Explotación de SNMP grabable

7

Por lo tanto, me he encontrado con un par de dispositivos que utilizan nombres de comunidad de escritura predeterminados para SNMP, como 'privado' (en máquinas con Windows) y 'Secreto c0de' (en los conmutadores Brocade).

Soy consciente de las implicaciones en cuanto al uso de SNMP para el reconocimiento, y soy consciente de los ataques contra los dispositivos de Cisco para restablecer las contraseñas del dispositivo y volcar la configuración del conmutador. Teniendo eso en cuenta, parece que en el día era posible volcar hashes desde máquinas Windows ejecutando algo a lo largo del líneas de

C:\NTRESKIT>snmputil walk public .1.3.6.1.4.1.77.1.2.25

Desafortunadamente, eso ya no funciona con las versiones más modernas de Windows (en realidad estoy probando un servidor 2003 relativamente actualizado y no funciona) y tengo curiosidad de que haya otros métodos para eliminar las contraseñas ( Hay hashes locales / de dominio o cualquier otra cosa disponible a través de SNMP (ya sea para Windows o para otros conmutadores como los mencionados conmutadores Brocade).

¿Hay algo más en lo que pueda olvidarme una cadena de comunidad SNMP que se pueda escribir como un atacante?

    
pregunta NULLZ 26.05.2014 - 08:00
fuente

2 respuestas

5

1.3.6.1.4.1.77.1.2.25 es solo un OID (ID de objeto, o algunas personas lo llaman 'valor MIB') que puede usar para extraer cierta información de un servicio SNMP enumerable. OIDView mantiene una lista completa de más de 7000 MIB valores de más de 500 proveedores.

Mis favoritos personales para Microsoft Windows son

  • 1.3.6.1.2.1.25.4.2.1.2 le ofrece una lista de todos los procesos en ejecución en la máquina. Muy útil para descubrir la posibilidad de, por ejemplo, una vulnerabilidad de escalada futura si se está ejecutando una aplicación específica.

  • 1.3.6.1.2.1.25.6.3.1.2 le ofrece una lista del software instalado y las revisiones de Windows & actualizaciones Muy útil para buscar parches faltantes en, por ejemplo, IE. Ahora puede enviar un enlace a un exploit específico al usuario de esa máquina por correo electrónico.

  • 1.3.6.1.2.1.25.6.3.1.5 le da una lista de cuando se instalaron esos parches. Muy bueno saber con qué frecuencia se mantiene el sistema. Le da ideas sobre cómo proceder con su post-explotación.

  • 1.3.6.1.4.1.311.1.13 le da entradas en el registro de ventilación. Muy bueno para rastrear bloqueos en ciertas aplicaciones.

y la lista sigue y sigue, y no solo para Microsoft Windows, sino también para cientos de otros productos.

    
respondido por el Adi 26.05.2014 - 13:19
fuente
2

Recuerdo que le pedí a una cadena de comunidad de lectura / escritura que ordenara a un enrutador de cisco volcar su configuración sobre tftp a "nombre de archivo" en el host ip1.ip2.ip3.ip4 al enviar una PDU con el equivalente de SNMP SET n1.n2.....nn[ip1.ip2.ip3.ip4]="filename" .

Hubo mucho de lo que pudiste reunir de esas configs. Utilicé esto para escanear los enrutadores dos veces al día y registrar cambios de configuración en el control de origen, por lo que podríamos mantén una pestaña en la parte de subcontratación que mantuvo los dispositivos.

Me parece recordar que Cisco usó para ocultar las contraseñas con un método bastante inseguro en esos archivos de configuración. Otra forma de abusar de las cadenas de la comunidad rw sería ordenar al enrutador para cargar una configuración, o reiniciar . Todo lo cual podría usarse en un ataque de denegación de servicio.

Esto fue hace casi veinte años. Esto fue antes de que SSH se convirtiera en una práctica común, y no dejaría a los hosts con acceso a snmp basado en cadenas comunitarias hoy.

    
respondido por el Henk Langeveld 10.04.2016 - 23:45
fuente

Lea otras preguntas en las etiquetas