GLBP & HSRP Attacks

Вивчайте хакінг AWS від нуля до героя з htARTE (HackTricks AWS Red Team Expert)!

Інші способи підтримки HackTricks:

Якщо ви хочете побачити вашу компанію в рекламі на HackTricks або завантажити HackTricks у PDF Перевірте ПЛАНИ ПІДПИСКИ!
Отримайте офіційний PEASS & HackTricks мерч
Відкрийте Сім'ю PEASS, нашу колекцію ексклюзивних NFT
Приєднуйтесь до 💬 групи Discord або групи telegram або слідкуйте за нами на Twitter 🐦 @hacktricks_live.
Поділіться своїми хакерськими трюками, надсилайте PR до HackTricks та HackTricks Cloud репозиторіїв GitHub.

Огляд Викрадення FHRP

Відомості про FHRP

FHRP призначений для забезпечення надійності мережі шляхом об'єднання кількох маршрутизаторів в один віртуальний блок, тим самим покращуючи розподіл навантаження та стійкість до відмов. Компанія Cisco Systems представила важливі протоколи в цьому наборі, такі як GLBP та HSRP.

Відомості про протокол GLBP

Створення Cisco, GLBP, працює на стеку TCP/IP, використовуючи UDP на порту 3222 для зв'язку. Маршрутизатори в групі GLBP обмінюються пакетами "hello" кожні 3 секунди. Якщо маршрутизатор не відправляє ці пакети протягом 10 секунд, вважається, що він вийшов з ладу. Однак ці таймери не є фіксованими і можуть бути змінені.

Операції та Розподіл Навантаження в GLBP

GLBP виділяється тим, що дозволяє розподіл навантаження між маршрутизаторами за допомогою однієї віртуальної IP-адреси, спарованої з кількома віртуальними MAC-адресами. У групі GLBP кожен маршрутизатор бере участь у пересиланні пакетів. На відміну від HSRP/VRRP, GLBP пропонує справжній балансування навантаження за допомогою кількох механізмів:

Балансування Навантаження Залежне від Хоста: Забезпечує постійне призначення MAC-адреси AVF хосту, що є важливим для стабільних конфігурацій NAT.
Кругове Балансування Навантаження: Стандартний підхід, чергування призначення MAC-адреси AVF серед запитуючих хостів.
Вагове Кругове Балансування Навантаження: Розподіл навантаження на основі попередньо визначених метрик "Вага".

Основні Компоненти та Термінологія в GLBP

AVG (Активний Віртуальний Шлюз): Основний маршрутизатор, відповідальний за призначення MAC-адрес маршрутизаторам-рівню.
AVF (Активний Віртуальний Пересилувач): Маршрутизатор, призначений для управління мережевим трафіком.
Пріоритет GLBP: Метрика, яка визначає AVG, починаючи зі значення за замовчуванням 100 і в діапазоні від 1 до 255.
Вага GLBP: Відображає поточне навантаження на маршрутизатор, яке можна налаштувати як вручну, так і через відстеження об'єктів.
Віртуальна IP-адреса GLBP: Служить в якості шлюзу за замовчуванням мережі для всіх підключених пристроїв.

Для взаємодії GLBP використовує зарезервовану мультікаст-адресу 224.0.0.102 та UDP-порт 3222. Маршрутизатори відправляють пакети "hello" кожні 3 секунди і вважаються неопераційними, якщо пакет пропущено протягом 10 секунд.

Механізм Атаки GLBP

Атакуючий може стати основним маршрутизатором, відправивши пакет GLBP з найвищим значенням пріоритету (255). Це може призвести до атак DoS або MITM, дозволяючи перехоплення або перенаправлення трафіку.

Виконання Атаки GLBP за допомогою Loki

Loki може виконати атаку GLBP, впроваджуючи пакет з встановленим пріоритетом та вагою 255. Перед атакою необхідно зібрати інформацію, таку як віртуальна IP-адреса, наявність аутентифікації та значення пріоритету маршрутизатора за допомогою інструментів, таких як Wireshark.

