Cisco路由器是怎样被攻陷的------SolarWinds2002的简单使用

ocoralan

路由器是网络中常用的网络设备，是他将我们的服务器在茫茫网海中联系起来。只有通过他，我们才能使用最合理的数据通路将数据发送到对方，也就是说路由器提供了互联网数据通路的节点。在《黑客防线》2003年第一期南阳岩冰写的《保护网络从路由器做起》一文中，我们已经基本了解了怎样安全的配置好一台CISCO路由器，下面我们将使用SolarWinds2002这个软件对CISCO路由器进行简单的安全检测工作。\r\n\r\n\r\n*基本知识*\r\n\r\n1. 路由器一般的远程控制方法有两种，一是Telnet，另外一个是同过SNMP代理。大家常用的Telnet就不说了，第二种控制方式是通过在路由器上配置好SNMP代理，包括MIB变量访问、MIB变量设置、SNMP中断和SNMP团体字符串四项功能，再在远程使用基于SNMP应用协议的管理软件（如 CISCO WORKS 2000）进行远程管理，也可以在路由器上开放80端口，用浏览器进行远程管理。\r\n2. CISCO路由器登陆口令分为用户访问口令和特权级口令（enable）。缺省情况下，路由器上所有控制台口令是以明文形式存储在路由器配置中。使用 enable password命令设置的密码是用Cisco的type 7型加密算法实现的，可以反向解密的，而管理员使用enable secret命令设置的密码，是用MD5散列算法进行加密，破解有较大难度。\r\n3. SNMP团体字符串一般是有两种。一是public，代表对路由器资源只读权限；二是private，代表对路由器资源可读写权限。\r\n\r\n\r\n*检测详解*\r\n\r\n首先，我们需要一个专门的，集扫描、破解、管理等功能于一身的软件：SolarWinds 2002。下载地址和注册方法都在灰色轨迹的下载栏中可以找到，我就不多说了。\r\n\r\n\r\n安装完毕并运行后，就可以看到她的工具条了，根据不同的应用工具条被划分为11个栏目。（如图一）根据入侵win2k的经验，我们要入侵CISCO路由器，也是要先用扫描器寻找存在漏洞的CISCO路由器。而出现这个漏洞的原因一般也是因为管理员没有正确配置好路由器，导致我们可以对CISCO路由器的配置文件进行读写操作。打开SolarWinds工具条Discovery栏中的IP Network Browser工具，在其Settings配置对话框中，选中public并删掉它，只保留private SNMP团体字符串。这样扫描出来的CISCO路由器一般就具有可对配置文件读写的权限。（如图二）\r\n\r\n确定Settings配置后，在Scan an IP Address Range下的Begining IP Address和Ending IP Address中分别填上你想扫描的起始IP地址和结束IP地址。然后单击“Scan Address Range”，开始扫描。\r\n\r\n呵呵，运气不错，一会儿后我们便有了想要的东西。（如图三）选中这个有漏洞的CISCO路由器，单击工具栏中的“Config”，SolarWinds便会自动打开TFTP服务并使用SolarWinds工具条Cisco Tools栏下的Config Editor/Viewer工具自动下载这个路由器的配置文件到SolarWinds安装所在分区的TFTP-Root目录下。（如图四）可能是由于注册机或其他什么的原因，当使用Config Editor/Viewer试图打开这个下载的Config文件的时候，该工具自身会锁死。不过没关系，我们可以先将他关闭，再在Cisco Tools栏下打开Config Editor/Viewer工具，使用其工具栏上的“Diff”比较工具，打开刚才下载的Config配置文件。（如图五）\r\n\r\n下面是一份真实的Config配置文件：\r\n!* ***.CiscoConfig //以路由器名称为文件名的.CiscoConfig文件\r\n!* IP Address : *.*.*.* //路由器的IP地址\r\n!* Community : private //注意到这个SNMP团体字符串，代表的是可读写权限\r\n!* Downloaded 2003-2-7 1:28:31 by SolarWinds Config Transfer Engine Version 5.5.0\r\n\r\n!\r\n! Last configuration change at 16:10:53 UTC Tue Jan 28 2003\r\n! NVRAM config last updated at 22:16:28 UTC Sat Nov 30 2002\r\n!\r\nversion 12.0\r\nno service pad\r\nservice timestamps debug uptime\r\nservice timestamps log uptime\r\nno service password-encryption\r\n!\r\nhostname video_center\r\n!