黑客入侵技術詳解:cisco路由入侵藝術 (3)
【觸及RouterKit】
就如攻擊視窗系統人喜歡用NTRK,攻擊Linux的人則喜歡用rootkit,Router的世界也有這優秀的Kit,讓人愛不釋手。
*密碼破解機
得到路由配置文件后,如果看見在特權模式的配置中可能會有:“enable password 7 14341B180F0B187875212766”這樣的加密字串。那么恭喜了,enable password命令的密碼加密機制已經很古老,存在極大安全漏洞。通過一些簡單的工具就可以得到破解的特權密碼。
*RAT的豐厚禮物
RAT是系統管理網絡安全研究機構(SANS)開發的免費路由審核工具(route audit tools)。這套工具能自動和立即的檢索路由配置的情況,并針對配置的問題給出極其詳盡的漏洞發現和推薦修改配置,并能尋址SNMP的漏洞給予安全建議。這種安全的配置文檔對于管理員和黑帽來說,都是非常珍貴的資料。
RAT是用Pearl語言編寫而成,因此在Windows需要安裝ActiveState Perl的環境。安裝過程十分簡單,對于路由的掃描結果以Html和ASCII文本格式給予用戶查看。下面是掃描的具體實例。
Exploit:
C:\>perl c:\rat\bin\rat –a –u username –w passwd –e enablepass {router_ip_addr}
snarfing router_ip_addr...done.
auditing router_ip_addr...done.
ncat_report: Guide file rscg.pdf not found in current directory. Searching...
Linking to guide found at c:\rat/rscg.pdf
ncat_report: writing {router_ip_addr}.ncat_fix.txt.
ncat_report: writing {router_ip_addr}.ncat_report.txt.
ncat_report: writing {router_ip_addr}.html.
ncat_report: writing rules.html (cisco-ios-benchmark.html).
ncat_report: writing all.ncat_fix.txt.
ncat_report: writing all.ncat_report.txt.
ncat_report: writing all.html.
(注:-a參數掃描所有漏洞選項,-u登錄帳戶,-w登陸密碼,-e特權模式密碼。掃描產生的漏洞檢測報告和安全建議則使用ncat_report寫入相關文件中。{router_ip_addr}是實際的路由IP地址)
可以說RAT 是IOS的安全配置檢測工具,提供了詳細的配置安全漏洞,并提供Fix Script for {router_ip_addr}的修補腳本,這樣周全的工具不僅是管理員的福音,也給入侵者帶來巨大好處。如果入侵者得到這樣一份周詳的報告,情況會有多糟糕?
可惜的是,這樣優秀的程序在對路由配置文件進行檢索時,所用的snarf程序是以telnet的方式對配置文件進行檢索,這樣的話,任何傳輸過程都將是明文的方式,而程序的文檔介紹中推薦使用的SSH協議本身也并不完善(可參閱【另類攻擊】部分的介紹),這樣就為攻擊者提供了偷竊的途徑,從而獲得路由全面的明晰配置圖,這樣結果對于網管來說將是多么的不幸。因此我們需要謹慎的使用這個威力巨大的工具。
當然,這個優秀的免費工具帶給我們的另一個豐厚的禮物便是程序中自動裝入《路由安全配置指南》(RSCG)的PDF文檔,里面詳盡的Cisco安全路由配置文檔介紹了路由的管理和安全配置方式,給出薄弱的路由配置配置說明。這種實惠既便利了安全工作者對于理解,也成為了攻擊者利用漏洞的極佳參考。
*終極力量Solarwinds
Solarwinds公司出品Solarwinds.net的全面產品中包容了針對許多管理監測Cisco設備的精美工具,良好的GUI、容易操作的截面、還有Perfect的Toolbar(比較起龐大而復雜的Ciscowork管理軟件,我偏向于Solarwinds提供的簡單配置工具,當然Ciscowork如果被攻擊者運用,那么破壞的威力簡直可以搞拷一個大型網站的通信樞紐。至于Ciscowork的使用說明,因為篇幅問題,不在贅述)。
主要工具簡介:
SNMP Dictionary Attack
SNMP字典攻擊用于測試SNMP的社區字串的強度。在SNMP字典攻擊中,攻擊程序首先裝載社區字串習慣用語字典和字典編輯器編輯的字典,然后按照字典排序進行猜解。
SNMP Brute Force Attack