Кроки атаки:

Перейдіть у режим прослуховування та увімкніть пересилання IP.
Визначте цільовий маршрутизатор та отримайте його IP.
Створіть вільний ARP.
Впроваджуйте зловмисний пакет GLBP, видаючи себе за AVG.
Призначте вторинну IP-адресу мережному інтерфейсу атакуючого, відображаючи віртуальну IP GLBP.
Реалізуйте SNAT для повної видимості трафіку.
Налаштуйте маршрутизацію для забезпечення продовженого доступу до Інтернету через оригінальний маршрутизатор AVG.

Дотримуючись цих кроків, атакуючий розміщує себе як "людина посередині", здатний перехоплювати та аналізувати мережевий трафік, включаючи незашифровані або чутливі дані.

Для демонстрації, ось необхідні фрагменти команд:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Пасивне пояснення про захоплення HSRP з деталями команд

Огляд HSRP (Протокол гарячого резервування маршрутизатора/протокол забезпечення резервування)

HSRP є пропрієтарним протоколом Cisco, призначеним для забезпечення резервування мережевих шлюзів. Він дозволяє налаштування кількох фізичних маршрутизаторів у єдину логічну одиницю зі спільною IP-адресою. Ця логічна одиниця керується основним маршрутизатором, відповідальним за направлення трафіку. На відміну від GLBP, який використовує метрики, такі як пріоритет та вага для балансування навантаження, HSRP покладається на один активний маршрутизатор для керування трафіком.

Ролі та термінологія в HSRP

Активний маршрутизатор HSRP: Пристрій, який діє як шлюз, керуючи потоком трафіку.
Резервний маршрутизатор HSRP: Резервний маршрутизатор, готовий взяти на себе роль активного маршрутизатора у разі його відмови.
Група HSRP: Набір маршрутизаторів, які співпрацюють для утворення одного стійкого віртуального маршрутизатора.
MAC-адреса HSRP: Віртуальна MAC-адреса, призначена для логічного маршрутизатора в налаштуванні HSRP.
Віртуальна IP-адреса HSRP: Віртуальна IP-адреса групи HSRP, яка діє як типовий шлюз для підключених пристроїв.

Версії HSRP

HSRP має дві версії, HSRPv1 та HSRPv2, що відрізняються головним чином ємністю групи, використанням мультікастових IP-адрес для обміну інформацією та структурою віртуальної MAC-адреси. Протокол використовує конкретні мультікастові IP-адреси для обміну інформацією про послуги, з Hello-пакетами, що відправляються кожні 3 секунди. Маршрутизатор вважається неактивним, якщо не отримано жодного пакета протягом 10 секунд.

Механізм атаки HSRP

Атаки HSRP включають примусове захоплення ролі Активного маршрутизатора шляхом впровадження максимального значення пріоритету. Це може призвести до атаки типу "Людина посередині" (MITM). Необхідні передатактні кроки включають збір даних про налаштування HSRP, що може бути виконано за допомогою Wireshark для аналізу трафіку.

Кроки для обхіду аутентифікації HSRP

Збережіть мережевий трафік, що містить дані HSRP, у файл .pcap.

tcpdump -w hsrp_traffic.pcap

Витягніть хеші MD5 з файлу .pcap, використовуючи hsrp2john.py.

python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes

Взламайте хеші MD5 за допомогою John the Ripper.

john --wordlist=mywordlist.txt hsrp_hashes

Виконання впровадження HSRP за допомогою Loki

Запустіть Loki для ідентифікації реклам HSRP.
Встановіть мережевий інтерфейс у режим підслуховування та увімкніть пересилання IP.

sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

Використовуйте Loki для спрямування на конкретний маршрутизатор, введіть взламаний пароль HSRP та виконайте необхідні налаштування для видачі себе за Активний маршрутизатор.
Після отримання ролі Активного маршрутизатора налаштуйте мережевий інтерфейс та IP-таблиці для перехоплення законного трафіку.

sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

Змініть таблицю маршрутизації для маршрутизації трафіку через колишній Активний маршрутизатор.

sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Використовуйте net-creds.py або подібний інструмент для захоплення облікових даних з перехопленого трафіку.

sudo python2 net-creds.py -i eth0

Виконання цих кроків ставить атакуючого в положення для перехоплення та маніпулювання трафіком, аналогічно процедурі захоплення GLBP. Це підкреслює вразливість протоколів резервування, таких як HSRP, та необхідність надійних заходів безпеки.

Посилання

https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9

PreviousEIGRP Attacks NextIDS and IPS Evasion

Last updated 1 month ago