小蔡 
级别:精灵王
威望:0
经验:27
货币:3111
体力:
来源:四川
总发帖数:439
注册日期:2002-01-28 |
|
 查看  邮件  主页  QQ  消息  引用  复制  下载
这个东西非常的好,你的第一台CISCO的路由器可能就是用它找到的,就像你的第一台NT用LETMEIN找到的一样,实在是太经典了。
这里有一篇别人写的说明:
路由与SNMP协议利用
前言:
本文之内容取自国内外同类资料,可以任意拷贝,传阅,也可任意修改,但请在修
改后mail给我一份。谢谢!
本文只是出于技术交流的目的,请不要把它用在破坏的用途上,★如果有因阅读本
文造成的非法后果,我不对此承担任何责任!★
在网上逛了很久了,发现国内不少的站点在EXPLOITS上面更新的都比较快,而且有比较详细的说明,但是,现在经常被问到的一个问题是,会用几个EXPLOITS,是不是就算是黑客了,
呵呵,我想大家都知道答案,所以,我们要尽量开阔自己的知识面,象《JFS突破PC
-WEEK的机器》那些好文章一样,我想,应该有很多人读了以后都有所感
触,因此,小弟也不敢藏私,把自己从国外了解到的一点知识写出来,和大家共同讨论
,其中肯定有许多不足,我相信也有很多高手早就掌握了这些方法,呵呵,假如你看不
过去/*我写的太次*/,也请告诉我。:)
目前通用的HARDWARE ROUTER大概有以下几种,CISCO ROUTERS ;CISCO
SWITCHES;/*很多第三层SWITCH*/;BAY ROUTERS;ASCEND ROUTERS,SOFTWARE
ROUTER就非常多了,基本上现在得OS都支持。
我们的第一步就是要知道,你的目标主机躲在哪个ROUTER后面,在UNIX和NT
甚至98,都有个命令可以帮助你找到,TRACEROUTE或者TRACERT,你可以看到到你的TAR
GET的最后一个ROUTER是什么IP,这是因为ROUTER会回复你一个TTL-expired packet,下
面有个简单的ROUTER限制TTL-EXCEEDED PACKETS命令
“access-list 101
deny icmp any any 11 0" /*CISCO ROUTER* /
从安全的角度来看,采取简单的手段就完全可以作到让别人看不到自己的ROUTER,当
然,HACKER也有相应的对策,不过我打算在以后关于FIREWALL SCAN的文章里面讨论这点
,现在就先略过不提了,
第二步就是看这是什么ROUTER,最简单也最容易实现的就是利用我们心爱的NMAP/*目
前最新版本是2.3BETA10*/,或者是利用另一个工具QUESO来看,它们有着独特的OS鉴定
功能……/*还有一些功能强悍的SNMPSCANER也可以作到,不过我们放到后面一块讨论*/
找个开的PORT,然后 nmap -O -p* -n *.*.*.*,hehe 出来罗
/*不行的话,不用担心,看看下面这个表再说吧~~*/
表1大概的列出各种HARDWARE
ROUTER的一些PORT,好好看哦
CISCO ROUTERS
TCP PROT 21 23 79 80
512 513 514 1993*CISCO SNMP* 1999*CISCO IDENT* 2001
4001 6001
9001*XREMOTE SERVICE*
UDP PROT 0 49 67 69 123 161
CISCO
SWITCHES
TCP 23 7161
UDP 0 123 161
BAY ROUTERS
TCP 21 23
UDP 7 9 67 68 69 161 520
ASCEND TOUTES
TCP 23
UDP 7 9 161 162 514 520
还不快点SCAN你的目标PORT列表去~~~~
其他方法
有些CISCO的23&2001口有这么一句”user access verification",XIXI
你用TELNET一看就可以看到,等于是告诉我门,我是CISCO啊……
还有CISCO的1999口在你发给他一个TCP连接时,在回复给你的RST/ASK包里
你可以看到有‘CISCO“的单词,呵呵,大把工具可以帮助我们看到,例如NETX等据说不
止这个PORT有,还有17**,26**,36**,4***,72**,75**,都存在这个问题
西西,想过没有,利用BROWSER连接到TARGET的2001,4001,6001口会怎么样呢?
