161,162,10161,10162/udp - Pentesting SNMP
SNMP - Simple Network Management Protocolは、ネットワーク内のさまざまなデバイス(ルーター、スイッチ、プリンター、IoTなど)を監視するために使用されるプロトコルです。
SNMPはトラップ用にもポート162/UDPを使用します。これらは、明示的に要求されていない場合にSNMPサーバーからクライアントに送信されるデータです。
MIB
SNMPアクセスがさまざまな製造業者や異なるクライアントサーバーの組み合わせで機能するようにするために、Management Information Base (MIB)が作成されました。MIBはデバイス情報を格納するための独立した形式です。MIBは標準化されたツリー階層にリストされたデバイスのすべての問い合わせ可能なSNMPオブジェクトが記載されたテキストファイルです。少なくとも1つのObject Identifier(OID)
を含み、一意のアドレスと名前に加えて、各オブジェクトのタイプ、アクセス権、および説明も提供します。
MIBファイルは、Abstract Syntax Notation One(ASN.1)
ベースのASCIIテキスト形式で記述されます。MIBにはデータが含まれていないが、どこでどの情報を見つけるかや、特定のOIDの返り値、使用されるデータ型などについて説明します。
OIDs
**オブジェクト識別子(OID)**は重要な役割を果たします。これらのユニークな識別子は、**Management Information Base(MIB)**内のオブジェクトを管理するために設計されています。
MIBオブジェクトID(OID)の最上位レベルは、さまざまな標準設定組織に割り当てられています。これらのトップレベルでは、グローバル管理慣行と標準の枠組みが確立されています。
さらに、ベンダーはプライベートブランチを設立する権利を与えられています。これらのブランチ内では、独自の製品ラインに関連する管理オブジェクトを含める権限があります。このシステムにより、異なるベンダーや標準間でさまざまなオブジェクトを識別および管理するための構造化された方法が確立されています。
ウェブからOIDツリーをナビゲートするには、こちらを参照してください:http://www.oid-info.com/cgi-bin/display?tree=#focus、または(1.3.6.1.2.1.1
のような)OIDの意味を確認するには、http://oid-info.com/get/1.3.6.1.2.1.1にアクセスしてください。
1.3.6.1.2.1内のようなよく知られたOIDがあり、これはMIB-2で定義されたSimple Network Management Protocol(SNMP)変数を参照しています。そして、このOIDから派生するOIDからは、いくつかの興味深いホストデータ(システムデータ、ネットワークデータ、プロセスデータなど)を取得できます。
OIDの例
1 . 3 . 6 . 1 . 4 . 1 . 1452 . 1 . 2 . 5 . 1 . 3. 21 . 1 . 4 . 7
このアドレスの詳細は次のとおりです。
1 – これはISOと呼ばれ、これがOIDであることを確立します。これはすべてのOIDが「1」で始まる理由です
3 – これはORGと呼ばれ、デバイスを構築した組織を指定するために使用されます。
6 – これはdodまたはDepartment of Defenseであり、最初にインターネットを確立した組織です。
1 – これはインターネットの値で、すべての通信がインターネットを介して行われることを示します。
4 – この値は、このデバイスが政府機関ではなく、私企業によって製造されたことを決定します。
1 – この値は、デバイスが企業またはビジネスエンティティによって製造されたことを示します。
これらの最初の6つの値はすべてのデバイスで同じであり、それらについての基本情報を提供します。これらの数字のシーケンスは、政府によって製造されたデバイス以外はすべてのOIDに対して同じであり、次のセットの数字に進みます。
1452 – このデバイスを製造した組織の名前を示します。
1 – デバイスのタイプを説明します。この場合、アラームクロックです。
2 – このデバイスがリモート端末ユニットであることを決定します。
残りの値はデバイスに関する具体的な情報を提供します。
5 – 離散アラームポイントを示します。
1 – デバイス内の特定のポイント
3 – ポート
21 – ポートのアドレス
1 – ポートの表示
4 – ポイント番号
7 – ポイントの状態
SNMPバージョン
SNMPには2つの重要なバージョンがあります:
SNMPv1:主要なバージョンであり、認証は文字列に基づいています(コミュニティ文字列)(すべての情報が平文で送信されます)。バージョン2および2cも情報を平文で送信し、認証にコミュニティ文字列を使用します。
SNMPv3:より良い認証形式を使用し、情報は暗号化されます(辞書攻撃は実行できますが、SNMPv1およびv2よりも正しい資格情報を見つけるのははるかに難しいでしょう)。
コミュニティ文字列
前述のように、MIBに保存されている情報にアクセスするには、バージョン1および2/2cのコミュニティ文字列とバージョン3の資格情報を知る必要があります。 コミュニティ文字列には2種類あります:
public
:主に読み取り専用機能private
:一般的に読み取り/書き込み機能
OIDの書き込み可能性は使用されるコミュニティ文字列に依存するため、たとえ「public」が使用されているとしても、一部の値を書き込むことができる可能性があります。また、常に「読み取り専用」であるオブジェクトが存在する可能性があります。
オブジェクトを書き込もうとすると、noSuchName
またはreadOnly
エラーが受信されます。
バージョン1および2/2cでは、誤ったコミュニティ文字列を使用するとサーバーが応答しないため、応答がある場合は有効なコミュニティ文字列が使用されています。
ポート
SNMPエージェントはUDPポート161でリクエストを受信します。
マネージャーはポート162で通知(トラップおよびInformRequests)を受信します。
Transport Layer SecurityまたはDatagram Transport Layer Securityと共に使用する場合、リクエストはポート10161で受信され、通知はポート10162に送信されます。
コミュニティ文字列の総当たり攻撃(v1およびv2c)
コミュニティ文字列を推測するには、辞書攻撃を実行できます。SNMPに対する総当たり攻撃の異なる方法については、こちらを参照してください。頻繁に使用されるコミュニティ文字列はpublic
です。
SNMPの列挙
デバイスから収集された各OIDの意味を確認するには、以下をインストールすることをお勧めします:
もし有効なコミュニティストリングを知っている場合、SNMPWalkまたはSNMP-Checkを使用してデータにアクセスできます:
拡張クエリ(download-mibs)のおかげで、次のコマンドを使用してシステムについてさらに詳細な情報を列挙することができます:
SNMPには、ホストに関する多くの情報が含まれており、興味深い情報には次のものがあります: ネットワークインターフェース(IPv4およびIPv6アドレス)、ユーザー名、稼働時間、サーバー/OSバージョン、およびプロセス
(パスワードを含む場合があります)....
