Cisco路由器是怎樣被攻陷的------SolarWinds2002的簡(jiǎn)單使用

ocoralan

路由器是網(wǎng)絡(luò)中常用的網(wǎng)絡(luò)設(shè)備，是他將我們的服務(wù)器在茫茫網(wǎng)海中聯(lián)系起來(lái)。只有通過(guò)他，我們才能使用最合理的數(shù)據(jù)通路將數(shù)據(jù)發(fā)送到對(duì)方，也就是說(shuō)路由器提供了互聯(lián)網(wǎng)數(shù)據(jù)通路的節(jié)點(diǎn)。在《黑客防線》2003年第一期南陽(yáng)巖冰寫的《保護(hù)網(wǎng)絡(luò)從路由器做起》一文中，我們已經(jīng)基本了解了怎樣安全的配置好一臺(tái)CISCO路由器，下面我們將使用SolarWinds2002這個(gè)軟件對(duì)CISCO路由器進(jìn)行簡(jiǎn)單的安全檢測(cè)工作。\r\n\r\n\r\n*基本知識(shí)*\r\n\r\n1. 路由器一般的遠(yuǎn)程控制方法有兩種，一是Telnet，另外一個(gè)是同過(guò)SNMP代理。大家常用的Telnet就不說(shuō)了，第二種控制方式是通過(guò)在路由器上配置好SNMP代理，包括MIB變量訪問(wèn)、MIB變量設(shè)置、SNMP中斷和SNMP團(tuán)體字符串四項(xiàng)功能，再在遠(yuǎn)程使用基于SNMP應(yīng)用協(xié)議的管理軟件（如 CISCO WORKS 2000）進(jìn)行遠(yuǎn)程管理，也可以在路由器上開放80端口，用瀏覽器進(jìn)行遠(yuǎn)程管理。\r\n2. CISCO路由器登陸口令分為用戶訪問(wèn)口令和特權(quán)級(jí)口令（enable）。缺省情況下，路由器上所有控制臺(tái)口令是以明文形式存儲(chǔ)在路由器配置中。使用 enable password命令設(shè)置的密碼是用Cisco的type 7型加密算法實(shí)現(xiàn)的，可以反向解密的，而管理員使用enable secret命令設(shè)置的密碼，是用MD5散列算法進(jìn)行加密，破解有較大難度。\r\n3. SNMP團(tuán)體字符串一般是有兩種。一是public，代表對(duì)路由器資源只讀權(quán)限；二是private，代表對(duì)路由器資源可讀寫權(quán)限。\r\n\r\n\r\n*檢測(cè)詳解*\r\n\r\n首先，我們需要一個(gè)專門的，集掃描、破解、管理等功能于一身的軟件：SolarWinds 2002。下載地址和注冊(cè)方法都在灰色軌跡的下載欄中可以找到，我就不多說(shuō)了。\r\n\r\n\r\n安裝完畢并運(yùn)行后，就可以看到她的工具條了，根據(jù)不同的應(yīng)用工具條被劃分為11個(gè)欄目。（如圖一）根據(jù)入侵win2k的經(jīng)驗(yàn)，我們要入侵CISCO路由器，也是要先用掃描器尋找存在漏洞的CISCO路由器。而出現(xiàn)這個(gè)漏洞的原因一般也是因?yàn)楣芾韱T沒(méi)有正確配置好路由器，導(dǎo)致我們可以對(duì)CISCO路由器的配置文件進(jìn)行讀寫操作。打開SolarWinds工具條Discovery欄中的IP Network Browser工具，在其Settings配置對(duì)話框中，選中public并刪掉它，只保留private SNMP團(tuán)體字符串。這樣掃描出來(lái)的CISCO路由器一般就具有可對(duì)配置文件讀寫的權(quán)限。（如圖二）\r\n\r\n確定Settings配置后，在Scan an IP Address Range下的Begining IP Address和Ending IP Address中分別填上你想掃描的起始IP地址和結(jié)束IP地址。然后單擊“Scan Address Range”，開始掃描。\r\n\r\n呵呵，運(yùn)氣不錯(cuò)，一會(huì)兒后我們便有了想要的東西。（如圖三）選中這個(gè)有漏洞的CISCO路由器，單擊工具欄中的“Config”，SolarWinds便會(huì)自動(dòng)打開TFTP服務(wù)并使用SolarWinds工具條Cisco Tools欄下的Config Editor/Viewer工具自動(dòng)下載這個(gè)路由器的配置文件到SolarWinds安裝所在分區(qū)的TFTP-Root目錄下。（如圖四）可能是由于注冊(cè)機(jī)或其他什么的原因，當(dāng)使用Config Editor/Viewer試圖打開這個(gè)下載的Config文件的時(shí)候，該工具自身會(huì)鎖死。