• Codeby web-security - Курс "Тестирование Веб-Приложений на проникновение с нуля" от команды codeby. Общая теория, подготовка рабочего окружения, пассивный фазинг и фингерпринт, Активный фаззинг, Уязвимости, Пост-эксплуатация, Инструментальные средства, Social Engeneering и многое другое. Подробнее ...

  • Мобильный клиент нашего форума для Android гаджетов доступен в Google Play Market по этой ссылке. Клиент можно скачать с нашего форума по этой ссылке. Последняя версия МК в нашем телеграм канале вот здесь

Взлом L3 Коммутатора

22.01.2017
7
0
#1
Нужно провести аудит сети на китайских коммутаторах:
  • Softgate S9816-GS8
  • Softgate S9824-GS12M2
NMAP показал:
Код:
21/tcp open ftp
23/tcp open telnet
80/tcp open http
В сети статическая маршрутизация. Веб-морда не поддается инъекциям. Есть пример веб-морды подобного коммутатора с открытым доступом через WWW:
Для просмотра контента необходимо: Войти или зарегистрироваться
Пытался делать инжекты через телнет.
Какие есть уязвимости для данного вида оборудования?
 
Последнее редактирование модератором:

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 233
2 721
#4
Вообще, когда нет возможности найти или купить 0-day, стоит пойти другим путем.
1) Выступить в роли покупателя - получить необходимую документацию, тех.описание, презентацию, на которой будет расписано все о железке ( софт, прошивка и т.д)
2) Обратиться в сервисный центр ( который обслуживает ) и прикинуться ламером админом выяснить как можно скинуть логин на дефолт или где в доках поискать сервисные пароли если такие есть, да и вообще постараться по максималке выудить инфу.

С этими 2 пунктами можно будет построить вектор более детально. remote exploit я думаю Вы не найдете, можно поискать на рынках 0-day - ценник от 20 000 евро за такие раскладки. ;)
 
22.01.2017
7
0
#5
Вообще, когда нет возможности найти или купить 0-day, стоит пойти другим путем.
1) Выступить в роли покупателя - получить необходимую документацию, тех.описание, презентацию, на которой будет расписано все о железке ( софт, прошивка и т.д)
2) Обратиться в сервисный центр ( который обслуживает ) и прикинуться ламером админом выяснить как можно скинуть логин на дефолт или где в доках поискать сервисные пароли если такие есть, да и вообще постараться по максималке выудить инфу.

С этими 2 пунктами можно будет построить вектор более детально. remote exploit я думаю Вы не найдете, можно поискать на рынках 0-day - ценник от 20 000 евро за такие раскладки. ;)
Есть прошивка от девайса, подскажите мануалы по вскрытию IMG файлов? Посоветуйте еще популярные биржи уязвимостей.
 

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 233
2 721
#6

DoberGroup

Хмурый мизантроп
13.11.2016
194
123
#7
Симпатии: Понравилось Vander

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 233
2 721
#8
Почему Вы так свято уверены, что угадали формат прошивки?
ТС сам пишет - по вскрытию IMG файлов.
По экспокоду, на сколько владею информацией, есть вариант запроса через почту требуемого и они в этом могуто казать прямое содействие.
 

DoberGroup

Хмурый мизантроп
13.11.2016
194
123
#9
А что, это теперь какой-то устоявшийся формат? Под любоую архитектуру?
Вот у меня HackRF на столе лежит, к нему прошивка тоже в IMG-контейнере распространяется. Это что, по-вашему, значит, что ею можно шить любое устройство с ARM?
[doublepost=1487439318,1487438933][/doublepost]IMG косвенно обозначает только одно - за один проход будет шиться несколько бинарников. Ни про сжати, ни про загрузчик, ни про архитектуру это расширение файла ничего не говорит. Я не зря выделил слово косвенно - никто не мешает мне изобрести вообще собственный формат.
 
Симпатии: Понравилось Vander
22.01.2017
7
0
#10
Я понимаю что IMG - собранное из исходников ядро. Проверка файла командой file, выдало тип data , поэтому монтировать не получается (как делают при редактировании прошивок на Android). Искал в документации что-то о хардварной части (микросхемы), но ничего не нашел. Могу ошибаться, т.к. с прошивками таких девайсов раннее дела не имел. Спасибо за Binwalk, буду пробовать.
 