SNMP暴力破解程序將會以字母和數字的組合形式遠程對SNMP的只讀字串和讀寫字串進行窮舉破解,同時我們可以定義包括的字符和字串的估計長度,這樣有助于加快破解速度。
Router Security Check
路由安全檢查程序能嘗試的進入到路由器中并提示IOS是否需要升級,同時它也自動嘗試只讀和讀寫的SNMP社區字串。下面就是一個實際檢測的結果:
IP Address202.xx.xx.xxSystem Namecisco7507Contact--Test Contact—010xxxxxxLocationCisco Internetwork Operating System Software IOS (tm) RSP Software (RSP-AJSV-M), Version 12.0(7), RELEASE SOFTWARE (fc1)Copyright (c) 1986-1999 by cisco Systems, Inc.Compiled Wed 13-Oct-99 23:20 by phanguyeRead-Only Community StringsILMIxxxxRead-Write Community StringsILMIXxxx
注:從結果看,我們獲得了讀寫字串,這種利用方式在前面已經論述過,不在重復。使用x隱含了真實的屬性資料。
Remote TCP Session Reset
可以遠程顯示路由器上的所有TCP活動連接,更有意思的是,如果得知SNMP社區的讀寫字串,這個程序可以隨意切斷TCP的連接,這種惡作劇也常常讓人苦惱不堪。
Cisco Router Password Decryption
不言而喻,這個程序是用來破解特權模式下的密碼。至于如何取得密碼,請參閱【觸及RouterKit】的說明。
當然,除了以上幾種工具外,Solarwinds來集合了實用的Config Editor/View,upload Config,Download Config,Running Vs Startup Configs,Proxy Ping, Advanced CPU Load,Router CPU Load路由配置管理工具,通過工具名字我們不難得出這些工具的用途。
Solarwinds牛刀小試
這里將使用Solarwinds的工具組合進行一次高層次的入侵演習。不過這里的先決條件是,你已經通過各種漏洞探測針方式獲取了社區可讀寫的字串(粗魯的做法就可利用通過Solarwinds SNMP暴力破解方式來獲取讀寫字串)。
首先,創建一個包含新密碼的文本文件:
enable password New*Password
注:這種設置甚至可以覆蓋enable secret 5加密設置,不清楚Cisco既然得知Password 7方式加密是非常容易破解的,為什么還要保留這個遺物。
接著,在文件中輸入修改登錄密碼的語句:
line vty 0 4password New*Passwordlogin
啟動Solarwinds自帶的TFTP服務器,把創建的文件放置到服務器的根目錄中。并在Config uploader實用工具中輸入路由地址,讀寫字串和TFTP服務器的地址,并在TFTP目錄中選擇剛才創建的文件,按“Copy config PC to Router/Switch”。大致過程如圖示:
通過這種隱蔽的方式,我們更改了路由器的登錄密碼和特權模式密碼。這種把戲經常讓通過遠程管理路由的網管大吃一驚,但重啟路由后我們設置的密碼就失效了。原因在于我們是在Running-conf模式下修改路由配置,而沒有保存到NVRAM中。當然,許多過激的做法干脆使用修改的密碼登錄路由器,把配置文件寫(write)到NVRAM。強權控管路由設備。
【幾點安全建議】
綜述了這些觸目驚心的漏洞和威力無比工具的應用,我們是否應該行動起來,采取適當的措施來保護自身利益呢?
*關于IOS的問題
1.通過no ip http server取消http服務,消除Http帶來的隱患。
2.限制SNMP訪問配置
access-list 10 permit 204.50.25.0 0.0.0.255snmp-server community readwrite RW 10 (通過ACL限制受信主機訪問)###########監測非授權的SNMP訪問配置##########snmp-server enable traps (設置陷阱)snmp-server trap-authentication (如何認證失敗,告訴路由發送陷阱。)snmp-server host 204.50.25.5 (陷阱消息接受工作站)(注:ciscoworks 工作站可以截獲這些信息。)
3.及時升級Cisco的IOS程序或者修補程序
4.推薦閱讀RAT中的RSCG文檔建議
5.利用安全工具對路由進行安全檢查。
【編輯推薦】
