GLBP & HSRP Attacks

Reading time: 7 minutes

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks

FHRP Hijacking Overview

Insights into FHRP

FHRP je dizajniran da obezbedi robusnost mreže spajajući više rutera u jednu virtuelnu jedinicu, čime se poboljšava raspodela opterećenja i otpornost na greške. Cisco Systems je uveo istaknute protokole u ovom skupu, kao što su GLBP i HSRP.

GLBP Protocol Insights

Cisco-ova kreacija, GLBP, funkcioniše na TCP/IP steku, koristeći UDP na portu 3222 za komunikaciju. Ruteri u GLBP grupi razmenjuju "hello" pakete na svakih 3 sekunde. Ako ruter ne pošalje ove pakete tokom 10 sekundi, smatra se da je van mreže. Međutim, ovi tajmeri nisu fiksni i mogu se modifikovati.

GLBP Operations and Load Distribution

GLBP se izdvaja omogućavajući raspodelu opterećenja među ruterima koristeći jednu virtuelnu IP adresu u kombinaciji sa više virtuelnih MAC adresa. U GLBP grupi, svaki ruter učestvuje u prosleđivanju paketa. Za razliku od HSRP/VRRP, GLBP nudi pravu ravnotežu opterećenja kroz nekoliko mehanizama:

  • Host-Dependent Load Balancing: Održava doslednu AVF MAC adresu dodeljenu hostu, što je bitno za stabilne NAT konfiguracije.
  • Round-Robin Load Balancing: Podrazumevani pristup, naizmenično dodeljujući AVF MAC adrese među zahtevima hostova.
  • Weighted Round-Robin Load Balancing: Raspodeljuje opterećenje na osnovu unapred definisanih "Weight" metrika.

Key Components and Terminologies in GLBP

  • AVG (Active Virtual Gateway): Glavni ruter, odgovoran za dodeljivanje MAC adresa peer ruterima.
  • AVF (Active Virtual Forwarder): Ruter zadužen za upravljanje mrežnim saobraćajem.
  • GLBP Priority: Metrika koja određuje AVG, počinje od podrazumevanih 100 i kreće se između 1 i 255.
  • GLBP Weight: Odražava trenutno opterećenje na ruteru, može se prilagoditi ručno ili putem Object Tracking-a.
  • GLBP Virtual IP Address: Služi kao podrazumevani prolaz mreže za sve povezane uređaje.

Za interakcije, GLBP koristi rezervisanu multicast adresu 224.0.0.102 i UDP port 3222. Ruteri šalju "hello" pakete na svakih 3 sekunde, i smatraju se neoperativnim ako se paket propusti tokom 10 sekundi.

GLBP Attack Mechanism

Napadač može postati glavni ruter slanjem GLBP paketa sa najvišom prioritetnom vrednošću (255). To može dovesti do DoS ili MITM napada, omogućavajući presretanje ili preusmeravanje saobraćaja.

Executing a GLBP Attack with Loki

Loki može izvesti GLBP napad injektovanjem paketa sa prioritetom i težinom postavljenim na 255. Pre napada, koraci uključuju prikupljanje informacija kao što su virtuelna IP adresa, prisustvo autentifikacije i vrednosti prioriteta rutera koristeći alate kao što je Wireshark.

Attack Steps:

  1. Prebacite se u promiscuous mode i omogućite IP prosleđivanje.
  2. Identifikujte ciljni ruter i preuzmite njegovu IP adresu.
  3. Generišite Gratuitous ARP.
  4. Injektujte zlonamerni GLBP paket, pretvarajući se da ste AVG.
  5. Dodelite sekundarnu IP adresu mrežnom interfejsu napadača, odražavajući GLBP virtuelnu IP.
  6. Implementirajte SNAT za potpunu vidljivost saobraćaja.
  7. Prilagodite rutiranje kako biste osigurali nastavak pristupa internetu kroz originalni AVG ruter.

Prateći ove korake, napadač se pozicionira kao "čovek u sredini", sposoban da presreće i analizira mrežni saobraćaj, uključujući nešifrovane ili osetljive podatke.

