Сообщения без ответов | Активные темы Текущее время: 28 мар 2024, 23:07



Ответить на тему  [ Сообщений: 17 ] 
Непростая задачка: как попасть на маршрутизатор? 
Автор Сообщение
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Пусть Вы - несправедливо обиженный работник IT отдела, который остался ночью якобы поработать, но на самом деле вынашиваете грозные планы возмездия!

Ваша задача - получить доступ к привилегированному режиму маршрутизатора cisco, стоящему как шлюз выхода в интернет.

Вы пробрались в небольшую серверную, увидели маршрутизатор. Вот как бы и всё, но увы, вам в своё время на глаза попался кусочек конфига этого маршрутизатора. Вот он:

no service password-recovery
!
access-list 1 permit host 4.4.4.4
!
line vty 0 4
no login
privilege 15
access-class 1 in
Пароля на режим enable Вы не знаете.
Ничего пронести в серверную вам не удалось, но тут же рядом на полке вы увидели бесхозную ASA 5510 в коробке с модулем AIP-SSM. Там же в серверной жужжал и комп с консолью, но увы, сетевухи в нём не было.

ASA оказалась новенькой, ещё не распечатанной, с парой езернет проводков, как полагается, с пустым конфигом, поэтому можете использовать её как хотите.

(Хинт: Вы можете давать команды на маршрутизаторе из непривилегированного режима.
Пусть будет такой интерактив: вы спрашиваете, вывод какой команды вам нужен, я его вам пишу.)


Сможете ли вы добиться своих целей?

Дерзайте!


18 май 2009, 13:27
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="Fedia"]Пусть Вы - несправедливо обиженный работник IT отдела, который остался ночью якобы поработать, но на самом деле вынашиваете грозные планы возмездия!

Ваша задача - получить доступ к привилегированному режиму маршрутизатора cisco, стоящему как шлюз выхода в интернет.
Сможете ли вы добиться своих целей?

Дерзайте![/quote]


>R1 sh ip route
>R1 sh ip int brief



Понятно, что скорее всего асу и маршрутизатор нужно соединить по двум портам друг с другом (ну я так думаю). К самому роутеру, мы соединяемся по консоли
С асы сессию телнет вроде открывать нельзя поэтому смотрим, какой интерфейс по-умолчанию у роутера, такой же назначаем ethernet 0 (inside) у Асы.

дальше варианты.. route map есть у asa?
в общем нужно весь трафик направить на второй интерфейс роутера... здесь нужно думать


18 май 2009, 21:39
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="silver"][quote="Fedia"]Пусть Вы - несправедливо обиженный работник IT отдела, который остался ночью якобы поработать, но на самом деле вынашиваете грозные планы возмездия!
[/quote]

угу.. подсмотрел на соседнем сайте...

тогда что-то типа такого


ASA

interface Ethernet0
nameif inside
security-level 100
ip address 10.100.100.254 255.255.255.0

interface Ethernet1
nameif outside
security-level 0
ip address 10.200.200.254 255.255.255.0

global (outside) 1 4.4.4.4
nat (inside) 1 10.100.100.1 255.255.255.255
route outside 0.0.0.0 0.0.0.0 10.200.200.1 1


18 май 2009, 22:41
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="silver"]
ASA

interface Ethernet0
nameif inside
security-level 100
ip address 10.100.100.254 255.255.255.0

interface Ethernet1
nameif outside
security-level 0
ip address 10.200.200.254 255.255.255.0

global (outside) 1 4.4.4.4
nat (inside) 1 10.100.100.1 255.255.255.255
route outside 0.0.0.0 0.0.0.0 10.200.200.1 1[/quote]


Предполагается. что Аса подсоеденена через интерфейс e0 к порту FastEthernet0/0.10
и через интерфейс e1 к порту FastEthernet0/0.20

телнет мы производим с роутера, командой
telnet 10.200.200.1 /sou 10.100.100.1


18 май 2009, 22:45
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
silver писал(а):
silver писал(а):
ASA

interface Ethernet0
nameif inside
security-level 100
ip address 10.100.100.254 255.255.255.0

interface Ethernet1
nameif outside
security-level 0
ip address 10.200.200.254 255.255.255.0

global (outside) 1 4.4.4.4
nat (inside) 1 10.100.100.1 255.255.255.255
route outside 0.0.0.0 0.0.0.0 10.200.200.1 1




Предполагается. что Аса подсоеденена через интерфейс e0 к порту FastEthernet0/0.10
и через интерфейс e1 к порту FastEthernet0/0.20