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 233
2 721
#11
А что, это теперь какой-то устоявшийся формат? Под любоую архитектуру?
Автора интересуют варианты работы с прошивкой, без уточнения формата, вариаций и т.д - вопрос обширен, соответсвенно ответ носит так же обширный характер, что бы автор мог сузить круг своего поиска истины.
 

DoberGroup

Хмурый мизантроп
13.11.2016
194
123
#12
Я понимаю что IMG - собранное из исходников ядро.
Вообще-то там трехкомпонентная прошивка, одного взгляда на которую хватает для понимания того, что внутри - Broadcom StrataSwitch

[doublepost=1487442366,1487442160][/doublepost]
втора интересуют варианты работы с прошивкой, без уточнения формата, вариаций
Дословно читаем:
Есть прошивка от девайса, подскажите мануалы по вскрытию IMG файлов?
Девайс указан в первом посте (хотя и зачем-то с ошибкой, для маскировки наверное).
Где тут общий вопрос? Куда уж конкретнее?
 

ghostphisher

гарант codeby
Gold Team
07.12.2016
2 233
2 721
#13
Где тут общий вопрос? Куда уж конкретнее?
ТС имеет желание поработать с *.img и (скорее всего )желает там поискать строчку аля password, admin, login и т.д. Дабы дать сразу инфу для размлышений человек и был отправлен на дорогу текста.
 

DoberGroup

Хмурый мизантроп
13.11.2016
194
123
#14
ТС имеет желание поработать с *.img и (скорее всего )желает там поискать строчку аля password, admin, login и т.д. Дабы дать сразу инфу для размлышений человек и был отправлен на дорогу текста.
Когда Вас спрашивают, чем открыть rar-архив, Вы же не советуете Фотошоп? Ну так а тут зачем?
 
22.01.2017
7
0
#15
Так как я выбрал поиск уязвимостей в прошивке/ядре девайса, то меня интересуют техники реверс-инжиниринга для данного типа оборудования. В прошивке, один из файлов FoxGate-S9816-GS8(GS8X2)_2.0.11_config.rom , содержит комментарии по поводу настройки оборудования и ПО.
Код:
# $Id: config.bcm,v 1.6 2005/02/02 05:14:23 suzg Exp $
# $Copyright: (c) 2000-2001, 2002 Broadcom Corp.
# All Rights Reserved.$
#
# Sample Properties file used for Broadcom StrataSwitch.
# Each entry in the file consists of a single line of the form:
#    <Parameter>=<Value>
#
# See the file $SDK/doc/properties.txt for more documentation about how
# to use properties.
#
# To allow different properties for different units or chips,
# each property is looked up with the following suffixes in order:
#    .<unit-num>        (e.g. "foo.0")
#    .<CHIP_TYPE>        (e.g. foo.BCM5680_B0)
#    .<CHIP_GROUP>        (e.g. foo.BCM5680)
#    <nothing>        (e.g. foo)

#station_hostname=StrataSwitch

# Define default OS / SAL
#os=vxworks
ОС: VxWorks 5.5.1
Чип: Broadcom BCM5680_B0 (но это не точно)
Но, к сожалению, это мне ничего не дает. Сложно, но буду изучать. Надеюсь на конструктивные комментарии.
 

DoberGroup

Хмурый мизантроп
13.11.2016
194
123
#16
Чип: Broadcom BCM5680_B0 (но это не точно)
С точки зрения реверса, BCM56xx одинаковые, не заморачивайтесь на этой детали.

Ищите информацию по оригинальному названию от Broadcom, а не поделку от FoxGate я же Вам сразу написал
 
22.01.2017
7
0
#17
Копнул материалы по Binwalk - нашел кучу материалов, в моем случае нужно распаковать Zlib compressed data, а то с ключем -Me распаковало кучу HTML-файлов по 10МБ. Гугл помогает. Ранее искал русскоязычные материалы, но в основном, все добротное на инглише. В том числе по реверсу VxWorks. Но везде фигурирует формат bin, но не IMG.
 
Последнее редактирование:
Вверх Снизу