哈哈,假如出现如下提示
‘user access verification password : passwd:
password:&bad passwords"
99.999%是我们的CISCO在回答了
最后,还有我们的瑞士军刀……黑客的梦幻工具NC,利用NC连接到目标的9001口,
CISCO将告诉我们”ENTER X SERVER NAME OR IP ADDRESS“
如何得到一个网段更详细的回答呢?呵呵
下面就请出我们的SNMP协议来了,SNMP是simple
network management protocol=
简单网络控制协议,目前的标准版本是SNMPv3,这个版本是安全性高的但是并没有得到广
泛应用,而以前应用广泛的俩版本SNMPv1,SNMPv2,都有安全问题存在,简单介绍如下
SNMP是标准的远程管理和监视技术,适用于网络设备如ROUTER,HUP和网桥以及服
务器和工作站,是基于UDP的服务,SNMP服务端监听TCP和UDP的161口,SNMP接受端同时
监听TCP和UDP的162口和161口。
SNMP首先是由Internetr engineering Task
Force (IETF)研究小组开发的,定义
了从网络设备处收集网络管理信息的办法,还为设备指定了向网络管理站报告故障和错误
的途径,作为一种规范,它有三个方面的内容:
SMI 管理信息的结构
MIB 管理信息库
SNMP
简单网络管理协议本身
呵呵,一般来说,所谓的“符合SNMP标准”就是指实现了网络管理代理功能的网络
设备,也就是说支持SNMP协议。
用最通俗的说法表达,就是要接受管理的设备运行代理(软件或者硬件),代理驻
留在被管理的设备中,跟踪被管理设备的状况,并且向管理站报告所在设备的信息。而
作为网络管理站的是一个控制台程序,包含了被管理的TCP/IP网络的总体信息。一般来
说,控制台提供三种功能,GUI,数据库和通信服务。GUI给出图形界面,一般是画出拓
扑图表示,数据库则随时更新网络设备和设备参数,控制台和被管理设备的通信机制就
是用SNMP协议 。
具体对于一台路由来说,代理(软件或者硬件)会有关于它的路由选择表,接受和
发送包的总数量等信息,并且作为网络管理站/*假如你成为了……*/就可以从代理处更
新,增加或删除由代理得到的信息。
下面是如何具体利用SNMP来得到我门感兴趣的东西/*好好看哦……*/
SNMP协议有两个基本命令模式,read read/write, read 意思是可以通过SNMP协
议观察设备配置细节,而read/write呢,就可以让你有权限去写进一些东西,包括load
&upload
router config文件……哈哈,
OK,我把一些基本网络设备的read read/write
名字列在下面,希望各位网管看
到以后,检查自己的网络,要知道,国外这些已经是公开的秘密了~~~~~
DEVICESS READ READ/WRITE
CISCO public private
3COM
public,monitor mannger,escurity
ascend public write
bay
public private
在这里,我向大家推荐一个非常好用的FOR SNMP协议的工具SOLARWINDS,现在最新
版本是15兆,他是多个工具的合集,包括了CISCO TOOL,DNS TOOL 。TFTP
TOOL ,SNMP
SWEEP,IP NETWORK BROWER等,这是个商业软件,可以DOWNLOAD 30次的限
次版本,但是……。这个软件本来是帮助ADMIN方便管理自己的NETDEVICES,可剑是双刃
的,看你如何利用了:)
利用SNMPSWEEP,可以很方便的看到一个网段的情况,包括机器名字,硬件信息:
),系统配置,而IP
BROWSER呢,就可以详细的替你列出每台机器的配置/*口令允许的
情况下,而根据我的经验,目前国内的网络~~~:(,不说也罢*/
呵呵,最恐怖&开心的一点是,利用么认的口令,你可以很轻松的用该工具包里的CISCO
TOOL得到CISCO
ROUTER的配置文件,和上传经过你修改以后的东东……
这是因为CISCO支持OLD-CISCO-SYS-MIB的话,就允许通过read/write命令和TFTP
协议来DOWNLOAD配置文件,只要我们在自己的机器上开一个TFTP服务,就可以把ROUTER
的配置文件给拿到,CISCO的密码文件也包含在里面,虽然是加密的,但是,破解他的加
密非常容易,在得到配置文件以后,利用SOLARWIND的解密工具,就可以拿到解密的密码
,从而进入TOURER,然后……,具体可以看
ftp://ftp.cisco.com/pub/mibs/supportlists/
而且还可以从INTERNET找到专门对付CISCO加密的软件,在这里我给出几个,你
可以从那里得到
http://www.avian.org SHELL SCRIPT写的/*written by hobbit*/
http://www.rootshell.com c写的ciscocrack.c/*written by sphixe*/
http://www.10pth.com/~kingpin/cisco.zip
ADMIN利用show
config命令,也可以看到自己的密码文件是否容易被破,
如果出现“enable passwd
****",就说明存在问题,如果是"enable secret ****",那表
示你的密码已经用MD5加密了,但是,着只说明你的安全风险没有那么大了,还是有别的
危险的,因为目前还没有关于应用MD5加密VTY PASSWD的技术出现。最好的建议……请联
系你的硬件供应商。
另外,还有一个有点象SNIFFIT的软件也有抓SNMP请求和回应的功能,它的名字就叫
SNMPSNIFFIT,呵呵,多了个SNMP,从它收集的信息中,可以分析出TOUTER的读写命令,
还可以用来为下一次入侵收集情报。
还有个SNMPSCAN也是FOR
SNMP的SCANER,我试了试,还不错。呵呵,它自带一个简单
字典,而且你还可以自己编辑字典,很熟悉的思路。
# ./snmpscan
SNMPscan (version: 0.05 alpha) by
knight@phunc.com of phunc
Reading host file 'hosts': 1 hosts
read.