телнет мы производим с роутера, командой
telnet 10.200.200.1 /sou 10.100.100.1






Gate> sh ip int br
FastEthernet0/0.10 10.100.100.1 YES NVRAM up up
FastEthernet0/0.20 10.200.200.1 YES NVRAM up up
FastEthernet0/1 Unassigned shutdown

Gate> sh ip ro
C 10.100.100.0/24 is directly connected, f0/0.10
C 10.200.200.0/24 is directly connected, f0/0.20
S* 0.0.0.0/0 [1/0] via 10.100.100.254



Как вы предполагаете подключить 2 интерфейса АСА к 1 интерфейсу циски? :)

Есть ещё над чем доработать, но направление в целом верное!


18 май 2009, 23:22
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="Fedia"]

Как вы предполагаете подключить 2 интерфейса АСА к 1 интерфейсу циски? :)

Есть ещё над чем доработать, но направление в целом верное![/quote]

Мда :-)


sh int fa FastEthernet0/0.10
sh int fa FastEthernet0/0.20


18 май 2009, 23:34
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="silver"]

sh int fa FastEthernet0/0.10
sh int fa FastEthernet0/0.20[/quote]

Кстати, Вы пока единственный озаботились номерами ВЛАНов на подынтерфейсах :)))


FastEthernet0/0.10 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0013.7f1f.6560 (bia 0013.7f1f.6560)
Internet address is 10.100.100.1/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 100.
ARP type: ARPA, ARP Timeout 04:00:00
Last clearing of "show interface" counters never

FastEthernet0/0.20 is up, line protocol is up
Hardware is MV96340 Ethernet, address is 0013.7f1f.6560 (bia 0013.7f1f.6560)
Internet address is 10.200.200.1/24
MTU 1500 bytes, BW 100000 Kbit, DLY 100 usec,
reliability 255/255, txload 1/255, rxload 1/255
Encapsulation 802.1Q Virtual LAN, Vlan ID 200.
ARP type: ARPA, ARP Timeout 04:00:00
Last clearing of "show interface" counters never


18 май 2009, 23:56
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
ВО. отлично, уже очень близко!

Но: задайте себе 2 вопроса:

На какой адрес вы будете писать телнет?
По какому маршруту пойдёт прямой пакет и обратный пакет?

Ведь телнет на 10.200.200.254 ведет в вашем конфиге на АСУ


19 май 2009, 06:38
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="Fedia"]ВО. отлично, уже очень близко!

Но: задайте себе 2 вопроса:

На какой адрес вы будете писать телнет?
По какому маршруту пойдёт прямой пакет и обратный пакет?

Ведь телнет на 10.200.200.254 ведет в вашем конфиге на АСУ[/quote]

можно обычный роутер использовать вместо АСЫ? :-)
ну не понимаю я в них ничего :-)
я так понимаю здесь еще одна сложность будет... необходимо будет, что бы трафик на асу возвращался на тот же интерфейс, с которого пришел запрос, иначе аса будет рубить такой трафик?


19 май 2009, 07:13
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Верно. Сложность есть. Подскажу: она в общем случае решается методом, приведенном в предыдущей задачке (такая Лемма получилась :)), а в частном - применением спецключа в команде telnet

Вместо ASA нельзя поставить рутер - будет очень НЕ интеренсно, ведь на рутере есть встроенный телнет клиент, и достаточно будет написать

telnet 10.100.100.1 /so loop 0

где loop 0 имеет адрес 4.4.4.4

Какая же это сложная задачка :)


19 май 2009, 09:56
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Ну что же, дорогие мои, думаю пришло время открывать карты.
Первое решение.

Итак, что мы имеем:
1. На компе нет езернета — его только для конфига
2. На АСА тоже нет клиента (телнет и ssh) — значит её надо как то по-другому использовать
3. Циска сама на себя зайти не сможет, т.к. телнет и ssh пропущены только с некоего хоста 4.4.4.4
4. Про маршрутизацию мы знаем, что есть дефолтный маршрут на 10.100.100.254
5. Про интерфейсы мы знаем, что их 2, логических, значит работают с 802.1q метками
6. Надо ещё поинтересоваться (никто не спросил вывод команды sh int), какие же VLANы обслуживаются подынтерфейсами. На антицискином форуме поинтересовались.
тут маленький подвох: номер подынтерфейса не совпадает с обслуживаемым VLAN.
int f0/0.10 — VLAN 100, int f0/0.20 — VLAN 200

