623/UDP/TCP - IPMI
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:
Intelligent Platform Management Interface (IPMI) nudi standardizovan pristup za daljinsko upravljanje i nadgledanje računarskih sistema, nezavisno od operativnog sistema ili stanja napajanja. Ova tehnologija omogućava sistem administratorima da upravljaju sistemima na daljinu, čak i kada su isključeni ili neodgovaraju, i posebno je korisna za:
Konfiguracije pre pokretanja OS-a
Upravljanje isključenjem
Oporavak od sistemskih grešaka
IPMI je sposoban da nadgleda temperature, napone, brzine ventilatora i napajanja, uz pružanje informacija o inventaru, pregled hardverskih logova i slanje upozorenja putem SNMP-a. Osnovni zahtevi za njegov rad su izvor napajanja i LAN konekcija.
Od svog uvođenja od strane Intela 1998. godine, IPMI je podržan od strane brojnih dobavljača, poboljšavajući mogućnosti daljinskog upravljanja, posebno sa podrškom verzije 2.0 za serijsku komunikaciju preko LAN-a. Ključne komponente uključuju:
Baseboard Management Controller (BMC): Glavni mikro-kontroler za IPMI operacije.
Komunikacione magistrale i interfejsi: Za internu i eksternu komunikaciju, uključujući ICMB, IPMB i razne interfejse za lokalne i mrežne konekcije.
IPMI Memorija: Za čuvanje logova i podataka.
Podrazumevani port: 623/UDP/TCP (Obično je na UDP-u, ali može biti i na TCP-u)
Možete identifikovati verziju koristeći:
U oblasti IPMI 2.0, značajna sigurnosna slabost otkrivena je od strane Dana Farmera, izlažući ranjivost kroz cipher type 0. Ova ranjivost, dokumentovana u detalje na istraživanju Dana Farmera, omogućava neovlašćen pristup sa bilo kojom lozinkom pod uslovom da je ciljana validna korisnička nalog. Ova slabost je pronađena kod različitih BMC-ova proizvođača kao što su HP, Dell i Supermicro, sugerišući široko rasprostranjen problem unutar svih IPMI 2.0 implementacija.
Da bi se otkrila ova slabost, može se koristiti sledeći Metasploit pomoćni skener:
Eksploatacija ove greške je moguća pomoću ipmitool, kao što je prikazano u nastavku, što omogućava listanje i modifikaciju korisničkih lozinki:
Ova ranjivost omogućava preuzimanje zasoljenih hash-ova lozinki (MD5 i SHA1) za bilo koje postojeće korisničko ime. Da biste testirali ovu ranjivost, Metasploit nudi modul:
Podrazumevana konfiguracija u mnogim BMC-ima omogućava "anonimni" pristup, koji se karakteriše nul korisničkim imenom i lozinkom. Ova konfiguracija se može iskoristiti za resetovanje lozinki imenovanih korisničkih naloga koristeći ipmitool:
Kritična dizajnerska odluka u IPMI 2.0 zahteva skladištenje lozinki u čistom tekstu unutar BMC-a u svrhe autentifikacije. Skladištenje ovih lozinki od strane Supermicro-a na mestima kao što su /nv/PSBlock ili /nv/PSStore postavlja značajne bezbednosne brige:
Uključivanje UPnP SSDP slušatelja u Supermicro-ovom IPMI firmveru, posebno na UDP portu 1900, uvodi ozbiljan bezbednosni rizik. Ranljivosti u Intel SDK za UPnP uređaje verzije 1.3.1, kako je detaljno opisano u Rapid7-ovom otkriću, omogućavaju pristup root-u BMC-u:
HP nasumično generiše podrazumevanu lozinku za svoj Integrated Lights Out (iLO) proizvod tokom proizvodnje. Ova praksa se razlikuje od drugih proizvođača, koji obično koriste statične podrazumevane akreditive. Sažetak podrazumevanih korisničkih imena i lozinki za različite proizvode je dat u nastavku:
HP Integrated Lights Out (iLO) koristi fabricki nasumično generisanu 8-znamenkastu string kao svoju podrazumevanu lozinku, pokazujući viši nivo sigurnosti.
Proizvodi kao što su Dellov iDRAC, IBM-ov IMM i Fujitsu-ov Integrated Remote Management Controller koriste lako pogađajuće lozinke kao što su "calvin", "PASSW0RD" (sa nulom) i "admin" redom.
Slično tome, Supermicro IPMI (2.0), Oracle/Sun ILOM i ASUS iKVM BMC takođe koriste jednostavne podrazumevane akreditive, pri čemu "ADMIN", "changeme" i "admin" služe kao njihove lozinke.
Administrativni pristup Kontroleru upravljanja matičnom pločom (BMC) otvara različite puteve za pristup operativnom sistemu hosta. Jednostavan pristup uključuje iskorišćavanje KVM funkcionalnosti BMC-a. To se može uraditi ili ponovnim pokretanjem hosta u root shell putem GRUB-a (koristeći init=/bin/sh) ili pokretanjem sa virtuelnog CD-ROM-a postavljenog kao disk za oporavak. Ove metode omogućavaju direktnu manipulaciju diskom hosta, uključujući umetanje backdoor-a, ekstrakciju podataka ili bilo koje potrebne radnje za procenu sigurnosti. Međutim, ovo zahteva ponovno pokretanje hosta, što je značajan nedostatak. Bez ponovnog pokretanja, pristup aktivnom hostu je složeniji i varira u zavisnosti od konfiguracije hosta. Ako fizička ili serijska konzola hosta ostane prijavljena, može se lako preuzeti putem KVM ili serial-over-LAN (sol) funkcionalnosti BMC-a koristeći ipmitool. Istraživanje iskorišćavanja zajedničkih hardverskih resursa, kao što su i2c magistrala i Super I/O čip, je oblast koja zahteva dalju istragu.
Nakon kompromitovanja hosta opremljenog BMC-om, lokalni BMC interfejs se može iskoristiti za umetanje backdoor korisničkog naloga, stvarajući trajnu prisutnost na serveru. Ovaj napad zahteva prisustvo ipmitool na kompromitovanom hostu i aktivaciju podrške za BMC drajver. Sledeće komande ilustruju kako se novi korisnički nalog može ubrizgati u BMC koristeći lokalni interfejs hosta, što zaobilazi potrebu za autentifikacijom. Ova tehnika je primenljiva na širok spektar operativnih sistema uključujući Linux, Windows, BSD, pa čak i DOS.
port:623
Produbite svoje znanje o Mobilnoj Bezbednosti sa 8kSec Akademijom. Savladajte iOS i Android bezbednost kroz naše kurseve koji se mogu pratiti sopstvenim tempom i dobijite sertifikat:
Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