\r\nenable secret 5 $1$Hhrr$yjzWaEMTBa8EzrLTlDaCT0 //使用MD5散列算法进行加密了的特权口令\r\nenable password 7 094F5D0D014E1C16415D5279 //如果没有上面的enable secret，则特权口令就是这个type 7型加密算法加密的口令\r\n\r\n……//中间太多太杂而省略\r\n\r\nline vty 0 4\r\npassword video //这里是明文保存的访问口令\r\nlogin\r\nline vty 5 15\r\npassword video\r\nlogin\r\n!\r\nend\r\n\r\n像上面这个配置文件中的enable password 7 094F5D0D014E1C16415D5279这种使用type 7型加密算法加密的密码，我们可以用Cisco Tools栏下的Router Password Decryption工具进行破解，输入7 094F5D0D014E1C16415D5279并回车，就可以看到其真正的密码csdx+kd*163了。（如图六）\r\n\r\n我们看到的这个配置文件，访问口令是用明文保存的video，我们直接就可以用这个telnet上去了，不过只是普通模式，没有什么权限，我们需要的是得到Cisco路由器的特权。\r\n\r\n由于其特权口令是使用MD5散列算法进行加密的，直接破解比较麻烦，这里可以使用Cain v2.5工具对Config配置文件中的口令进行破解。但这样的成功率不是很大，我们需要想另外一个办法突破他。你想到了吗？我们扫描用的SNMP团体字符串是private，具有读写能力，于是我们就有了这招偷梁换柱。\r\n\r\n先备份好刚下载的Config配置文件，再使用记事本找到“enable secret 5 $1$Hhrr$yjzWaEMTBa8EzrLTlDaCT0”这个字符串（不带引号），使用一个我们已知口令的MD5加密值代替进去。（如图七）然后使用Cisco Tools栏下的Upload Config工具将修改好的这个Config配置文件上传到Cisco路由器上，这样我们就冲掉了原来的密码，当然也就可以用我们知道的口令进入特权模式了。（如图八）再上传config文件时，Upload Config工具会询问是要覆盖当前running运行的config文件，还是覆盖闪存中的开机config文件，这里我们当然需要选择是第一个覆盖当前running运行的config文件这个选项。\r\n\r\n不难看到，入侵CISCO路由器的朋友也就是钻了管理员的配置漏洞而已，对于要指定目标进行安全检测的情况，SolarWinds2002也为我们想得很周到。我们可以使用其工具条中Security Check工具，扫描试图破解出指定路由器具有可读写权限的SNMP团体字符串（如图九）。除此之外，我们还可以使用工具条Security栏中的 SNMP Brute Force Attack工具，对指定路由器的登陆及特权口令进行暴力猜解（如图十），或使用SNMP Dictionary Attack工具对指定的路由器的登陆及特权口令进行字典猜解（如图十一）。\r\n\r\nOK， Cisco路由器简单的安全监测工作就这样完成了，当然进去之后，建议大家先使用#terminal history size 0命令将系统日志停掉，干完事后使用#clear logg和#clear line vty *两个命令删掉记录，最后一定要记得将首先备份的Config配置文件还原上去，以免影响管理员的正常维护工作。\r\n\r\n另外，可能有的朋友遇到SolarWinds2002这样的大型英文软件会有点头痛。参照其帮助文件，我将各个工具栏中小工具的用途简单的列举了出来，希望对大家有用。\r\n\r\n*SolarWinds2002中各个工具的简单说明*\r\n\r\n使用版本：SolarWinds 2002 CATV Engineers Edition\r\n\r\nDiscovery栏\r\n\r\nIP Network Browser 用于扫描于设定的SNMP字符串相同的路由器\r\nPing Sweep 用于扫描一段IP中有哪些正在被使用，并显示出其DNS名字\r\nSubnet List 用于扫描路由下的分支网络，并给出了子掩码\r\nSNMP Sweep 用于在一段IP下扫描哪些提供SNMP服务\r\nNetwork Sonar 用于建立和查看TCP/IP网络构成数据库\r\nDNS Audit 用于扫描定位本地DNS数据库错误\r\nMAC Address Discovery 用于扫描一段IP内存在机器的MAC地址\r\n\r\n\r\nCisco Tools栏\r\n\r\nConfig Editor/Viewer 用于下载、查看、比较、备份Cisco路由和交换机配置\r\nUpload Config 用于上传Cisco路由和交换机配置，可用于修改配置\r\nDownload Config 用于下载Cisco路由和交换机配置\r\nRunning Vs Startup Configs 用于比较正在运行的和开机的配置文件\r\nRouter Password Decryption 用于解密Cisco的type 7型密码\r\nProxy Ping 用于测试Cisco路由器是否具有代理ping的能力\r\nAdvanced CPU Load 用于建立、查看Cisco路由器或交换机CPU工作状态数据库\r\nCPU