危険な設定
ネットワーク管理の領域では、特定の構成とパラメータが包括的な監視と制御を確保するために重要です。
アクセス設定
ネットワーク管理において、完全なOIDツリーへのアクセスを可能にする2つの主要な設定があります:
**
rwuser noauth
**は、認証を必要とせずにOIDツリーへの完全なアクセスを許可するように設定されています。この設定は直感的で制限なしのアクセスを可能にします。より具体的な制御のために、次のようにアクセスを許可できます:
rwcommunity
はIPv4アドレスに対して、およびrwcommunity6
はIPv6アドレスに対して。
両方のコマンドはコミュニティ文字列と関連するIPアドレスが必要で、リクエストの出どころに関係なく完全なアクセスを提供します。
Microsoft Windows用のSNMPパラメータ
Windowsシステムのさまざまな側面を監視するために使用される一連のManagement Information Base(MIB)値がSNMPを介して利用されます:
システムプロセス:
1.3.6.1.2.1.25.1.6.0
を介してアクセスされ、このパラメータはシステム内のアクティブなプロセスの監視を可能にします。実行中のプログラム:
1.3.6.1.2.1.25.4.2.1.2
の値は現在実行中のプログラムを追跡するために指定されています。プロセスのパス:プロセスがどこから実行されているかを判断するには、
1.3.6.1.2.1.25.4.2.1.4
のMIB値が使用されます。ストレージユニット:ストレージユニットの監視は
1.3.6.1.2.1.25.2.3.1.4
によって容易にされます。ソフトウェア名:システムにインストールされたソフトウェアを特定するには、
1.3.6.1.2.1.25.6.3.1.2
が使用されます。ユーザーアカウント:
1.3.6.1.4.1.77.1.2.25
の値はユーザーアカウントの追跡を可能にします。TCPローカルポート:最後に、
1.3.6.1.2.1.6.13.1.3
はTCPローカルポートの監視に指定されており、アクティブなネットワーク接続に対する洞察を提供します。
Cisco
Cisco機器を使用している場合は、このページを参照してください:
pageCisco SNMPSNMPからRCEへ
SNMPサービス内で値を書き込むことを許可する文字列を持っている場合、それを悪用してコマンドを実行する可能性があります:
pageSNMP RCEMassive SNMP
Braa は大規模なSNMPスキャナーです。このようなツールの意図された使用法は、もちろんSNMPクエリを実行することですが、net-snmpのsnmpwalkとは異なり、数十から数百のホストを同時にクエリし、1つのプロセスで行うことができます。そのため、非常に少ないシステムリソースを消費し、非常に高速にスキャンを実行します。
Braaは独自のSNMPスタックを実装しているため、net-snmpのようなSNMPライブラリは必要ありません。
構文: braa [コミュニティ文字列]@[SNMPサーバーのIP]:[iso id]
以下は、手動で処理できない大量の情報を抽出できます。
それでは、最も興味深い情報を探してみましょう(https://blog.rapid7.com/2016/05/05/snmp-data-harvesting-during-penetration-testing/から):
デバイス
プロセスは、各ファイルからsysDesc MIBデータ(1.3.6.1.2.1.1.1.0)を抽出してデバイスを特定することから始まります。これはgrepコマンドを使用して実行されます:
プライベートストリングの特定
重要なステップは、特にCisco IOSルーターで組織が使用しているプライベートコミュニティストリングを特定することです。このストリングを使用すると、ルーターからランニング構成を抽出できます。特定は、しばしばSNMPトラップデータを「trap」という単語で分析することに依存します。grepコマンドを使用します。
ユーザー名/パスワード
MIBテーブルに保存されているログは、失敗したログオン試行を調べるために調べられます。これには、ユーザー名として入力されたパスワードが誤って含まれる可能性があります。fail、failed、または_login_などのキーワードを検索して、貴重なデータを見つけます。
Eメール
最後に、データからEメールアドレスを抽出するために、正規表現を使用したgrepコマンドが使用され、Eメール形式に一致するパターンに焦点を当てます:
SNMP値の変更
_NetScanTools_を使用して値を変更できます。これを行うにはプライベートストリングを知る必要があります。
スプーフィング
SMNPサービスへのクエリを許可するACLがある場合、UDPパケット内のこれらのアドレスの1つをスプーフィングしてトラフィックを嗅視できます。
SNMP構成ファイルの調査
snmp.conf
snmpd.conf
snmp-config.xml
ハッキングキャリアに興味がある場合、そして解読不能なものをハックしたい場合 - 採用中です!(流暢なポーランド語の読み書きが必要です)。
HackTricks自動コマンド
Last updated