Guessing community on host '*.*.*.*':
Community
'public' *** successful ***.
Community 'private' *** successful
***.
Community 'router' unsuccessful.
Community 'test'
unsuccessful.
# ./snmpscan -dict
SNMPscan (version: 0.05
alpha) by knight@phunc.com of phunc
Reading host file 'hosts': 1
hosts read.
Guessing community on host '*.*.*.*':
Community
'public' unsuccessfu.
Community 'private' unsuccessfu.
Community 'router' unsuccessful.
Community 'test'
unsuccessful.
Using communities from dictionary.
Community
a1z26 *** successful ***.
Community aaron1 unsuccessful.
Community aba unsuccessful.
Community aba1 unsuccessful.
另外,每种ROUTER都有自己的系统帐户/如CISCO得一般是cisco,cisco等。。。。
另附,路由简单命令
show ? 将会显示所有用于当前模式的show命令
show
version 系统硬件配置,软件版本,引导映像
show process 显示激活的进程信息
show
protocols 显示配置的协议
show memory 显示内存统计信息
show stacks 监控进程使用信息
show buffers 显示网络服务器上的缓冲区信息
show flash 显示FLASH设备信息
show
term 显示备份配置文件
show config 显示所有路由器已配置的接口信息
show line
显示所有路由器已配置的线路信息
在CISCO/*or
other?*/里,支持命令简写,例如“en"命令就相当于”enable"命令,he
he,然后你就可以看到
Router〉
变成
Router#
表示你已经从非特权模式切换到特权模式。
如果硬要比较的话,这个命令可是相当于
UNIX下的“su"哦
/*特权模式通常是口令保护,除非路由器未配置好。:)极力推荐我们的网管使用特权
口令保护。*/
其他攻击方法/*由于条件&水平限制,下列方法我也只是知道,没有亲自实验过,但
也在此罗列出来,希望有心的同志可以……,记得有什么心得要email我哦:)*/
假如你成功的得到read/write community string以后,可以填加一个静态的ROUT
ER到你的WEB,哈哈,当被黑的ROUTER的用户通过此ROUTER访问外部WEB时
SNMP将利用你的路由列表(ip
routing table group),你完全可以把你自己的IP变成某
著名站点,呵呵
利用RIPv1的安全漏洞-RIPv1没有鉴别PACKETS的安全机制,我们可以伪装RIP pac
kets去欺骗ROUTER,从而得到你想要的东西……,RIP 是运行在521 port(tcp&udp)上
的,ADMIN可以关掉此PORT来防范。
安全防范
一.CISCO设备
1.作为ADMIN,你可以用如下命令把read read/write命令从么认的public private
换掉
snmp-server community RO
2.还可以限制其他未授权的IP read
read/write你的CISOC DEVICES,利用如下命令
access-list 101 permit udp
192.168.55.0 0.255.255.255 any eq 161 log
3.或者用釜底抽薪的办法,直接关掉设备的SNMP服务,呵呵
no snmp-server
二.UNIX系统
在UNIX下是使用一个守护程序运行SNMP,在系统运行时,SNMP从规定的端口上接受
SNMP操作请求,SNMP的配置普遍使用的三个文件是,/etc/snmpd.conf
/etc/snmpd.trap ,
/etc/snmpd.com (可能不同的系统存在不同,这是FOR SCO UNIX的)
ADMIN要注意的是/etc/snmpd.com,它包括了一系列的NMAE和IP地址,本地运行的代
理可以从指定的系统接受SNMP操作,举例如下;
#sample Snmpd.com file
own1
192.168.55.1 READ
own2 192.168.55.2. WRITE
public 0.0.0.0
READ
表示允许IP为192.168.55.1的机器对自己进行READ操作,192.168.55.2的机器对自己进
行READ和WRITE的两种操作,最后一行表示任意IP(0.0.0.0)可对自己进行READ操作。
假如把read
write换成none,就表示拒绝该IP任何访问。只要正确的设定信任IP就OK了。
另外,合理的配置/etc/snmpd.conf文件可以帮助你管理自己的网络。此文件包括
了SNMP需要的基本信息,如SNMP软件产品型号,TCPIP软件标识及系统管理员名字和系统
的物理位置,联系方法等,西西,你用IPBROWSER看到的就是这些了……
本文中所提及的任何软件均可以轻易的从INTERNATER找到。
再次重申,由于ROUTER状况往往关系到整个网络的稳定,所以,请谨慎对待,不管
你是作为ADMIN OR
HACKER,我本人不对你利用文中所讨论技术而实现的任何行为负任何
责任!!!!
