623/UDP/TCP - IPMI
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Deepen your expertise in Mobile Security with 8kSec Academy. Master iOS and Android security through our self-paced courses and get certified:
Інтерфейс управління платформою (IPMI) пропонує стандартизований підхід до віддаленого управління та моніторингу комп'ютерних систем, незалежно від операційної системи або стану живлення. Ця технологія дозволяє системним адміністраторам віддалено керувати системами, навіть коли вони вимкнені або не відповідають, і особливо корисна для:
Конфігурацій перед завантаженням ОС
Управління вимкненням
Відновлення після збоїв системи
IPMI здатний моніторити температури, напруги, швидкості вентиляторів та блоки живлення, а також надавати інформацію про інвентаризацію, переглядати апаратні журнали та надсилати сповіщення через SNMP. Для його роботи необхідні джерело живлення та LAN-з'єднання.
З моменту свого впровадження компанією Intel у 1998 році, IPMI підтримується численними постачальниками, що покращує можливості віддаленого управління, особливо з підтримкою версії 2.0 для серійного з'єднання через LAN. Ключові компоненти включають:
Контролер управління материнською платою (BMC): Основний мікроконтролер для операцій IPMI.
Комунікаційні шини та інтерфейси: Для внутрішньої та зовнішньої комунікації, включаючи ICMB, IPMB та різні інтерфейси для локальних та мережевих з'єднань.
Пам'ять IPMI: Для зберігання журналів та даних.
Порт за замовчуванням: 623/UDP/TCP (зазвичай працює на UDP, але також може працювати на TCP)
Ви можете виявити версію за допомогою:
У сфері IPMI 2.0 значна вразливість була виявлена Даном Фармером, що відкриває вразливість через cipher type 0. Ця вразливість, детально задокументована в дослідженні Дана Фармера, дозволяє несанкціонований доступ з будь-яким паролем, якщо цільовим є дійсний користувач. Ця слабкість була виявлена в різних BMC від виробників, таких як HP, Dell та Supermicro, що свідчить про поширену проблему в усіх реалізаціях IPMI 2.0.
Щоб виявити цю вразливість, можна використовувати наступний допоміжний сканер Metasploit:
Експлуатація цього недоліку можлива за допомогою ipmitool
, як показано нижче, що дозволяє переглядати та змінювати паролі користувачів:
Ця вразливість дозволяє витягувати посолені хешовані паролі (MD5 та SHA1) для будь-якого існуючого імені користувача. Щоб протестувати цю вразливість, Metasploit пропонує модуль:
За замовчуванням у багатьох BMC дозволяється "анонімний" доступ, що характеризується порожніми рядками імені користувача та пароля. Цю конфігурацію можна використати для скидання паролів іменованих облікових записів користувачів за допомогою ipmitool
:
Критичний вибір дизайну в IPMI 2.0 вимагає зберігання паролів у відкритому вигляді в BMC для цілей аутентифікації. Зберігання цих паролів компанією Supermicro в таких місцях, як /nv/PSBlock
або /nv/PSStore
, викликає значні проблеми з безпекою:
Включення Supermicro прослуховувача UPnP SSDP у своєму прошивці IPMI, зокрема на UDP порту 1900, створює серйозний ризик безпеки. Уразливості в Intel SDK для UPnP Devices версії 1.3.1, як зазначено в розкритті Rapid7, дозволяють отримати доступ до BMC з правами root:
HP випадковим чином генерує стандартний пароль для свого Integrated Lights Out (iLO) продукту під час виробництва. Ця практика контрастує з іншими виробниками, які зазвичай використовують статичні стандартні облікові дані. Підсумок стандартних імен користувачів і паролів для різних продуктів наведено нижче:
HP Integrated Lights Out (iLO) використовує фабрично випадкову 8-символьну строку як свій стандартний пароль, демонструючи вищий рівень безпеки.
Продукти, такі як iDRAC від Dell, IMM від IBM та Інтегрований контролер віддаленого управління Fujitsu, використовують легко вгадувані паролі, такі як "calvin", "PASSW0RD" (з нулем) та "admin" відповідно.
Аналогічно, Supermicro IPMI (2.0), Oracle/Sun ILOM та ASUS iKVM BMC також використовують прості стандартні облікові дані, з "ADMIN", "changeme" та "admin" як їх паролі.
Адміністративний доступ до Контролера управління материнською платою (BMC) відкриває різні шляхи для доступу до операційної системи хоста. Простий підхід полягає в експлуатації функціональності KVM BMC. Це можна зробити, перезавантаживши хост до кореневого терміналу через GRUB (використовуючи init=/bin/sh
) або завантажившись з віртуального CD-ROM, налаштованого як диск відновлення. Такі методи дозволяють безпосередньо маніпулювати диском хоста, включаючи вставку бекдорів, витяг даних або будь-які необхідні дії для оцінки безпеки. Однак це вимагає перезавантаження хоста, що є значним недоліком. Без перезавантаження доступ до працюючого хоста є більш складним і варіюється в залежності від конфігурації хоста. Якщо фізична або серійна консолі хоста залишаються увійденими, їх можна легко захопити через функціональність KVM або serial-over-LAN (sol) BMC за допомогою ipmitool
. Дослідження експлуатації спільних апаратних ресурсів, таких як шина i2c та чіп Super I/O, є областю, що потребує подальшого вивчення.
Після компрометації хоста, оснащеного BMC, локальний інтерфейс BMC можна використовувати для вставки бекдор-облікового запису, створюючи тривалу присутність на сервері. Ця атака вимагає наявності ipmitool
на скомпрометованому хості та активації підтримки драйвера BMC. Наступні команди ілюструють, як новий обліковий запис користувача може бути вставлений у BMC, використовуючи локальний інтерфейс хоста, що обходить необхідність аутентифікації. Ця техніка застосовна до широкого спектра операційних систем, включаючи Linux, Windows, BSD і навіть DOS.
port:623
Поглибте свої знання в Mobile Security з 8kSec Academy. Опануйте безпеку iOS та Android через наші курси з самостійним навчанням та отримайте сертифікат:
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)