Задача сводится к следующему: надо с маршрутизатора (только там есть встроенный телнет клиент) открыть на КАКОЙ ТО адрес телнет сессию так, чтобы пакет убежал на АСУ, там куда то странслировался и прибежал ОБРАТНО на циску, но уже с другими адресами, причём адрес источника должен быть 4.4.4.4

Решение:
1. Подключаем хвост АСЫ е0/0 к порту f0/0
2. Создаём 2 подынтерфейса

asa(config)# int e0/0.10
asa(config-if)# vlan 100
asa(config-if)# ip address 10.100.100.254 255.255.255.0
asa(config-if)# security-l 0
asa(config-if)# nameif outside

asa(config)# int e0/0.20
asa(config-if)# vlan 200
asa(config-if)# ip address 10.200.200.254 255.255.255.0
asa(config-if)# security-l 100
asa(config-if)# nameif inside


3. Как заставить циску обратиться не через дефолтный маршрут? Смотрим предыдущую задачку: нам поможет только АРП. Значит на АСЕ надо странслировать адрес 10.100.100.1 в некий адрес из сети 10.200.200.0/24

static (outside,inside) 10.200.200.2 10.100.100.1

Читаем: если пакет бежит с интерфейса outside на интерфейс inside, его адрес источника транслируется с 10.100.100.1 на 10.200.200.2. Ну а если мы обращаемся на 10.200.200.2, то прокидываемся на 10.100.100.1

Осталось малость: подделать адрес источника на 4.4.4.4

static (inside,outside) 4.4.4.4 10.200.200.1

Я транслирую именно адрес интерфейса 10.200.200, а обращаюсь на 10.100.100 не спроста: обратный пакет с рутера должен пробежать по дефолтному маршруту, т.к. адрес 4.4.4.4 ему не принадлежит, а значит ответ должен уйти с интерфейса 10.100.100

Осталось пропустить снаружи телнет (и ssh) трафик:

access-list FROMOUT permit tcp any any eq 23
access-list FROMOUT permit tcp any any eq 22

access-group FROMOUT in int outside


и мы в дамках :))


20 май 2009, 16:16
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="Fedia"]Ну что же, дорогие мои, думаю пришло время открывать карты.
Первое решение.

и мы в дамках :))[/quote]

я пытался решить ситуацию так:

!
interface Ethernet0
no nameif
security-level 100
no ip address
!
interface Ethernet0.10
vlan 100
nameif inside
security-level 100
ip address 10.100.100.254 255.255.255.0
!
interface Ethernet0.20
vlan 2
nameif outside
security-level 10
ip address 10.200.200.254 255.255.255.0
!


access-list out extended permit tcp any any
access-list out extended permit ip any any
static (inside,outside) 10.200.200.100 10.100.100.1 netmask 255.255.255.255
static (outside,inside) 10.100.100.200 10.200.200.1 netmask 255.255.255.255
access-group out in interface outside
access-group out out interface outside
route outside 0.0.0.0 0.0.0.0 10.200.200.1 1


при такой конфигурации у меня все отлично работает.. как в одну, так и в другую сторону...
static (inside,outside) 4.4.4.4 10.100.100.1 netmask 255.255.255.255

и все... больше ничего не живет :-)

все осложняется тем, что асы совсем не знаю, и первый опыт, по сути, это сейчас, причем в эмуляторе (правда не думаю, что сильно отличается от боевого железа :-) )
Но отладка в этой асе... для меня тайна за семью печатьями... я просто в ней и умер.


20 май 2009, 20:43
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Вы не тот статик меняете

Дело вот в чём:

чтобы рутер мог ответить на 4.4.4.4, надо, чтобы ответ убегал с интерфейса 10.100.100.1 (там дефолтный маршрут)

Значит "заходить" надо с интерфейса 10.200.200.1

static (outside,inside) 10.200.200.2 10.100.100.1

задаст возможность обратиться по телнету на адрес

telnet 10.200.200.2

и пойти с 200 интерфейса по телнету.
Далее, второй статик подменяет адрес источника на 4.4.4.4, чтобы заходить с "правильного" адреса.
У вас получается наоборот: пакет прибегает на интерфейс 10.200.200, а убегает с 10.100.100 по дефолту и АСА его не пропускает.