以上就是我了解的一些关于路由和SNMP协议的基本情况和简单的利用方法,假如你
有其他办法,请与我交流,我的EAMIL是a1z26@21cn.com
请到MIT's key server拿我的PGP
public key
BTW:现在感觉利用这些网管工具,最重要得就是可以帮助你判断网络拓扑。找到系统薄弱点。。。
例如通过对交换机、路由的分析,一般可以大概明了这个网段的情况。
配合DNS的查询,呵呵,下面不用我说了。。。
by
a1z26
12.27.99
下面是我弄到的两个路由器的配置文件,可以给大家参考一下:
!*
c3548-ICP.CiscoConfig
!* IP Address : 210.78.128.2
!*
Community : private
!* Downloaded 2001-11-25 10:30:14 by
SolarWinds Config Transfer Engine Version 3.3.0
!
version 12.0
no service pad
service timestamps debug
uptime
service timestamps log uptime
service
password-encryption
!
hostname c3548-ICP
!
enable
secret 5 $1$HTX4$R61jNhg2D7g9hxC7UTCb61
!
!
!
!
!
!
ip subnet-zero
no ip domain-lookup
cluster
enable sony 0
!
!
!
interface FastEthernet0/1
switchport access vlan 2
!
interface FastEthernet0/2
duplex full
speed 10
switchport access vlan 2
!
interface FastEthernet0/3
switchport access vlan 2
!
interface FastEthernet0/4
switchport access vlan 2
!
interface FastEthernet0/5
switchport access vlan 2
!
interface FastEthernet0/6
switchport access vlan 2
!
interface FastEthernet0/7
switchport access vlan 2
!
interface FastEthernet0/8
switchport access vlan 2
!
interface FastEthernet0/9
switchport access vlan 2
!
interface FastEthernet0/10
switchport access vlan 2
!
interface FastEthernet0/11
switchport access vlan 2
!
interface FastEthernet0/12
switchport access vlan 2
!
interface FastEthernet0/13
switchport access vlan 2
!
interface FastEthernet0/14
switchport access vlan 2
!
interface FastEthernet0/15
switchport access vlan 2
!
interface FastEthernet0/16
switchport access vlan 2
!
interface FastEthernet0/17
switchport access vlan 2
!
interface FastEthernet0/18
switchport access vlan 2
!
interface FastEthernet0/19
switchport access vlan 2
!
interface FastEthernet0/20
switchport access vlan 2
!
interface FastEthernet0/21
switchport access vlan 3
!
interface FastEthernet0/22
switchport access vlan 3
!
interface FastEthernet0/23
switchport access vlan 3
!
interface FastEthernet0/24
switchport access vlan 3
!
interface FastEthernet0/25
switchport access vlan 2
!
interface FastEthernet0/26
switchport access vlan 2
!
interface FastEthernet0/27
switchport access vlan 2
!
interface FastEthernet0/28
switchport access vlan 2
!
interface FastEthernet0/29
switchport access vlan 2
!
interface FastEthernet0/30
switchport access vlan 2
!
interface FastEthernet0/31
switchport access vlan 2
!
interface FastEthernet0/32
switchport access vlan 2
!
interface FastEthernet0/33
switchport access vlan 2
!
interface FastEthernet0/34
switchport access vlan 2
!
interface FastEthernet0/35
switchport access vlan 2
!
interface FastEthernet0/36
switchport access vlan 2
!