不過(guò)沒(méi)關(guān)系，我們可以先將他關(guān)閉，再在Cisco Tools欄下打開Config Editor/Viewer工具，使用其工具欄上的“Diff”比較工具，打開剛才下載的Config配置文件。（如圖五）\r\n\r\n下面是一份真實(shí)的Config配置文件：\r\n!* ***.CiscoConfig //以路由器名稱為文件名的.CiscoConfig文件\r\n!* IP Address : *.*.*.* //路由器的IP地址\r\n!* Community : private //注意到這個(gè)SNMP團(tuán)體字符串，代表的是可讀寫權(quán)限\r\n!* Downloaded 2003-2-7 1:28:31 by SolarWinds Config Transfer Engine Version 5.5.0\r\n\r\n!\r\n! Last configuration change at 16:10:53 UTC Tue Jan 28 2003\r\n! NVRAM config last updated at 22:16:28 UTC Sat Nov 30 2002\r\n!\r\nversion 12.0\r\nno service pad\r\nservice timestamps debug uptime\r\nservice timestamps log uptime\r\nno service password-encryption\r\n!\r\nhostname video_center\r\n!\r\nenable secret 5 $1$Hhrr$yjzWaEMTBa8EzrLTlDaCT0 //使用MD5散列算法進(jìn)行加密了的特權(quán)口令\r\nenable password 7 094F5D0D014E1C16415D5279 //如果沒(méi)有上面的enable secret，則特權(quán)口令就是這個(gè)type 7型加密算法加密的口令\r\n\r\n……//中間太多太雜而省略\r\n\r\nline vty 0 4\r\npassword video //這里是明文保存的訪問(wèn)口令\r\nlogin\r\nline vty 5 15\r\npassword video\r\nlogin\r\n!\r\nend\r\n\r\n像上面這個(gè)配置文件中的enable password 7 094F5D0D014E1C16415D5279這種使用type 7型加密算法加密的密碼，我們可以用Cisco Tools欄下的Router Password Decryption工具進(jìn)行破解，輸入7 094F5D0D014E1C16415D5279并回車，就可以看到其真正的密碼csdx+kd*163了。（如圖六）\r\n\r\n我們看到的這個(gè)配置文件，訪問(wèn)口令是用明文保存的video，我們直接就可以用這個(gè)telnet上去了，不過(guò)只是普通模式，沒(méi)有什么權(quán)限，我們需要的是得到Cisco路由器的特權(quán)。\r\n\r\n由于其特權(quán)口令是使用MD5散列算法進(jìn)行加密的，直接破解比較麻煩，這里可以使用Cain v2.5工具對(duì)Config配置文件中的口令進(jìn)行破解。但這樣的成功率不是很大，我們需要想另外一個(gè)辦法突破他。你想到了嗎？我們掃描用的SNMP團(tuán)體字符串是private，具有讀寫能力，于是我們就有了這招偷梁換柱。\r\n\r\n先備份好剛下載的Config配置文件，再使用記事本找到“enable secret 5 $1$Hhrr$yjzWaEMTBa8EzrLTlDaCT0”這個(gè)字符串（不帶引號(hào)），使用一個(gè)我們已知口令的MD5加密值代替進(jìn)去。（如圖七）然后使用Cisco Tools欄下的Upload Config工具將修改好的這個(gè)Config配置文件上傳到Cisco路由器上，這樣我們就沖掉了原來(lái)的密碼，當(dāng)然也就可以用我們知道的口令進(jìn)入特權(quán)模式了。（如圖八）再上傳config文件時(shí)，Upload Config工具會(huì)詢問(wèn)是要覆蓋當(dāng)前running運(yùn)行的config文件，還是覆蓋閃存中的開機(jī)config文件，這里我們當(dāng)然需要選擇是第一個(gè)覆蓋當(dāng)前running運(yùn)行的config文件這個(gè)選項(xiàng)。\r\n\r\n不難看到，入侵CISCO路由器的朋友也就是鉆了管理員的配置漏洞而已，對(duì)于要指定目標(biāo)進(jìn)行安全檢測(cè)的情況，SolarWinds2002也為我們想得很周到。我們可以使用其工具條中Security Check工具，掃描試圖破解出指定路由器具有可讀寫權(quán)限的SNMP團(tuán)體字符串（如圖九）。