Za demonstraciju, evo potrebnih komandi:

bash
# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Monitoring and intercepting traffic can be done using net-creds.py or similar tools to capture and analyze data flowing through the compromised network.

Pasivno objašnjenje HSRP otmice sa detaljima komandi

Pregled HSRP (Hot Standby Router/Redundancy Protocol)

HSRP je Cisco-ov vlasnički protokol dizajniran za redundanciju mrežnih prolaza. Omogućava konfiguraciju više fizičkih rutera u jednu logičku jedinicu sa zajedničkom IP adresom. Ova logička jedinica se upravlja od strane primarnog rutera koji je odgovoran za usmeravanje saobraćaja. Za razliku od GLBP, koji koristi metrike poput prioriteta i težine za balansiranje opterećenja, HSRP se oslanja na jedan aktivni ruter za upravljanje saobraćajem.

Uloge i terminologija u HSRP

  • HSRP Aktivni Ruter: Uređaj koji deluje kao prolaz, upravljajući protokom saobraćaja.
  • HSRP Standby Ruter: Rezervni ruter, spreman da preuzme ako aktivni ruter otkaže.
  • HSRP Grupa: Skup rutera koji sarađuju kako bi formirali jedan otporniji virtuelni ruter.
  • HSRP MAC Adresa: Virtuelna MAC adresa dodeljena logičkom ruteru u HSRP postavci.
  • HSRP Virtuelna IP Adresa: Virtuelna IP adresa HSRP grupe, koja deluje kao podrazumevani prolaz za povezane uređaje.

HSRP Verzije

HSRP dolazi u dve verzije, HSRPv1 i HSRPv2, koje se razlikuju uglavnom u kapacitetu grupe, korišćenju multicast IP adresa i strukturi virtuelne MAC adrese. Protokol koristi specifične multicast IP adrese za razmenu informacija o usluzi, sa Hello paketima koji se šalju svake 3 sekunde. Ruter se smatra neaktivnim ako ne primi paket u intervalu od 10 sekundi.

HSRP Mehanizam Napada

HSRP napadi uključuju prisilno preuzimanje uloge Aktivnog Rutera ubrizgavanjem maksimalne vrednosti prioriteta. Ovo može dovesti do napada Man-In-The-Middle (MITM). Osnovni koraci pre napada uključuju prikupljanje podataka o HSRP postavci, što se može uraditi korišćenjem Wireshark-a za analizu saobraćaja.

Koraci za zaobilaženje HSRP Autentifikacije

  1. Sačuvajte mrežni saobraćaj koji sadrži HSRP podatke kao .pcap datoteku.
shell
tcpdump -w hsrp_traffic.pcap
  1. Izvucite MD5 heš vrednosti iz .pcap datoteke koristeći hsrp2john.py.
shell
python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
  1. Razbijte MD5 heš vrednosti koristeći John the Ripper.
shell
john --wordlist=mywordlist.txt hsrp_hashes

Izvršavanje HSRP Injekcije sa Lokijem

  1. Pokrenite Lokija da identifikujete HSRP oglase.
  2. Postavite mrežni interfejs u promiscuous mode i omogućite IP prosleđivanje.
shell
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
  1. Koristite Lokija da ciljate specifični ruter, unesite razbijenu HSRP lozinku i izvršite potrebne konfiguracije da biste se pretvarali da ste Aktivni Ruter.
  2. Nakon preuzimanja uloge Aktivnog Rutera, konfigurišite svoj mrežni interfejs i IP tabele da biste presreli legitimni saobraćaj.
shell
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  1. Izmenite tabelu rutiranja da usmerite saobraćaj kroz bivšeg Aktivnog Rutera.
shell
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
  1. Koristite net-creds.py ili sličan alat za prikupljanje kredencijala iz presretnutog saobraćaja.
shell
sudo python2 net-creds.py -i eth0

Izvršavanje ovih koraka stavlja napadača u poziciju da presreće i manipuliše saobraćajem, slično postupku za GLBP otmicu. Ovo naglašava ranjivost u protokolima redundancije poput HSRP i potrebu za robusnim bezbednosnim merama.

Reference

tip

Učite i vežbajte AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Učite i vežbajte GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)

Podržite HackTricks