Взлом L3 Коммутатора

[sam_rihon]

Нужно провести аудит сети на китайских коммутаторах:

• Softgate S9816-GS8
• Softgate S9824-GS12M2

NMAP показал:

21/tcp open ftp
23/tcp open telnet
80/tcp open http

В сети статическая маршрутизация. Веб-морда не поддается инъекциям. Есть пример веб-морды подобного коммутатора с открытым доступом через WWW:

Ссылка скрыта от гостей

Пытался делать инжекты через телнет.
Какие есть уязвимости для данного вида оборудования?

 

[ghostphisher]

Проверить по дефолтам логин и пароль, да и не только деф.

 

[sam_rihon]

Проверить по дефолтам логин и пароль, да и не только деф.

Брутил телнет и веб-форму гидрой с логинами root, admin, Admin.

 

[ghostphisher]

Вообще, когда нет возможности найти или купить 0-day, стоит пойти другим путем.
1) Выступить в роли покупателя - получить необходимую документацию, тех.описание, презентацию, на которой будет расписано все о железке ( софт, прошивка и т.д)
2) Обратиться в сервисный центр ( который обслуживает ) и прикинуться ламером админом выяснить как можно скинуть логин на дефолт или где в доках поискать сервисные пароли если такие есть, да и вообще постараться по максималке выудить инфу.

С этими 2 пунктами можно будет построить вектор более детально. remote exploit я думаю Вы не найдете, можно поискать на рынках 0-day - ценник от 20 000 евро за такие раскладки.

 

[sam_rihon]

Вообще, когда нет возможности найти или купить 0-day, стоит пойти другим путем.
1) Выступить в роли покупателя - получить необходимую документацию, тех.описание, презентацию, на которой будет расписано все о железке ( софт, прошивка и т.д)
2) Обратиться в сервисный центр ( который обслуживает ) и прикинуться ламером админом выяснить как можно скинуть логин на дефолт или где в доках поискать сервисные пароли если такие есть, да и вообще постараться по максималке выудить инфу.

С этими 2 пунктами можно будет построить вектор более детально. remote exploit я думаю Вы не найдете, можно поискать на рынках 0-day - ценник от 20 000 евро за такие раскладки.

Есть прошивка от девайса, подскажите мануалы по вскрытию IMG файлов? Посоветуйте еще популярные биржи уязвимостей.

 

[ghostphisher]

подскажите мануалы по вскрытию IMG файлов? Посоветуйте еще популярные биржи уязвимостей.

Про img

Ссылка скрыта от гостей

Биржа Expocod

 

[DoberGroup]

Про img

Почему Вы так свято уверены, что угадали формат прошивки?

Топикстартеру советую почитать про инструмент Binwalk.

Биржа Expocod

А разве у них что-то для embeded было когда-нибудь?

 

[ghostphisher]

Почему Вы так свято уверены, что угадали формат прошивки?

ТС сам пишет - по вскрытию IMG файлов.
По экспокоду, на сколько владею информацией, есть вариант запроса через почту требуемого и они в этом могуто казать прямое содействие.

 

[DoberGroup]

по вскрытию IMG файлов.

А что, это теперь какой-то устоявшийся формат? Под любоую архитектуру?
Вот у меня HackRF на столе лежит, к нему прошивка тоже в IMG-контейнере распространяется. Это что, по-вашему, значит, что ею можно шить любое устройство с ARM?
[doublepost=1487439318,1487438933][/doublepost]IMG косвенно обозначает только одно - за один проход будет шиться несколько бинарников. Ни про сжати, ни про загрузчик, ни про архитектуру это расширение файла ничего не говорит. Я не зря выделил слово косвенно - никто не мешает мне изобрести вообще собственный формат.

 

[sam_rihon]

формат прошивки

Я понимаю что IMG - собранное из исходников ядро. Проверка файла командой file, выдало тип data , поэтому монтировать не получается (как делают при редактировании прошивок на Android). Искал в документации что-то о хардварной части (микросхемы), но ничего не нашел. Могу ошибаться, т.к. с прошивками таких девайсов раннее дела не имел. Спасибо за Binwalk, буду пробовать.

