D2
Администратор
- Регистрация
- 19 Фев 2025
- Сообщения
- 4,380
- Реакции
- 0
Пентест сетевого оборудования Mikrotik
Содержание:
-О себе
-Подготовка
-Материал для роботы
-Моделирование атаки
2.Сбор информации
-Обнаружение хостов с RouterOs в сети
-Сбор информации об хостах
-Спецификации устройств и прошивок
3.Эксплутация уязвимостей и получение доступа
-0day в микротиках
-Баг в дружке или отравление DNS кэша
-Брутфорс протоколов
-Утка в микротике
-Атака на SMB в микротах
-План Б , или то что не любит red team
4.Постексплаутация
-Поговорим об мальварях
-Pivoting или подкрепление постоянного доступа
-Делаем jailbreak (root)
-Сбор локальной информации
-Dns spoofing
-Перенастройка сетки
-Армагедон
5.DoS атаки
-Tcp flood
-SSH flood
-FTP flood
-CDP flood
-ARP flood
6.Защита от атак
-Убиваем мальварь
-Изгоняем нежданных гостей
-Безопасная настройка сети для обеспечения безопасности
-Советы админам
Дисклеймер
Все манипуляции с оборудованием проводились в частной сети , оборудование мое.Информация в докладе представлена для пентестеров , специалистов по ИБ , сетевых и системных администраторов , исследователей.
Заметка для пентестеров:
При DoS атаке на оборудование нужно быть максимально осторожным и заранее согласовать проведение DoS с заказчиком и администратором (владельцем) сети.
Я не держу ответственности за ваши действия с чужим оборудованием!
Все действия в докладе показаны от лица пентестера, помните, что перед тестированием сети нужно заключить договор с владельцем и администратором сети и затем уже приступать к работе.
Пентест будет проводиться с тактикой социальной инженерии и физического пентеста.
Вступление
О себе
Привет друг! Я Gufi! , занимаюсь пентестом и исследованием сетевого оборудования.О себе
В пентесте я недавно и стараюсь проявлять активность в разных отраслях и мероприятиях.
Занимаюсь изучением и реверсингом сетевых протоколов. При тестировании сетевого оборудования Mikrotik я задумался над идеей написания доклада о пентесте Mikrotik.
Здесь я собрал самые популярные векторы атак, и всю полезную информацию, которая пригодится во время пентеста.
Статья сделана специально для XSS!
Подготовка
Арсенал инструментов:-ноутбук с kali
-wifi адаптер (подойдет встроенный , я юзал Alfa awus 1900)
-Raspberry pi (zero , 3b)
-Ethernet кабель
Software:
-Wireshark
-Nmap
-Metasploit
-Winbox
-Python
Физические привилегии:
-доступ к локальной сети (wifi , ethernet)
-время на проведение атаки (1 , 2 часа)
(Не обязательный физический доступ к оборудованию)
-физический доступ к портам оборудования.
-полный физический доступ к оборудованию
Материал для работы
Soft.zip – Kali Linux – https://www.kali.org/get-kali/#kali-platforms
Nmap – https://nmap.org/download
Metasploit Framework – https://www.metasploit.com/download
Winbox – https://mikrotik.com/download
Python – https://www.python.org/downloads/
Моделирование атаки
Мы будем работать в физической локальной сети. Это лаборатория из моего личного оборудования , чужие устройства мы не используем.Работать будем по алгоритму:
-Подготовка
-Сбор информации
-Поиск уязвимостей
-Эксплуатация уязвимостей
-Постэсксплуатация
Атакуемые устройства:
MikroTik RB2011
MikroTik CCR Series
MikroTik hEX Series
Сбор информации
Обнаружение хостов с RouterOs в сети
Обнаружение хостов с RouterOs в сети
Мы в сети… Теперь с помощью команды
ip a мы должны узнать свою подсеть!По дефолту главный маршрутизатор стоит под адресом 192.168.xx.1,
просканируем его нмапом:
Nmap 192.168.88.1 -sV(В баннерах версий мы видим версии от mikrotik)
Или просто перейдем по айпи адресу в браузере.
Переходим по ссылке
http://192.168.88.1 /Теперь мы точно знаем что под адресом 192.168.88.1 у нас главный маршрутизатор.
Теперь просканируем всю подсеть на наличие устройств mikrotik.