除此之外，我們還可以使用工具條Security欄中的 SNMP Brute Force Attack工具，對(duì)指定路由器的登陸及特權(quán)口令進(jìn)行暴力猜解（如圖十），或使用SNMP Dictionary Attack工具對(duì)指定的路由器的登陸及特權(quán)口令進(jìn)行字典猜解（如圖十一）。\r\n\r\nOK， Cisco路由器簡(jiǎn)單的安全監(jiān)測(cè)工作就這樣完成了，當(dāng)然進(jìn)去之后，建議大家先使用#terminal history size 0命令將系統(tǒng)日志停掉，干完事后使用#clear logg和#clear line vty *兩個(gè)命令刪掉記錄，最后一定要記得將首先備份的Config配置文件還原上去，以免影響管理員的正常維護(hù)工作。\r\n\r\n另外，可能有的朋友遇到SolarWinds2002這樣的大型英文軟件會(huì)有點(diǎn)頭痛。參照其幫助文件，我將各個(gè)工具欄中小工具的用途簡(jiǎn)單的列舉了出來(lái)，希望對(duì)大家有用。\r\n\r\n*SolarWinds2002中各個(gè)工具的簡(jiǎn)單說(shuō)明*\r\n\r\n使用版本：SolarWinds 2002 CATV Engineers Edition\r\n\r\nDiscovery欄\r\n\r\nIP Network Browser 用于掃描于設(shè)定的SNMP字符串相同的路由器\r\nPing Sweep 用于掃描一段IP中有哪些正在被使用，并顯示出其DNS名字\r\nSubnet List 用于掃描路由下的分支網(wǎng)絡(luò)，并給出了子掩碼\r\nSNMP Sweep 用于在一段IP下掃描哪些提供SNMP服務(wù)\r\nNetwork Sonar 用于建立和查看TCP/IP網(wǎng)絡(luò)構(gòu)成數(shù)據(jù)庫(kù)\r\nDNS Audit 用于掃描定位本地DNS數(shù)據(jù)庫(kù)錯(cuò)誤\r\nMAC Address Discovery 用于掃描一段IP內(nèi)存在機(jī)器的MAC地址\r\n\r\n\r\nCisco Tools欄\r\n\r\nConfig Editor/Viewer 用于下載、查看、比較、備份Cisco路由和交換機(jī)配置\r\nUpload Config 用于上傳Cisco路由和交換機(jī)配置，可用于修改配置\r\nDownload Config 用于下載Cisco路由和交換機(jī)配置\r\nRunning Vs Startup Configs 用于比較正在運(yùn)行的和開機(jī)的配置文件\r\nRouter Password Decryption 用于解密Cisco的type 7型密碼\r\nProxy Ping 用于測(cè)試Cisco路由器是否具有代理ping的能力\r\nAdvanced CPU Load 用于建立、查看Cisco路由器或交換機(jī)CPU工作狀態(tài)數(shù)據(jù)庫(kù)\r\nCPU Gauge 用于監(jiān)控win2k、Cisco路由器或交換機(jī)CPU工作\r\nRouter CPU Load 用于及時(shí)監(jiān)控Cisco路由器的cpu工作\r\nIP Network Browser 用于掃描于設(shè)定的SNMP團(tuán)體字符串相同的路由器\r\nSecurity Check 用于掃描指定路由器的SNMP團(tuán)體字符串\r\n\r\nPing Tools欄\r\n\r\nPing 用于ping主機(jī)\r\nTrace Route 用于跟蹤路由，查看經(jīng)過(guò)的路由地址\r\nProxy Ping 用于測(cè)試Cisco路由器是否具有代理ping的能力\r\nPing Sweep 用于掃描一段IP中有哪些正在被使用，并顯示出其DNS名字\r\nEnhanced Ping 用于及時(shí)監(jiān)視一定數(shù)量服務(wù)器、路由器等的相應(yīng)能力\r\n\r\n\r\nAddress Mgmt欄\r\n\r\nSubnet Calculator IP Address Management\r\nIP Address Management 用于及時(shí)監(jiān)控一段網(wǎng)絡(luò)中IP的使用情況\r\nDNS / Whois 用于獲取一IP或域名的詳細(xì)DNS信息\r\nPing Sweep 用于掃描一段IP中有哪些正在被使用，并顯示出其DNS名字\r\nDNS Audit 用于掃描定位本地DNS數(shù)據(jù)庫(kù)錯(cuò)誤\r\nDHCP Scope Monitor 用于監(jiān)控具有DHCP功能主機(jī)的子網(wǎng)絡(luò)\r\n\r\n\r\nMonitoring欄\r\n\r\nBandwidth Monitor 用于及時(shí)監(jiān)控多個(gè)設(shè)備的通路與帶寬情況\r\nWatch It ! 