• Открыта запись на вторую часть курса по анонимности и безопасности в сети интернет "Paranoid II" от команды codeby. Анонимные роутеры, Подъём, настройка и администрирование Tor-ноды, Работа с железом ПК, Удаление аппаратных закладок, Минимизация рисков, Авторские разработки и многое другое. Подробнее ...

Статья Получаем доступ к HP iLo

pr0phet

pr0phet

Gold Team
02.04.2018
325
520
Всем доброго дня. Проводя аудит, я зачастую нахожу на внешнем периметре (чаще конечно на внутреннем, но поверьте, на внешнем бывают нередко) открытый интерфейс удаленного администрирования серверов HP ILo. В данном обзоре хотел поведать Вам о двух уязвимостях в данном сервисе.

Первая (CVE-2017-12542):

Три месяца назад в паблике опубликовали убийственный , позволяющий без авторизации добавить нового пользователя с правами админа. Уязвимы версии HPE iLo 4 ниже 2.53. Реализация атаки настолько проста, что справится ребенок :)

- Качаем сплойт по ссылке выше
- Выставляем права на запуск : chmod 777 hp_ilo_exploit.py
- Смотрим хелп (его любезно автор написал для самых маленьких ;) )

Получаем доступ к HP iLo


- Запускаем:

Получаем доступ к HP iLo


- Вуаля – заходим браузером и наслаждаемся правами админа:

Получаем доступ к HP iLo


Вторая (CVE-2013-4805):

Уязвимость называется IPMI Cipher Suite Zero Authentication Bypass (CVE-2013-4805) и дает возможность добавлений административного пользователя в iLO. Уязвимость присутствует на серверах HP с Integrated Lights-Out 3 (iLO3) firmware версии до 1.60 и iLO4 firmware версии до 1.30.
Поехали:
- Сначала просканим сеть и найдем уязвимые хосты. Для этого в метасплойте есть отдельный сканер ipmi_cipher_zero.
Как обычно указываем подсеть и пишем exploit (я указал сразу уязвимый хост):

Получаем доступ к HP iLo


- Далее устанавливаем из репозитория утилиту работы с ipmi сервисом :
У меня она уже была установлена.

Получаем доступ к HP iLo


Далее происходит магия :)

Получаем доступ к HP iLo


В случае успеха мы увидим список пользователей (команда user list).
Параметры:
-I выбор протокола. lanplus говорит, что мы используем протокол IPMI v2.0 RMCP+ LAN Interface
-C 0
говорит, что мы не будем использовать аутентификацию (Cipher 0)
-H указываем IP сервера.
-U имя пользовтеля (в данном случае Admin. Бывает Administrator,root и т.д.). Как брутить логин расскажу ниже.
Так же можно указать любой пароль (хотя уязвимость основана на безпарольном доступе): -P YourPassword
-P
говорит использовать пароль, а YourPassword это сам пароль.
Если мы не указали пароль, то утилита его запросит. Просто нажимаем Enter, чтобы подтвердить, что пробуем подключиться без пароля.
Валидный логин можем узнать при помощи того же метасплойта (а заодно и хеш пароля):

Получаем доступ к HP iLo


В скрипте указаны дефолтные словари с логинами и паролями (хеш прогоняется по списку паролей словаря).
При желании можете указать свои.
Ну и что тут интересного, скажете вы? А вот что!
Вместо того, чтобы брутит хеш - лучше создать нового пользователя с правами админа, зная только логин существующего:

Получаем доступ к HP iLo


Видим, что пользователь создался.
Первой командой параметром user set name мы указали, что нужно создать нового пользователя в пустом слоте 3 с именем c0deby.
Далее необходимо задать ему пароль, назначить права администратора и активировать учетку соответсвтенно:

Получаем доступ к HP iLo


Видим, в отличие от предыдущего скриншота, права у нас теперь стали админские.
Пробуем залогиниться через веб:

Получаем доступ к HP iLo


И снова мы покорили этот сервак!
Удачных пентестов. Тестируйте только с разрешения обладателя сервиса ;)
 
Последнее редактирование:
W

WhiteScar

Happy New Year
18.04.2018
4
6
Огромное спасибо! тестанул свою сетку. Аж что то сгрустнулось буду все выхи обновлять . Полезно очень.
Может, очевидное скажу, но. Хорошо бы вынести все управляющие интерфейсы IPMI и прочих iDrac, iLo, свичей, ИБП и т.д. в отдельный vlan, админов посадить тоже в отдельный влан и разрешить доступ во влан управлялок только из админского влана.
 
E

Elektrolife

Happy New Year
21.10.2016
216
33
А на каком порту обычно висит данный сервис ?
 