По дефолту во всех устройствах mikrotik открыт порт 8291 , теперь мы просто сканируем все устройства в сети и определяем девайсы с этим открытым портом.
nmap 192.168.88.1/24 -p 8291 --openПолучаем такой вывод:
Теперь делаем таблицу в которую мы будем записывать информацию об таргетах:
| 192.168.88.1 | 48:8F:5A:89:E9:F0 |
| 192.168.88.12 | 48:8F:5A:E7:BA:BC |
| 192.168.88.23 | 48:8F:5A:E7:BA:A6 |
| 192.168.88.35 | 48:8F:5A:7A:82:CE |
| 192.168.88.38 | 48:8F:5A:7A:82:CE |
В следующей главе мы будем проводить первый этап пентеста – Information gathering ,будем собирать всю общедоступную информацию об таргетах из таблицы. И добавлять новые найденные данные об устройствах , таких как:
-версия прошивки
-открытые порты
-версии служб
-и т.д.
Сбор информации об хостах
В предыдущей главе мы обнаружили 5 устройств от mikrotik , теперь займемся сбором полной общедоступной информации об этих устройствах для дальнейшего пентеста.
Автоматизированный сбор информации
Из архива soft.zip тянем папку MIG toolMIG tool (Microtik Information Gathering tool) – это мой скрипт на python сделанный для автоматизации сбора информации об хостах.
Запускаем скрипт info_gath.py (запускаем через sudo):
В поле Input IP вводим ip адрес устройства (вводим все айпи адреса из таблицы по одному)
Мы получили такую информацию об устройствах как:
-RouterOS Version -Open ports
-Authorization page -Ports Banners
-MAC address -OS family
Парсинг MNDP пакета
MNDP - Протокол MikroTik Neighbor Discovery (MNDP) и LLDP позволяют «находить» другие устройства, совместимые с MNDP или CDP (Cisco Discovery Protocol) или LLDP в широковещательном домене Layer2.
Если перехватить пакет этого протокола , то можно без проблем в открытом виде получить много полезной информации об оборудовании.
1.Запускаем wireshark и начинаем сниффинг.
2.В фильтре поиска пишем mndp:
3.Ждем пока появится пакет:
4.Кликаем на пакет и получаем полные данные про оборудование:
Вкладка source нашем случае это ip адрес оборудования.
Получаем такую информацию из пакета:
-MAC-Address
-Identity
-Version
-Platform
-MikroTik
-Software-ID
-Board
-Unpack
-Interface name
-IPv4-Address
Теперь дополним нашу таблицу этими данными.
| IP address | MAC address | Firmware version | Open ports | Ports Banners | Board Model | Software ID |
Используя эти две тактики мы можем собрать много информации об нашей цели , например: версия прошивки , службы , модель оборудования и т.д.
Информация пригодится для поиска уязвимостей к этим версиям и дальнейшей эксплуатации.
В следующей главе мы поговорим об разных версиях прошивок и моделях оборудования.
Спецификации устройств и прошивок
Построение сети идет из таких устройств как:-Главный маршрутизатор(зачастую под адресом 192.168.88.1)
-Коммутаторы (разделение сети на разные большие куски из устройств)
-Адаптеры или ретрансляторы(устройства для усиления сигнала)
Для всех устройств mikrotik этих типов есть панель администрирования и своя версия прошивки.
Их можно конфигурировать и для них тоже есть базовые уязвимости, например протоколы общения.
RouterOS – OS на основе ядра Linux специально сделанная для оборудования mikrotik. Версия RouterOS играет большую роль при пентесте , например устройства с версией RouterOS от 6.29 до 6.42 уязвимы к эксплоиту CVE-2018-14847.
Маршрутизатор Коммутатор (switch)
В следующей главе мы займемся поиском уязвимостей и их эксплуатацией , в этом нам поможет собранная информация и эксплоиты под разные виды уязвимостей.
Эксплуатация уязвимостей и получение доступа
0day в микротиках
Критическая уязвимость дает доступ к чтению произвольного файла , тем самым эксплоит вытянет нам креды от устройства.
В архиве заходим в папку CVE-2018-1484
У нас есть несколько способов запуска эксплоита:
Атака по winbox(tcp/ip) с запросом ip адреса:
python3 WinboxExploit.py <ipАтака по winbox c запросом MAC адреса:
Определяем Mikrotik в сети:
python3 MACServerDiscover.pyАтака!
python3 MACServerExploit.py <MAC>После проведения атаки мы увидим такую картину:
Теперь заходим в winbox и подключаемся к устройству:
У нас появился доступ к устройству.
Баг в дружке или отравление DNS кэша
DNS cache poisoning – один из популярных векторов атак , при котором происходит подмена DNS сервера устройства.
Эта уязвимость проявляется в службе Winbox, которая используется для удаленного управления маршрутизатором. Злоумышленник может отправить специально сформированный запрос к уязвимому устройству, который может позволить ему выполнить произвольный код на устройстве без необходимости аутентификации.
В случае с микротиками , мы будем использовать эксплоит под уязвимость CVE-2019-3978. Скрипт изменяет днс сервер на наш , тем самым мы можем заставить устройство Скачать
View hidden content is available for registered users!
View hidden content is available for registered users!