 

[ghostphisher]

А что, это теперь какой-то устоявшийся формат? Под любоую архитектуру?

Автора интересуют варианты работы с прошивкой, без уточнения формата, вариаций и т.д - вопрос обширен, соответсвенно ответ носит так же обширный характер, что бы автор мог сузить круг своего поиска истины.

 

[DoberGroup]

Я понимаю что IMG - собранное из исходников ядро.

Вообще-то там трехкомпонентная прошивка, одного взгляда на которую хватает для понимания того, что внутри - Broadcom StrataSwitch

[doublepost=1487442366,1487442160][/doublepost]

втора интересуют варианты работы с прошивкой, без уточнения формата, вариаций

Дословно читаем:

Есть прошивка от девайса, подскажите мануалы по вскрытию IMG файлов?

Девайс указан в первом посте (хотя и зачем-то с ошибкой, для маскировки наверное).
Где тут общий вопрос? Куда уж конкретнее?

 

[ghostphisher]

Где тут общий вопрос? Куда уж конкретнее?

ТС имеет желание поработать с *.img и (скорее всего )желает там поискать строчку аля password, admin, login и т.д. Дабы дать сразу инфу для размлышений человек и был отправлен на дорогу текста.

 

[DoberGroup]

ТС имеет желание поработать с *.img и (скорее всего )желает там поискать строчку аля password, admin, login и т.д. Дабы дать сразу инфу для размлышений человек и был отправлен на дорогу текста.

Когда Вас спрашивают, чем открыть rar-архив, Вы же не советуете Фотошоп? Ну так а тут зачем?

 

[sam_rihon]

Так как я выбрал поиск уязвимостей в прошивке/ядре девайса, то меня интересуют техники реверс-инжиниринга для данного типа оборудования. В прошивке, один из файлов FoxGate-S9816-GS8(GS8X2)_2.0.11_config.rom , содержит комментарии по поводу настройки оборудования и ПО.

Немного из конфига

# $Id: config.bcm,v 1.6 2005/02/02 05:14:23 suzg Exp $
# $Copyright: (c) 2000-2001, 2002 Broadcom Corp.
# All Rights Reserved.$
#
# Sample Properties file used for Broadcom StrataSwitch.
# Each entry in the file consists of a single line of the form:
#    <Parameter>=<Value>
#
# See the file $SDK/doc/properties.txt for more documentation about how
# to use properties.
#
# To allow different properties for different units or chips,
# each property is looked up with the following suffixes in order:
#    .<unit-num>        (e.g. "foo.0")
#    .<CHIP_TYPE>        (e.g. foo.BCM5680_B0)
#    .<CHIP_GROUP>        (e.g. foo.BCM5680)
#    <nothing>        (e.g. foo)

#station_hostname=StrataSwitch

# Define default OS / SAL
#os=vxworks

ОС: VxWorks 5.5.1
Чип: Broadcom BCM5680_B0 (но это не точно)
Но, к сожалению, это мне ничего не дает. Сложно, но буду изучать. Надеюсь на конструктивные комментарии.

 

[DoberGroup]

Чип: Broadcom BCM5680_B0 (но это не точно)

С точки зрения реверса, BCM56xx одинаковые, не заморачивайтесь на этой детали.

Ищите информацию по оригинальному названию от Broadcom, а не поделку от FoxGate я же Вам сразу написал

 

[sam_rihon]

С точки зрения реверса

Копнул материалы по Binwalk - нашел кучу материалов, в моем случае нужно распаковать Zlib compressed data, а то с ключем -Me распаковало кучу HTML-файлов по 10МБ. Гугл помогает. Ранее искал русскоязычные материалы, но в основном, все добротное на инглише. В том числе по реверсу VxWorks. Но везде фигурирует формат bin, но не IMG.