interface FastEthernet0/37
switchport access vlan 2
!
interface FastEthernet0/38
switchport access vlan 2
!
interface FastEthernet0/39
switchport access vlan 2
!
interface FastEthernet0/40
switchport access vlan 2
!
interface FastEthernet0/41
switchport access vlan 2
!
interface FastEthernet0/42
switchport access vlan 2
!
interface FastEthernet0/43
switchport access vlan 2
!
interface FastEthernet0/44
switchport access vlan 2
!
interface FastEthernet0/45
switchport access vlan 2
!
interface FastEthernet0/46
switchport access vlan 2
!
interface FastEthernet0/47
switchport access vlan 2
!
interface FastEthernet0/48
switchport access vlan 2
!
interface GigabitEthernet0/1
switchport trunk encapsulation
dot1q
switchport mode trunk
!
interface
GigabitEthernet0/2
!
interface VLAN1
no ip address
no ip directed-broadcast
ip nat outside
shutdown
!
interface VLAN2
description icp-www-news
ip address
210.78.128.2 255.255.255.192
no ip directed-broadcast
ip nat
outside
!
interface VLAN3
description icp-2
no ip
directed-broadcast
shutdown
!
interface VLAN4
description icp-3
no ip directed-broadcast
shutdown
!
interface VLAN5
description icp-4
no ip
directed-broadcast
shutdown
!
ip nat inside source list
199 interface VLAN2 overload
access-list 199 dynamic Cluster-NAT
permit ip any any
snmp-server engineID local
000000090200000216DD6BC0
snmp-server community private RW
snmp-server community public RO
snmp-server community
private@es0 RW
snmp-server community public@es0 RO
snmp-server chassis-id 0x17
!
line con 0
transport
input none
stopbits 1
line vty 0 4
password 7
0142151D58081E5F
login
line vty 5 14
password 7
0257174208051771
login
line vty 15
password 7
0055001F07581356
login
!
end
!* ccj2924.CiscoConfig
!* IP Address : 210.78.147.6
!* Community : private
!*
Downloaded 2001-11-25 10:37:04 by SolarWinds Config Transfer Engine
Version 3.3.0
!
version 12.0
no service pad
service timestamps debug uptime
service timestamps log
uptime
no service password-encryption
!
hostname ccj2924
!
enable secret 5 $1$aHUB$obeyIDbw93AsJFDJkf8cu.
!
!
!
!
!
!
ip subnet-zero
cluster enable
ccj2924 0
!
!
!
interface FastEthernet0/1
!
interface FastEthernet0/2
!
interface FastEthernet0/3
!
interface FastEthernet0/4
!
interface
FastEthernet0/5
!
interface FastEthernet0/6
!
interface FastEthernet0/7
!
interface FastEthernet0/8
!
interface FastEthernet0/9
!
interface
FastEthernet0/10
!
interface FastEthernet0/11
!
interface FastEthernet0/12
!
interface FastEthernet0/13
!
interface FastEthernet0/14
!
interface
FastEthernet0/15
!
interface FastEthernet0/16
!
interface FastEthernet0/17
!
interface FastEthernet0/18
!
interface FastEthernet0/19
!
interface
FastEthernet0/20
!
interface FastEthernet0/21
!
interface FastEthernet0/22
!
interface FastEthernet0/23
!
interface FastEthernet0/24
!
interface
FastEthernet1/1
!
interface FastEthernet1/2
!
interface FastEthernet1/3
!
interface FastEthernet1/4
!
interface FastEthernet2/1
!
interface
FastEthernet2/2
!
interface FastEthernet2/3
!
interface FastEthernet2/4
!
interface VLAN1
ip
address 210.78.147.6 255.255.255.0
no ip directed-broadcast
ip nat outside
!
ip default-gateway 210.78.147.1
ip
nat inside source list 199 interface VLAN1 overload
access-list
199 dynamic Cluster-NAT permit ip any any
snmp-server engineID
local 0000000902000002169FDE00
snmp-server community private RW
snmp-server community public RO
snmp-server community
private@es0 RW
snmp-server community public@es0 RO
snmp-server chassis-id 0x10
!
line con 0
transport
input none
stopbits 1
line vty 0 4
password ccj2924
login
line vty 5 15
password ccj2924
login
!
end
|
首页 
小榕软件实验室 
刀光雪影 
功能强大的solarwinds2001[转帖] 
将此页发给您的朋友
编辑
删除
发表于 2002-03-27.21:32:09 
IP: 
