Укрощение CISCO — как взломать роутер на растоянии. (ч. 3)

В предыдущих статьях Укрощение CISCO – брутим ключ к TACACS+ и Укрощение CISCO – брутим ключ к TACACS+ (часть 2) Мы уже касались темы взлома CISCO сетевых устройств. Сегодня мы вам раскажем как захватить контроль над удаленным маршрутизатором Cisco под управлением IOS (как самые распространенные).

Конечно, начать следует с того, чтобы определить, а зачем их вообще ломать. Чаще всего потребность захватывать контроль над цисками появляется в том случае, когда необходимо обойти какие-то ограничения на уровне сети. Например, если мы пытаемся прорваться из интернета внутрь корпоративной сети, то криво настроенная циска позволит нам провалиться внутрь. Роутеры же внутри сети часто выступают в роли файрволов и фильтруют трафик между сегментами, что может нам помешать при атаках.

К тому же c цисок мы можем проворачивать атаки типа man-in-the-middle. В основном атаки на циски далеко не rocket-science и сводятся чаще всего к перебору учеток. К сожалению,  уязвимостей, да еще и с публичными эксплойтами для цисок практически нет. Причин тому много, хотя для нас это не столь и важно.

Но для того, чтобы «правильно» брутить, желательно узнать кое-какие подробности о внутренних решениях в IOS (которые во многом будут аналогичны циско и на других  платформах: ASA, PIX, CatOS).

Итак, в IOS есть разделение пользователей по уровню привилегий. Всего их 16: от 0 до 15, где 15 — максимальные привилегии, 1 — уровень обычного пользователя с очень урезанными   возможностями, а остальные в основном не используются. По умолчанию, когда юзер логинится в систему, у него уровень 1, и если он хочет получить привилегированный доступ и возможность переконфигурировать устройство, то должен ввести специальный «enable»-пароль (чаще всего — cisco). Хотя можно настроить, чтобы сразу был 15, и тогда вводить дополнительный пароль не  нужно.

[ad name=»Responbl»]

При этом на циске изначально есть понятие общего юзера, для которого можно установить  пароль. И есть «новая» модель разграничения доступа, называемая AAA (authentication, authorization, accounting), которая позволяет иметь множество различных пользователей с различными правами в ОС, а также поддерживает внешние хранилища, используя про-
токолы RADIUS или TACACS+. AAA на IOS необходимо «включать», чтобы она заработала.

Все это важно из-за того, что влияет на то, где и как брутить учетки. Обычно доступны Telnet, SSH или веб (по HTTP или HTTPS). При этом SSH работает только с моделью AAA. А Telnet  поддерживает и вход под общим юзером, то есть когда при аутентификации мы должны вводить только пароль. Еще более интересным может быть web (basic-аутентификация), который может быть настроен на использование «enable»-пароля для аутентификации.

То есть в последнем случае мы можем, используя «enable»-пароль, войти в циску, слить конфиг и из него получить уже обычные учетные записи. Для конфигурации через веб используется URL такого вида: http://cisco_dev/level/15/exec (например, вывод используемого конфига /level/15/
exec/-/show/running-config/CR). Хотя знать его нет необходимости, обычно там все понятно. Зато в 2000 году здесь была приличная бага, позволяющая обойти аутентификацию: если ввести  любой другой уровень больше 15 (но меньше 99), то циска пускала тебя и предоставляла привилегированный доступ. Циски, конечно, юзаются долго, но 15 лет — это уж слишком, так
что в реале встретить такой баг маловероятно.

Теперь несколько фактов о практике. Во-первых, брут SSH не представляет собой ничего особого, так что подойдет любая тулза. Во-вторых, веб-морды у цисок могут отличаться от версии к версии, но доступ по указанному выше URL’у вполне универсален и порождает запрос по basicаутентификации, то есть аналогично можно использовать любые тулзы. С телнетом дела обстоят несколько сложнее. Классические тулзы типы Hydra, Medusa, Ncrack могут откровенно false’ить, к тому же брутить только пароль (для стандартного юзера) умеет только гидра. Тут на помощь могут прийти тулзы cisco-torch или cisco-auditing-tool. Они, правда, очень олдскульные, но входят в Kali. В случае успеха и захода на девайс смотрим конфигурацию:

show running-confi g (или sh run)

 [ad name=»Responbl»]