Кажется так


20 май 2009, 21:11
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="Fedia"]Вы не тот статик меняете

Дело вот в чём:

чтобы рутер мог ответить на 4.4.4.4, надо, чтобы ответ убегал с интерфейса 10.100.100.1 (там дефолтный маршрут)

Значит "заходить" надо с интерфейса 10.200.200.1

static (outside,inside) 10.200.200.2 10.100.100.1

задаст возможность обратиться по телнету на адрес

telnet 10.200.200.2

и пойти с 200 интерфейса по телнету.
Далее, второй статик подменяет адрес источника на 4.4.4.4, чтобы заходить с "правильного" адреса.
У вас получается наоборот: пакет прибегает на интерфейс 10.200.200, а убегает с 10.100.100 по дефолту и АСА его не пропускает.

Кажется так[/quote]

Понял.
Всему виной моя невнимательность, я почему-то решил, что маршрут по умолчанию как раз 10.200.200.1


20 май 2009, 21:24
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Наверняка вы заметили "ружье", в виде AIP-SSM, которое ещё не выстрелило :)

Действительно, второй способ проникнуть на циску связан именно с ним.

Намекну: AIP-SSM - это полноценный IPS, который в свою очередь, представляет из себя ... Линукс, с цискиной софтой :)


21 май 2009, 14:44
Профиль

Зарегистрирован: 07 май 2009, 21:29
Сообщения: 14
[quote="Fedia"]Наверняка вы заметили "ружье", в виде AIP-SSM, которое ещё не выстрелило :)

Действительно, второй способ проникнуть на циску связан именно с ним.

Намекну: AIP-SSM - это полноценный IPS, который в свою очередь, представляет из себя ... Линукс, с цискиной софтой :)[/quote]

Попробую предположить, или пофантазировать, т.к. знаю только то, что только что про данный модуль прочитал :-)

1. Необходимо настроить АСУ в Inline режим.
2. Настроить class-map

ASA(config)# class-map IPS
ASA(config-cmap)# match any

3. Отправить на AIP SSM telnet трафик предназначенный хосту 4.4.4.4
ASA(config)# access list IPS_ACL extended permit ip any 4.4.4.4 255.255.255.255 eq 23
ASA(config)# class-map IPS
ASA(config-cmap)# match access-list IPS_ACL


дальше что-то сделать в самом AIP SSM , что бы отправить этот трафик на нужный интерфейс :-)


22 май 2009, 20:47
Профиль
Супермодератор

Зарегистрирован: 01 окт 2008, 12:24
Сообщения: 4434
Увы, трафик, полученный по шине, по шине же и уйдёт и никаких подмен адресов, УВЫ, нельзя сделать :)

Наконец то решение: сорри за задержку - ездил на гонку в Шую:)

Итак, нетривиальное решение:

AIP-SSM, как настоящий Линукс ящик, можно заставить вам помочь.

Для этого для начала AIP-SSM надо подключить езернет-хвостиком к какому-нибуль интерфейсу АСЫ. Вот прямо так: из интерфейса модуля в интерфейс АСЫ.
Дело в том, что интерфейс модуля нужен только для управления, но никак не для получения трафика для анализа. Трафик получается по шине.

На интерфейсе АСЫ задаём адрес

int e0/1
ip addr 4.4.4.1 255.255.255.0
sec 100
nameif HINT

Правило НАТа нам не нужно
no nat-control


На интерфейсе модуля можно задать ip адрес 4.4.4.4, дефолтный шлюз - 4.4.4.1



Потом надо создать сервисного пользователя

user NEW pass cisco priv service

Это не простой пользователь. Под этой учёткой можно зайти прямо в Линукс! Такой пользователь может быть только один и его пароль синхронизируется с паролем root на Линуксе

Далее, заходим в консоль модуля под этой учёткой

asa# session 1
login: NEW
password: cisco

bash2.05$ su root
password: cisco

А оттуда уже можно ходить телнетом!

bash2.05# telnet 10.100.100.1

Вуа-ля!


24 май 2009, 12:49
Профиль
Показать сообщения за:  Поле сортировки  
Ответить на тему   [ Сообщений: 17 ] 

Кто сейчас на конференции

Сейчас этот форум просматривают: нет зарегистрированных пользователей и гости: 4


Вы не можете начинать темы
Вы не можете отвечать на сообщения
Вы не можете редактировать свои сообщения
Вы не можете удалять свои сообщения
Вы не можете добавлять вложения

Найти:
Перейти:  
Создано на основе phpBB® Forum Software © phpBB Group
Designed by ST Software for PTF.
Русская поддержка phpBB