Gauge 用于监控win2k、Cisco路由器或交换机CPU工作\r\nRouter CPU Load 用于及时监控Cisco路由器的cpu工作\r\nIP Network Browser 用于扫描于设定的SNMP团体字符串相同的路由器\r\nSecurity Check 用于扫描指定路由器的SNMP团体字符串\r\n\r\nPing Tools栏\r\n\r\nPing 用于ping主机\r\nTrace Route 用于跟踪路由，查看经过的路由地址\r\nProxy Ping 用于测试Cisco路由器是否具有代理ping的能力\r\nPing Sweep 用于扫描一段IP中有哪些正在被使用，并显示出其DNS名字\r\nEnhanced Ping 用于及时监视一定数量服务器、路由器等的相应能力\r\n\r\n\r\nAddress Mgmt栏\r\n\r\nSubnet Calculator IP Address Management\r\nIP Address Management 用于及时监控一段网络中IP的使用情况\r\nDNS / Whois 用于获取一IP或域名的详细DNS信息\r\nPing Sweep 用于扫描一段IP中有哪些正在被使用，并显示出其DNS名字\r\nDNS Audit 用于扫描定位本地DNS数据库错误\r\nDHCP Scope Monitor 用于监控具有DHCP功能主机的子网络\r\n\r\n\r\nMonitoring栏\r\n\r\nBandwidth Monitor 用于及时监控多个设备的通路与带宽情况\r\nWatch It ! 用于telnet、web管理多个路由设备的工具条\r\nRouter CPU Load 用于及时监控Cisco路由器的cpu工作\r\nNetwork Monitor 用于监控多个路由设备的多种工作状态参数\r\nNetwork Performance Monitor 用于监控多个路由设备的各种详尽网络状态\r\nEnhanced Ping 用于及时监视一定数量服务器、路由器等的相应能力\r\nSysLog Server 用于察看、修改514 UDP端口接收到的系统log\r\n\r\n\r\nPerf Mgmt栏\r\n\r\nNetwork Performance Monitor 用于监控多个路由设备的各种详尽网络状态\r\nNetPerfMon Database Maintenance 用于维护上面工具生成的数据库\r\nSNMP Graph 用于在MIB中及时的收集设定的OID的详细数据\r\nBandwidth Gauges 用仪表的形式监视远程设备的通路与带宽情况\r\nBandwidth Monitor 用趋势图的形式及时监控多个设备的通路与带宽情况\r\nAdvanced CPU Load 用于建立、查看Cisco路由器或交换机CPU工作状态数据库\r\nCPU Gauge 用于监控win2k、Cisco路由器或交换机CPU工作\r\nRouter CPU Load 用于及时监控Cisco路由器的cpu工作\r\n\r\n\r\nMIB Browser栏\r\n\r\nMIB Browser 用于查看、编辑各种MIB数据资源\r\nUpdate System MIB 用于改变各种SNMP设备的系统信息\r\nSNMP Graph 用于在MIB中及时的收集设定的OID的详细数据\r\nMIB Walk 用于收集指定OID的详细信息\r\nMIB Viewer 用于查看各种MIB数据资源\r\n\r\n\r\nSecurity栏\r\n\r\nSecurity Check 用于扫描指定路由器的SNMP团体字符串\r\nRouter Password Decrypt 用于解密Cisco的type 7型密码\r\nRemote TCP Session Reset 用于显示各设备上的已激活连接\r\nSNMP Brute Force Attack 用于暴力猜解路由器的登陆口令\r\nSNMP Dictionary Attack 用于字典猜解路由器的登陆口令\r\nEdit Dictionaries 用于编辑字典\r\n\r\n\r\nCATV Tools栏\r\n\r\nCATV Subscriber Modem Details 用于查询CATV Modem的当前工作状态\r\nCMTS Modem Summary 用于监听和查看CATV Modem的各种工作状态\r\nNetwork Performance Monitor 用于监控多个路由设备的各种详尽网络状态\r\nNetPerfMon Database Maintenance 用于维护上面工具生成的数据库\r\n\r\n\r\nMiscellaneous栏\r\n\r\nTFTP Server 用于建立TFTP服务器以接收、发送数据\r\nWAN Killer 用于发送特定信息包\r\nSend Page 用于发送E-Mail或Page\r\nWake-On-LAN 用于远程激活网络功能\r\n\r\n\r\nHelp & Web栏\r\n\r\n这还要说？就是一些帮助哇~~~呵呵\r\n\r\n最后，需要申明的是笔者写本文的目的不是教大家怎样入侵，而是更多地了解路由器，由于本文造成的任何损失，笔者概不负责，希望大家自重，在合法的情况下做事。