E

Elektrolife

Happy New Year
21.10.2016
216
33
блин,из репозиториев не ставит ipmitool (( с гитхаба скачал,не подскажете как установить ? ) В редми написано: `./configure && make && make install' но что то не ставится (
 
D

Demi

Mod. Ethical Hacking
Grey Team
16.02.2017
143
130
Может, очевидное скажу, но. Хорошо бы вынести все управляющие интерфейсы IPMI и прочих iDrac, iLo, свичей, ИБП и т.д. в отдельный vlan, админов посадить тоже в отдельный влан и разрешить доступ во влан управлялок только из админского влана.
А потом сделать переполнение mac таблицы и ходить без вланов, если есть апдейт с заплаткой то ставить в любом случае !
 
pr0phet

pr0phet

Gold Team
02.04.2018
325
520
блин,из репозиториев не ставит ipmitool (( с гитхаба скачал,не подскажете как установить ? ) В редми написано: `./configure && make && make install' но что то не ставится (
На Kali точно ставится. На три системы разных ставил с репозиториев - без проблем. Какая система?
apt-get update
apt dist upgrade для начала
Из исходников никогда не приходилось собирать - навскидку не подскажу.
 
  • Нравится
Реакции: The Codeby
E

Elektrolife

Happy New Year
21.10.2016
216
33
На Kali точно ставится. На три системы разных ставил с репозиториев - без проблем. Какая система?
apt-get update
apt dist upgrade для начала
Из исходников никогда не приходилось собирать - навскидку не подскажу.
операционка кали 18.1,репозитории обновлял
 
pr0phet

pr0phet

Gold Team
02.04.2018
325
520
операционка кали 18.1,репозитории обновлял
Может посчастливится увидеть ошибку? :) Чем информативней задан вопрос - тем больший шанс получить качественный ответ
Еще можно выложить результат команды
cat /etc/apt/sources.list

Только что установил с репозитория - никаких проблем.
 
Последнее редактирование:
E

Elektrolife

Happy New Year
21.10.2016
216
33
Может посчастливится увидеть ошибку? :) Чем информативней задан вопрос - тем больший шанс получить качественный ответ
Еще можно выложить результат команды
cat /etc/apt/sources.list

Только что установил с репозитория - никаких проблем.
ошибки нет никакой,просто не находит. Сейчас сделаю distr-upgrade и ещё раз попробую
 
E

Elektrolife

Happy New Year
21.10.2016
216
33
содержимое cat /etc/apt/sources.list

Получаем доступ к HP iLo



всё равно не работает ))
 
E

Elektrolife

Happy New Year
21.10.2016
216
33
Если в Channel Priv Limit пишет что Unknown (0x00) - значит сервис не подвержен уязвимости ? Метасплоит сказал что: VULNERABLE: Accepted a session open request for cipher zero )
 
pr0phet

pr0phet

Gold Team
02.04.2018
325
520
Если в Channel Priv Limit пишет что Unknown (0x00) - значит сервис не подвержен уязвимости ? Метасплоит сказал что: VULNERABLE: Accepted a session open request for cipher zero )
Бро, я же просил, задавая вопрос пиши команды, что было сделано. При каких условиях ошибка. Максимум информации. Все экстрасенсы в отпуске.
Если метасплойт говорит, скорее всего уязвим. Ни разу фолсов в этом модуле не встречал.
 
Последнее редактирование:
E

Elektrolife

Happy New Year
21.10.2016
216
33
Бро, я же просил, задавая вопрос пиши команды, что было сделано. При каких условиях ошибка. Максимум информации. Все экстрасенсы в отпуске.
Если метасплойт говорит, скорее всего уязвим. Ни разу фолсов в этом модуле не встречал.
Хорошо ) Тогда лучше скрин

Получаем доступ к HP iLo
 
pr0phet

pr0phet

Gold Team
02.04.2018
325
520
Если список пользователей получил - значит уязвимость есть, так как это сделать удалось без пароля. Попробуй проделать описанные мною шаги дальше. Я сколько не сталкивался - поля столбцы Priv и Limit пустые. Судя по всему это особенность настройки данного сервера. Полагаю, это из-за IPMI Msg false. Сколько не сталкивался - везде true.
 
Z

zhe_ka

Премиум
15.01.2018
103
290
Всем привет!
Не могу запустить скрипт, помогите плиз.
ОС ubuntu-16.04-x86_64-minimal
При попытке запуска вот такая ошибка:
/usr/bin/env: ‘python\r’: No such file or directory
Питон стоит вроде
 
V

Valkiria

Всем привет!
Не могу запустить скрипт, помогите плиз.
ОС ubuntu-16.04-x86_64-minimal
При попытке запуска вот такая ошибка:
/usr/bin/env: ‘python\r’: No such file or directory
Питон стоит вроде
Чаще всего такая ошибка выскакивает из-за неверного указания пути к исполняемому файлу и система не может его найти.
Первое, что приходит в голову - нужно указать НЕ относительный путь к исполняемому файлу скрипта, а абсолютный.
 
  • Нравится
Реакции: zhe_ka и Vertigo
Мы в соцсетях: