Укрощение дикой киски

Street (streetseeker@mail.ru)

Хакер, номер #071, стр. 071-068-1

История взлома маршрутизатора CISCO

Бывает так, что при взломе корпоративной сети ничего, кроме одинокого внешнего роутера, поиметь не получается. За почтой юзеров следит бдительный админ, свеженькие патчи красуются на месте былых туннелей, NMAP искренне желает удачи. Что же, Man-in-the-Middle! Держитесь, гады.

Заглянул я как-то на работу моего близкого друга. Он ведет юридический бизнес: законодательство, акты, все дела. Дело шло к вечеру, а потому, подождав окончания рабочего дня, мы двинули в близлежащий супермаркет. Присев там в фастфуде и опрокинув пару кружек пива, мой товарищ размяк и поведал мне о своей беде. Ему позарез нужны были обновления к программке, в которой содержатся все изменения текущих законодательств, новые постановления и прочая дребедень. Послушав его, я сделал вывод: за одно квартальное обновление зажравшиеся буржуи требуют $450! «Нехорошо», - подумал я и, взяв их телефон, отправился домой решать эту проблему.

День первый

На следующий день, позвонив по данному телефону и прикинувшись потенциальным клиентом, я получил их web-адрес. Погуляв немного по сайту и просканировав сервак на предмет дырявых CGI-скриптов, я понял, что на нем мне ничего не светит. Это немного напрягло меня - я надеялся, что дело будет обстоять несколько проще. Запустив портсканер, я получил список открытых в инет портов. Их было всего два: 80 и 23. Установленный на машине файрвол фильтровал весь icmp-трафик: ни один ping-запрос не вернулся назад. Потелнетившись к открытым портам, я изрядно опечалился - на страже порядка стоит свежий релиз OpenBSD, и дырок в нем не светится. Просканировав их подсеть, я нашел 4 интересные машинки, а спустя еще несколько минут обнаружил роутер. Глянув на него, я возрадовался – да это же Cisco 2600, мой старый знакомый! Мгновенно стартует браузер, открывается SecurityFocus - и вот сладкий эксплойт уже у меня в руках. Правда, чтобы собрать его, мне пришлось долго растить и пестовать свой геморрой. Но у меня все получилось, и я привел эксплойт в рабочее состояние, получив в качестве вознаграждения права админа. Слив MD5-хэш админского пароля, я натравил на него Cain and Abel'а. Тут я заметил, что фиолетовые цифры часов показывают уже 4 утра, отвалился от Сети и пополз спать.

День второй

Утром, подойдя к компу, я увидел, что пасс благополучно подобран. Что же, отлично! Логинимся, и вот - командная строка с абсолютными правами.

Когда я огляделся вокруг, стало понятно, что роутер внешний, но между ним и внутренней сетью нет никакого брандмауэра. Я начал ломать голову, как бы дотянуться до обновлений, - доверительных отношений ни с кем не установлено, а траф, судя по всему, через этот роутер гнали, причем серьезный. Требовалась дополнительная инфа, и я вновь пошел на их сайт, на этот раз затем, чтобы почитать :). Полазив, я понял, что обновления качаются именно через этот сервак - просто забиваются логин с паролем, затем открывается скриптовая страничка, и начинается закачка базы. Идея ломать сервак меня не вдохновляла, так как, повторюсь, малой кровью дело там не обошлось бы. Я решил вновь посмотреть на роутер - может, я что-то упустил из виду? Просмотрев политики маршрутизации, я пришел к выводу, что он является единственным внешним роутером. А раз так - значит, тот трафик, который проходит через него, и является моей целью! Подумав, я решил использовать старую добрую методику Joshua Wright'а, которая описана здесь: www.giac.org/practical/joshua_wright_gcih.zip. Он перехватывал трафик, создавая GRE-туннель между двумя роутерами, один из которых является атакующим, а второй принадлежит ломаемой организации и также подконтролен атакующему.