路由器是网络中常用的网络设备,是他将我们的服务器在茫茫网海中联系起来。只有通过他,我们才能使用最合理的数据通路将数据发送到对方,也就是说路由器提
供了互联网数据通路的节点。在《黑客防线》2003年第一期南阳岩冰写的《保护网络从路由器做起》一文中,我们已经基本了解了怎样安全的配置好一台
CISCO路由器,下面我们将使用SolarWinds2002这个软件对CISCO路由器进行简单的安全检测工作。
*基本知识*
1.
路由器一般的远程控制方法有两种,一是Telnet,另外一个是同过SNMP代理。大家常用的Telnet就不说了,第二种控制方式是通过在路由器上配置
好SNMP代理,包括MIB变量访问、MIB变量设置、SNMP中断和SNMP团体字符串四项功能,再在远程使用基于SNMP应用协议的管理软件(如
CISCO WORKS 2000)进行远程管理,也可以在路由器上开放80端口,用浏览器进行远程管理。
2.
CISCO路由器登陆口令分为用户访问口令和特权级口令(enable)。缺省情况下,路由器上所有控制台口令是以明文形式存储在路由器配置中。使用
enable password命令设置的密码是用Cisco的type 7型加密算法实现的,可以反向解密的,而管理员使用enable
secret命令设置的密码,是用MD5散列算法进行加密,破解有较大难度。
3. SNMP团体字符串一般是有两种。一是public,代表对路由器资源只读权限;二是private,代表对路由器资源可读写权限。
*检测详解*
首先,我们需要一个专门的,集扫描、破解、管理等功能于一身的软件:SolarWinds 2002。下载地址和注册方法都在灰色轨迹的下载栏中可以找到,我就不多说了。
安装完毕并运行后,就可以看到她的工具条了,根据不同的应用工具条被划分为11个栏目。根据入侵win2k的经验,我们要入侵CISCO路由器,也是
要先用扫描器寻找存在漏洞的CISCO路由器。而出现这个漏洞的原因一般也是因为管理员没有正确配置好路由器,导致我们可以对CISCO路由器的配置文件
进行读写操作。打开SolarWinds工具条Discovery栏中的IP Network
Browser工具,在其Settings配置对话框中,选中public并删掉它,只保留private
SNMP团体字符串。这样扫描出来的CISCO路由器一般就具有可对配置文件读写的权限。
确定Settings配置后,在Scan an IP Address Range下的Begining IP Address和Ending IP
Address中分别填上你想扫描的起始IP地址和结束IP地址。然后单击“Scan Address Range”,开始扫描。
呵呵,运气不错,一会儿后我们便有了想要的东西。选中这个有漏洞的CISCO路由器,单击工具栏中的“Config”,SolarWinds便会自动
打开TFTP服务并使用SolarWinds工具条Cisco Tools栏下的Config
Editor/Viewer工具自动下载这个路由器的配置文件到SolarWinds安装所在分区的TFTP-Root目录下。可能是由于注册机或其他什
么的原因,当使用Config
Editor/Viewer试图打开这个下载的Config文件的时候,该工具自身会锁死。不过没关系,我们可以先将他关闭,再在Cisco
Tools栏下打开Config Editor/Viewer工具,使用其工具栏上的“Diff”比较工具,打开刚才下载的Config配置文件。
下面是一份真实的Config配置文件:
!* ***.CiscoConfig //以路由器名称为文件名的.CiscoConfig文件
!* IP Address : *.*.*.* //路由器的IP地址 !* Community : private //注意到这个SNMP团体字符串,代表的是可读写权限
!* Downloaded 2003-2-7 1:28:31 by SolarWinds Config Transfer Engine Version 5.5.0
!
! Last configuration change at 16:10:53 UTC Tue Jan 28 2003
! NVRAM config last updated at 22:16:28 UTC Sat Nov 30 2002
!
version 12.0
no service pad
service timestamps debug uptime
service timestamps log uptime
no service password-encryption
!
hostname video_center
!
enable secret 5 $1$Hhrr$yjzWaEMTBa8EzrLTlDaCT0 //使用MD5散列算法进行加密了的特权口令
enable password 7 094F5D0D014E1C16415D5279 //如果没有上面的enable secret,则特权口令就是这个type 7型加密算法加密的口令
……//中间太多太杂而省略
line vty 0 4
password video //这里是明文保存的访问口令
login
line vty 5 15
password video
login
!
end
像上面这个配置文件中的enable password 7 094F5D0D014E1C16415D5279这种使用type
7型加密算法加密的密码,我们可以用Cisco Tools栏下的Router Password Decryption工具进行破解,输入7
094F5D0D014E1C16415D5279并回车,就可以看到其真正的密码csdx+kd*163了。
我们看到的这个配置文件,访问口令是用明文保存的video,我们直接就可以用这个telnet上去了,不过只是普通模式,没有什么权限,我们需要的是得到Cisco路由器的特权。
由于其特权口令是使用MD5散列算法进行加密的,直接破解比较麻烦,这里可以使用Cain
v2.5工具对Config配置文件中的口令进行破解。但这样的成功率不是很大,我们需要想另外一个办法突破他。你想到了吗?我们扫描用的SNMP团体字
符串是private,具有读写能力,于是我们就有了这招偷梁换柱。
先备份好刚下载的Config配置文件,再使用记事本找到“enable secret 5
$1$Hhrr$yjzWaEMTBa8EzrLTlDaCT0”这个字符串(不带引号),使用一个我们已知口令的MD5加密值代替进去。然后使用
Cisco Tools栏下的Upload
Config工具将修改好的这个Config配置文件上传到Cisco路由器上,这样我们就冲掉了原来的密码,当然也就可以用我们知道的口令进入特权模式
了。再上传config文件时,Upload
Config工具会询问是要覆盖当前running运行的config文件,还是覆盖闪存中的开机config文件,这里我们当然需要选择是第一个覆盖当
前running运行的config文件这个选项。
不难看到,入侵CISCO路由器的朋友也就是钻了管理员的配置漏洞而已,对于要指定目标进行安全检测的情况,SolarWinds2002也为我们想
得很周到。我们可以使用其工具条中Security
Check工具,扫描试图破解出指定路由器具有可读写权限的SNMP团体字符串。除此之外,我们还可以使用工具条Security栏中的SNMP
Brute Force Attack工具,对指定路由器的登陆及特权口令进行暴力猜解,或使用SNMP Dictionary
Attack工具对指定的路由器的登陆及特权口令进行字典猜解。
OK, Cisco路由器简单的安全监测工作就这样完成了,当然进去之后,建议大家先使用#terminal history size
0命令将系统日志停掉,干完事后使用#clear logg和#clear line vty
*两个命令删掉记录,最后一定要记得将首先备份的Config配置文件还原上去,以免影响管理员的正常维护工作。
另外,可能有的朋友遇到SolarWinds2002这样的大型英文软件会有点头痛。参照其帮助文件,我将各个工具栏中小工具的用途简单的列举了出来,希望对大家有用。
阅读(872) | 评论(0) | 转发(0) |