GLBP & HSRP Attacks

AWS Hacking'i öğrenin ve pratik yapın:HackTricks Eğitim AWS Kırmızı Takım Uzmanı (ARTE) GCP Hacking'i öğrenin ve pratik yapın: HackTricks Eğitim GCP Kırmızı Takım Uzmanı (GRTE)

HackTricks'i Destekleyin

abonelik planlarını kontrol edin!
💬 Discord grubuna veya telegram grubuna katılın ya da Twitter'da 🐦 @hacktricks_live bizi takip edin.**
Hacking ipuçlarını paylaşmak için HackTricks ve HackTricks Cloud github reposuna PR gönderin.

Websec | Uw Cybersecurity Specialist

FHRP Kaçırma Genel Görünümü

FHRP Hakkında Bilgiler

FHRP, birden fazla yönlendiriciyi tek bir sanal birimde birleştirerek ağ dayanıklılığı sağlamak için tasarlanmıştır ve böylece yük dağılımını ve hata toleransını artırır. Cisco Systems, bu pakette GLBP ve HSRP gibi önde gelen protokoller tanıtmıştır.

GLBP Protokolü Hakkında Bilgiler

Cisco'nun yarattığı GLBP, TCP/IP yığınında çalışır ve iletişim için 3222 numaralı portta UDP kullanır. GLBP grubundaki yönlendiriciler, 3 saniyelik aralıklarla "hello" paketleri değiş tokuş eder. Bir yönlendirici bu paketleri 10 saniye boyunca göndermezse, çevrimdışı olduğu varsayılır. Ancak, bu zamanlayıcılar sabit değildir ve değiştirilebilir.

GLBP İşlemleri ve Yük Dağıtımı

GLBP, tek bir sanal IP ile birden fazla sanal MAC adresi kullanarak yönlendiriciler arasında yük dağıtımını sağlama yeteneği ile öne çıkar. Bir GLBP grubunda, her yönlendirici paket iletimine katılır. HSRP/VRRP'nin aksine, GLBP, birkaç mekanizma aracılığıyla gerçek yük dengelemesi sunar:

Host-Dependent Load Balancing: Bir hosta sürekli AVF MAC adresi atamasını sürdürür, bu da kararlı NAT yapılandırmaları için gereklidir.
Round-Robin Load Balancing: Varsayılan yaklaşım, istek yapan hostlar arasında AVF MAC adresi atamasını sırayla yapar.
Weighted Round-Robin Load Balancing: Yükü önceden tanımlanmış "Ağırlık" metriklerine göre dağıtır.

GLBP'deki Ana Bileşenler ve Terimler

AVG (Aktif Sanal Geçit): MAC adreslerini eş yönlendiricilere tahsis etmekten sorumlu ana yönlendirici.
AVF (Aktif Sanal İletici): Ağ trafiğini yönetmekle görevlendirilmiş bir yönlendirici.
GLBP Önceliği: AVG'yi belirleyen bir metrik, varsayılan olarak 100 ile başlar ve 1 ile 255 arasında değişir.
GLBP Ağırlığı: Bir yönlendiricinin mevcut yükünü yansıtır, manuel olarak veya Nesne Takibi aracılığıyla ayarlanabilir.
GLBP Sanal IP Adresi: Tüm bağlı cihazlar için ağın varsayılan geçidi olarak hizmet eder.

GLBP, etkileşimler için 224.0.0.102 rezerve edilmiş çoklu yayın adresini ve UDP 3222 portunu kullanır. Yönlendiriciler, 3 saniyelik aralıklarla "hello" paketleri gönderir ve 10 saniyelik bir süre içinde bir paket kaçırılırsa, çalışmıyor olarak kabul edilir.

GLBP Saldırı Mekanizması

Bir saldırgan, en yüksek öncelik değeri (255) ile bir GLBP paketi göndererek ana yönlendirici olabilir. Bu, trafik kesintisi veya yönlendirmesi sağlayarak DoS veya MITM saldırılarına yol açabilir.

Loki ile GLBP Saldırısı Gerçekleştirme

Loki, öncelik ve ağırlığı 255 olarak ayarlanmış bir paket enjekte ederek GLBP saldırısı gerçekleştirebilir. Saldırı öncesi adımlar, sanal IP adresi, kimlik doğrulama varlığı ve yönlendirici öncelik değerleri gibi bilgilerin toplanmasını içerir; bu, Wireshark gibi araçlar kullanılarak yapılır.

Saldırı Adımları:

Promiscuous moduna geçin ve IP yönlendirmesini etkinleştirin.
Hedef yönlendiriciyi belirleyin ve IP'sini alın.
Bir Gratuitous ARP oluşturun.
AVG'yi taklit eden kötü niyetli bir GLBP paketi enjekte edin.
Saldırganın ağ arayüzüne, GLBP sanal IP'sini yansıtan bir ikincil IP adresi atayın.
Tam trafik görünürlüğü için SNAT uygulayın.
Orijinal AVG yönlendiricisi üzerinden internet erişiminin devam etmesini sağlamak için yönlendirmeyi ayarlayın.