用于telnet、web管理多個(gè)路由設(shè)備的工具條\r\nRouter CPU Load 用于及時(shí)監(jiān)控Cisco路由器的cpu工作\r\nNetwork Monitor 用于監(jiān)控多個(gè)路由設(shè)備的多種工作狀態(tài)參數(shù)\r\nNetwork Performance Monitor 用于監(jiān)控多個(gè)路由設(shè)備的各種詳盡網(wǎng)絡(luò)狀態(tài)\r\nEnhanced Ping 用于及時(shí)監(jiān)視一定數(shù)量服務(wù)器、路由器等的相應(yīng)能力\r\nSysLog Server 用于察看、修改514 UDP端口接收到的系統(tǒng)log\r\n\r\n\r\nPerf Mgmt欄\r\n\r\nNetwork Performance Monitor 用于監(jiān)控多個(gè)路由設(shè)備的各種詳盡網(wǎng)絡(luò)狀態(tài)\r\nNetPerfMon Database Maintenance 用于維護(hù)上面工具生成的數(shù)據(jù)庫(kù)\r\nSNMP Graph 用于在MIB中及時(shí)的收集設(shè)定的OID的詳細(xì)數(shù)據(jù)\r\nBandwidth Gauges 用儀表的形式監(jiān)視遠(yuǎn)程設(shè)備的通路與帶寬情況\r\nBandwidth Monitor 用趨勢(shì)圖的形式及時(shí)監(jiān)控多個(gè)設(shè)備的通路與帶寬情況\r\nAdvanced CPU Load 用于建立、查看Cisco路由器或交換機(jī)CPU工作狀態(tài)數(shù)據(jù)庫(kù)\r\nCPU Gauge 用于監(jiān)控win2k、Cisco路由器或交換機(jī)CPU工作\r\nRouter CPU Load 用于及時(shí)監(jiān)控Cisco路由器的cpu工作\r\n\r\n\r\nMIB Browser欄\r\n\r\nMIB Browser 用于查看、編輯各種MIB數(shù)據(jù)資源\r\nUpdate System MIB 用于改變各種SNMP設(shè)備的系統(tǒng)信息\r\nSNMP Graph 用于在MIB中及時(shí)的收集設(shè)定的OID的詳細(xì)數(shù)據(jù)\r\nMIB Walk 用于收集指定OID的詳細(xì)信息\r\nMIB Viewer 用于查看各種MIB數(shù)據(jù)資源\r\n\r\n\r\nSecurity欄\r\n\r\nSecurity Check 用于掃描指定路由器的SNMP團(tuán)體字符串\r\nRouter Password Decrypt 用于解密Cisco的type 7型密碼\r\nRemote TCP Session Reset 用于顯示各設(shè)備上的已激活連接\r\nSNMP Brute Force Attack 用于暴力猜解路由器的登陸口令\r\nSNMP Dictionary Attack 用于字典猜解路由器的登陸口令\r\nEdit Dictionaries 用于編輯字典\r\n\r\n\r\nCATV Tools欄\r\n\r\nCATV Subscriber Modem Details 用于查詢CATV Modem的當(dāng)前工作狀態(tài)\r\nCMTS Modem Summary 用于監(jiān)聽和查看CATV Modem的各種工作狀態(tài)\r\nNetwork Performance Monitor 用于監(jiān)控多個(gè)路由設(shè)備的各種詳盡網(wǎng)絡(luò)狀態(tài)\r\nNetPerfMon Database Maintenance 用于維護(hù)上面工具生成的數(shù)據(jù)庫(kù)\r\n\r\n\r\nMiscellaneous欄\r\n\r\nTFTP Server 用于建立TFTP服務(wù)器以接收、發(fā)送數(shù)據(jù)\r\nWAN Killer 用于發(fā)送特定信息包\r\nSend Page 用于發(fā)送E-Mail或Page\r\nWake-On-LAN 用于遠(yuǎn)程激活網(wǎng)絡(luò)功能\r\n\r\n\r\nHelp & Web欄\r\n\r\n這還要說(shuō)？就是一些幫助哇~~~呵呵\r\n\r\n最后，需要申明的是筆者寫本文的目的不是教大家怎樣入侵，而是更多地了解路由器，由于本文造成的任何損失，筆者概不負(fù)責(zé)，希望大家自重，在合法的情況下做事。