-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

shadow hacking – czyli Sekurak Hacking Party intro

21 marca 2013, 10:20 | Teksty | komentarze 4

W ramach zaostrzania apetytu przed pierwszą edycją Sekurak Hacking Party publikujemy kilka ciekawych znalezisk w urządzeniach Cisco – Services Ready Platform. Finalnie pokażę na tym urządzeniu interaktywnego root-shella.

Problematyczne urządzenie:

srp

Cisco SRP

Router ten posiada funkcjonalność tftp. Spróbujmy zobaczyć do czego możemy ją użyć…, na pewno nie do wgrywania nowego firmware’u ;-)

tftp

tftp

Urządzenie posiada również wbudowaną usługę SSH, ale nigdzie w dokumentacji nie widać konta, którego moglibyśmy użyć do zalogowania się na maszynę… Spróbujemy więc zuploadować swój plik passwd oraz shadow. Najpierw jednak musimy przygotować oba pliki na lokalnej maszynie (oczywiście interesuje nas użytkownik o uid=0):

$ echo „q”|openssl passwd -stdin
vy4EHuyQTxse6

# passwd:
sec:x:0:0:root:/:/bin/sh

# shadow:
sec:vy4EHuyQTxse6:0:0:99999:7:::

OK, pliki do uploadu mamy gotowe (są one hostowane via HTTP na mojej lokalnej maszynie – 192.168.15.101), ale żeby umieścić je na urządzeniu musimy uporać się z dwoma niewielkimi problemami.

Problem pierwszy polega na walidacji nazwy docelowego pliku. Jest to walidacja realizowana po stronie klienckiej, zatem łatwo ją można ominąć, modyfikując w locie komunikację http, np. za pomocą lokalnego http proxy (patrz – oba zrzuty ekranowe poniżej).

srp

tftp upload

Drugi problem polega na tym, że usługa tftp umożliwia umieszczenie plików tylko w swoim lokalnym katalogu. Tutaj z pomocą przyjdzie nam podatność Path Traversal:

shadow

Path Traversal

Podobnie sprawa wygląda z uploadem passwd.

Finalny efekt wygląda tak (logowanie na wcześniej stworzone konto „sec” z hasłem „q”):

rootshell

OS root

Użycie tylko w celach edukacyjnych
Wg. informacji uzyskanych z Cisco PSIRT luki te zostały spatchowane, choć szczegóły przedstawiam w zasadzie po raz pierwszy.

Michał Sajdak (michal.sajdak<at>securitum.pl)

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Ciekawe :)

    Odpowiedz
  2. bl4de

    Narobiliście mi apetytu tymi ostatnimi artykułami (m.in. o TP-Link’u i tym teraz), żeby „pobawić” się moim domowym routerem :)

    Może coś mi się uda z nim zrobić ciekawego…

    Odpowiedz
    • :)

      To nie koniec publikacji w tym temacie…

      Odpowiedz
  3. magus

    Zaczynacie powoli mnie przerażać … jeszcze trochę i przestanę netu używać

    Odpowiedz

Odpowiedz na Michał