Bu adımları izleyerek, saldırgan kendisini "orta adam" olarak konumlandırır ve ağ trafiğini, şifrelenmemiş veya hassas verileri dahil olmak üzere, kesip analiz edebilir.

Demonstrasyon için gerekli komut parçacıkları:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Monitoring and intercepting traffic can be done using net-creds.py or similar tools to capture and analyze data flowing through the compromised network.

Passive Explanation of HSRP Hijacking with Command Details

Overview of HSRP (Hot Standby Router/Redundancy Protocol)

HSRP, Cisco'ya ait bir protokoldür ve ağ geçidi yedekliliği için tasarlanmıştır. Birden fazla fiziksel yönlendiricinin tek bir mantıksal birim olarak yapılandırılmasına ve paylaşılan bir IP adresi ile yönetilmesine olanak tanır. Bu mantıksal birim, trafiği yönlendirmekten sorumlu birincil yönlendirici tarafından yönetilir. Yük dengelemesi için öncelik ve ağırlık gibi metrikler kullanan GLBP'nin aksine, HSRP, trafik yönetimi için tek bir aktif yönlendiriciye dayanır.

Roles and Terminology in HSRP

HSRP Aktif Yönlendirici: Trafik akışını yöneten geçit olarak hareket eden cihaz.
HSRP Bekleme Yönlendirici: Aktif yönlendirici arızalandığında devralmaya hazır yedek yönlendirici.
HSRP Grubu: Tek bir dayanıklı sanal yönlendirici oluşturmak için işbirliği yapan yönlendiriciler seti.
HSRP MAC Adresi: HSRP kurulumundaki mantıksal yönlendiriciye atanan sanal MAC adresi.
HSRP Sanal IP Adresi: HSRP grubunun sanal IP adresi, bağlı cihazlar için varsayılan geçit olarak işlev görür.

HSRP Versions

HSRP, grup kapasitesi, çoklu IP kullanımı ve sanal MAC adresi yapısı açısından farklılık gösteren iki versiyona sahiptir: HSRPv1 ve HSRPv2. Protokol, hizmet bilgisi alışverişi için belirli çoklu IP adreslerini kullanır ve her 3 saniyede bir Hello paketleri gönderir. 10 saniyelik bir aralık içinde paket alınmazsa, bir yönlendirici pasif kabul edilir.

HSRP Attack Mechanism

HSRP saldırıları, maksimum öncelik değeri enjekte ederek Aktif Yönlendirici'nin rolünü zorla devralmayı içerir. Bu, Man-In-The-Middle (MITM) saldırısına yol açabilir. Saldırı öncesi temel adımlar, HSRP kurulumuna dair veri toplamayı içerir; bu, trafik analizi için Wireshark kullanılarak yapılabilir.

Steps for Bypassing HSRP Authentication

HSRP verilerini içeren ağ trafiğini .pcap dosyası olarak kaydedin.

tcpdump -w hsrp_traffic.pcap

.pcap dosyasından MD5 hash'lerini hsrp2john.py kullanarak çıkarın.

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes

John the Ripper kullanarak MD5 hash'lerini kırın.

john --wordlist=mywordlist.txt hsrp_hashes

Executing HSRP Injection with Loki

HSRP reklamlarını tanımlamak için Loki'yi başlatın.
Ağ arayüzünü promiscuous moda ayarlayın ve IP yönlendirmesini etkinleştirin.

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

Loki'yi belirli yönlendiriciye hedef almak için kullanın, kırılmış HSRP şifresini girin ve Aktif Yönlendirici'yi taklit etmek için gerekli yapılandırmaları yapın.
Aktif Yönlendirici rolünü kazandıktan sonra, ağ arayüzünüzü ve IP tablolarınızı meşru trafiği yakalamak için yapılandırın.

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Trafiği eski Aktif Yönlendirici üzerinden yönlendirmek için yönlendirme tablosunu değiştirin.

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Yakalanan trafikten kimlik bilgilerini almak için net-creds.py veya benzeri bir yardımcı program kullanın.

sudo python2 net-creds.py -i eth0

Bu adımları uygulamak, saldırganı trafiği yakalamak ve manipüle etmek için bir konuma getirir; bu, GLBP kaçırma prosedürüyle benzerdir. Bu, HSRP gibi yedeklilik protokollerindeki zayıflığı ve sağlam güvenlik önlemlerine olan ihtiyacı vurgular.

References

https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Websec | Uw Cybersecurity Specialist

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

PreviousEIGRP Attacks NextIDS and IPS Evasion

Last updated 3 days ago