以分析使用的密
码长度并用暴力手段猜测密码”。
在SSH中封装明文数据时,数据从8字节的边界上开始封装并对数据进行加密。这样的包
在明文数据长度之后进行某中数学封装,SSH在加密通道内以明文的方式传输,结果,能
检测SSH传输的攻击就能获得SSH内的内容。文章还友善的给出了Patch程序来修正这个漏
洞。

3.在SSH 1.5协议中KEY恢复
参考:http://bbs.ccxx.net
CNSAN的文章论述:要利用这个协议,攻击者必须能嗅探SSH进程并能对SSH服务器建立连
接,要恢复SERVER KEY,攻击者必须执行2^20+2^19=1572864 连接,由于KEY是一小时的
生存时间,所以攻击者必须每秒执行400此连接。
这种技巧的要求非常高,通常的远程入侵中,使用KEY来获得SSH会话过程的概率相当之
低。

*本地密码劫持
    在所有入侵中,这种类型的入侵活动可谓是蓄谋以久的野蛮做法。方法本来的
意图是用于管理员忘记密码后的恢复措施。而技术做为双刃剑的一面,便在于我们如何
使用它。
    如果你有一台笔记本电脑,你有一根与路由器相应类型的连接线,那么你配备
了入侵路由的武器。剩下的时间,你将思考如何闭开网管的眼睛,把连接线与路由器连
接。以后的动作,需要你行动迅速了。(以25xx系列路由为例)
1.切断路由器的电源。
2.连接计算机与路由器。
3.打开超级终端(CTL-Break in Hyperterm)。
4.在启动路由器的30秒时间内,迅速按CTL-Break组合键,使路由器进入rom monitor
状态,出现提示符如下:
Followed by a '>' prompt...
5.输入 O/R 0x2142,修改配置注册器(config register)路由器从Flash
memory引导。
6.输入I,路由器初始化设置后重新启动。
7.输入系统配置 对话提示符敲no,一直等提示信息显示: Press RETURN to get sta
rted。
8.输入enable 命令,出现Router# 提示符。
这是,我们可以完全使用show命令查看路由中的一切配置,并可转储到计算机上。如果
使用了enable的加密方式,虽然现在无法看,但可以使用工具进行破解。当然,粗鲁的
做法是直接修改:
Router#conf term
Router(conf)#enable password 7 123pwd

进行完以上操作,别忘了恢复路由的正常状态,否则网管很快就能发现问题所在:
Router(conf)#config-register 0x2102
Router(conf)#exit

至此,我们从几个方面试图获得整个路由的配置,那么如何进一步扩大入侵的战果,一
些令人激动的工具给我们带来的无比愉悦的方便。

【触及RouterKit】
就如攻击视窗系统人喜欢用NTRK,攻击Linux的人则喜欢用rootkit,Router的世界也有
这优秀的Kit,让人爱不释手。

*密码破解机
得到路由配置文件后,如果看见在特权模式的配置中可能会有:“enable password 7
14341B180F0B187875212766”这样的加密字串。那么恭喜了,enable password命令的密
码加密机制已经很古老,存在极大安全漏洞。通过一些简单的工具就可以得到破解的特权
密码。
实用工具资源:
SPHiXe's 的'C'版本破解机:http://bbs.ccxx.net
Riku Meskanen的Pearl版本:http://bbs.ccxx.net
l
BigDog的Psion 3/5 版本:http://bbs.ccxx.net
Major Malfunction的Palm-Pilot破解机:http://bbs.ccxx.net
iscopw_1-0.zip
Boson Windows版本GetPass:http://bbs.ccxx.net
htm
Mudge描述的漏洞生成原因:http://bbs.ccxx.net
从这些资源,得知,password的安全机制是如此的薄弱,因此,在现在的配置环境中一
般采用enable secrect较新安全加密机制。

*RAT的丰厚礼物
RAT是系统管理网络安全研究机构(SANS)开发的免费路由审核工具(route audit tools)
。这套工具能自动和立即的检索路由配置的情况,并针对配置的问题给出极其详尽的漏
洞发现和推荐修改配置,并能寻址SNMP的漏洞给予安全建议。这种安全的配置文档对于
管理员和黑帽来说,都是非常珍贵的资料。
RAT是用Pearl语言编写而成,因此在Windows需要安装ActiveState Perl的环境。安装过
程十分简单,对于路由的扫描结果以Html和ASCII文本格式给予用户查看。下面是扫描的
具体实例。
Exploit:
C:\>perl c:\rat\bin\rat

2005/3/25 0:10
应用扩展 工具箱






可以查看帖子.
不可发帖.
不可回复.
不可编辑自己的帖子.
不可删除自己的帖子.
不可发起投票调查.
不可在投票调查中投票.
不可上传附件.
不可不经审核直接发帖.

[高级搜索]



系统导航

 

Copyright © 2001-2010 安信网络. All Rights Reserved
京ICP备05056747号