623/UDP/TCP - IPMI
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Intelligent Platform Management Interface (IPMI) bied 'n gestandaardiseerde benadering vir afstandsbestuur en monitering van rekenaarstelsels, onafhanklik van die bedryfstelsel of kragtoestand. Hierdie tegnologie stel stelselsadministrateurs in staat om stelsels op afstand te bestuur, selfs wanneer hulle af of onreaksief is, en is veral nuttig vir:
Pre-OS opstartkonfigurasies
Kragaf bestuur
Herstel van stelselfoute
IPMI is in staat om temperature, spannings, waaier spoed, en kragvoorsienings te monitor, sowel as om inventarisinligting te verskaf, hardeware logs te hersien, en waarskuwings via SNMP te stuur. Essensieel vir sy werking is 'n kragbron en 'n LAN-verbinding.
Sedert die bekendstelling deur Intel in 1998, is IPMI deur verskeie verskaffers ondersteun, wat afstandsbestuur vermoëns verbeter, veral met weergawe 2.0 se ondersteuning vir serieel oor LAN. Sleutelkomponente sluit in:
Baseboard Management Controller (BMC): Die hoof mikrobeheerder vir IPMI operasies.
Kommunikasiebusse en Interfaces: Vir interne en eksterne kommunikasie, insluitend ICMB, IPMB, en verskeie interfaces vir plaaslike en netwerkverbindinge.
IPMI Geheue: Vir die stoor van logs en data.
Standaard Poort: 623/UDP/TCP (Dit is gewoonlik op UDP, maar dit kan ook op TCP loop)
U kan identifiseer die weergawe met:
In die ryk van IPMI 2.0 is 'n beduidende sekuriteitsfout deur Dan Farmer ontdek, wat 'n kwesbaarheid blootgestel het deur cipher type 0. Hierdie kwesbaarheid, wat in detail gedokumenteer is by Dan Farmer se navorsing, stel ongeoorloofde toegang moontlik met enige wagwoord mits 'n geldige gebruiker teiken. Hierdie swakheid is oor verskeie BMC's van vervaardigers soos HP, Dell, en Supermicro gevind, wat 'n wye probleem binne alle IPMI 2.0 implementasies aandui.
Om hierdie fout te ontdek, kan die volgende Metasploit bykomende skandeerder gebruik word:
Die uitbuiting van hierdie fout is haalbaar met ipmitool
, soos hieronder gedemonstreer, wat die lys en wysiging van gebruikerswagwoorde moontlik maak:
Hierdie kwesbaarheid stel die herwinning van gesoute gehashde wagwoorde (MD5 en SHA1) vir enige bestaande gebruikersnaam moontlik. Om hierdie kwesbaarheid te toets, bied Metasploit 'n module aan:
'n Standaardkonfigurasie in baie BMC's laat "anonieme" toegang toe, gekenmerk deur nul gebruikersnaam en wagwoord stringe. Hierdie konfigurasie kan benut word om wagwoorde van benoemde gebruikersrekeninge te herstel met behulp van ipmitool
:
'n Kritieke ontwerppunt in IPMI 2.0 vereis die stoor van duidelike wagwoorde binne BMC's vir outentiseringdoeleindes. Supermicro se stoor van hierdie wagwoorde in plekke soos /nv/PSBlock
of /nv/PSStore
wek beduidende sekuriteitskwessies:
Supermicro se insluiting van 'n UPnP SSDP luisteraar in sy IPMI firmware, veral op UDP-poort 1900, stel 'n ernstige sekuriteitsrisiko in. Kwetsbaarhede in die Intel SDK vir UPnP Toestelle weergawe 1.3.1, soos uiteengesit deur Rapid7 se bekendmaking, stel root-toegang tot die BMC moontlik:
HP randomiseer die standaard wagwoord vir sy Integrated Lights Out (iLO) produk tydens vervaardiging. Hierdie praktyk verskil van ander vervaardigers, wat geneig is om statische standaard akrediteer te gebruik. 'n Samevatting van standaard gebruikersname en wagwoorde vir verskeie produkte word hieronder verskaf:
HP Integrated Lights Out (iLO) gebruik 'n fabrieksrandomiseerde 8-karakter string as sy standaard wagwoord, wat 'n hoër sekuriteitsvlak toon.
Produkte soos Dell se iDRAC, IBM se IMM, en Fujitsu se Integrated Remote Management Controller gebruik maklik raambare wagwoorde soos "calvin", "PASSW0RD" (met 'n nul), en "admin" onderskeidelik.
Net so gebruik Supermicro IPMI (2.0), Oracle/Sun ILOM, en ASUS iKVM BMC ook eenvoudige standaard akrediteer, met "ADMIN", "changeme", en "admin" as hul wagwoorde.
Administratiewe toegang tot die Baseboard Management Controller (BMC) open verskeie paaie om toegang tot die gasheer se bedryfstelsel te verkry. 'n Eenvoudige benadering behels die benutting van die BMC se Keyboard, Video, Mouse (KVM) funksionaliteit. Dit kan gedoen word deur die gasheer te herbegin na 'n root shell via GRUB (met init=/bin/sh
) of deur vanaf 'n virtuele CD-ROM te boot wat as 'n reddingsdisk ingestel is. Sulke metodes stel direkte manipulasie van die gasheer se skyf in staat, insluitend die invoeging van backdoors, data-uittrekking, of enige nodige aksies vir 'n sekuriteitsassessering. Dit vereis egter die herbegin van die gasheer, wat 'n beduidende nadeel is. Sonder om te herbegin, is toegang tot die lopende gasheer meer kompleks en wissel dit met die gasheer se konfigurasie. As die gasheer se fisiese of seriële konsole ingelog bly, kan dit maklik oor geneem word deur die BMC se KVM of serial-over-LAN (sol) funksies via ipmitool
. Die verkenning van die benutting van gedeelde hardewarebronne, soos die i2c bus en Super I/O chip, is 'n gebied wat verdere ondersoek vereis.
Na die kompromie van 'n gasheer wat met 'n BMC toegerus is, kan die lokale BMC-koppelvlak benut word om 'n backdoor gebruikersrekening in te voeg, wat 'n blywende teenwoordigheid op die bediener skep. Hierdie aanval vereis die teenwoordigheid van ipmitool
op die gekompromitteerde gasheer en die aktivering van BMC stuurprogramondersteuning. Die volgende opdragte illustreer hoe 'n nuwe gebruikersrekening in die BMC ingespuit kan word deur die gasheer se lokale koppelvlak, wat die behoefte aan verifikasie omseil. Hierdie tegniek is van toepassing op 'n wye reeks bedryfstelsels, insluitend Linux, Windows, BSD, en selfs DOS.
port:623
Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)