Сканирование SNMP с помощью snmpbulkwalk 

Сканирование SNMP snmpbulkwalk 

В этой статье, на примере прохождения уязвимой машины Mentor с сайта Hack The Box, мы рассмотрим сканирование SNMP с помощью инструмента snmpbulkwalk.

Еще по теме: Взлом и защита сетевых принтеров

В SNMP исполь­зует­ся модель безопас­ности сommunity-based (на осно­ве стро­ки сооб­щес­тва). По факту это иден­тифика­тор поль­зовате­ля или пароль, который отправ­ляет­ся вмес­те с зап­росом. Если стро­ка сооб­щес­тва не правильна, агент игно­риру­ет зап­рос. Давайте поп­робу­ем проб­рутить эти community-стро­ки ска­нером onesixtyone.

Перебо­р community-строк
Перебо­р community-строк

Сканирование выявило толь­ко дефол­тную стро­ку public. В этом нет нечего полез­ного.

Сканирование SNMP с помощью snmpbulkwalk

У меня были слу­чаи, ког­да используемые всеми инструменты для ска­ниро­вания комь­юни­ти‑строк ничего не находи­ли, а стро­ки таки сущес­тво­вали. Поэтому давайте попробуем зап­росить базовую информа­цию с помощью тулзы snmpbulkwalk по каж­дой стро­ке из сло­варя.

Так мы рас­кры­ли еще одну комь­юни­ти‑стро­ку internal.

Выпол­нение скрип­та snmpbulkwalk
Выпол­нение скрип­та snmpbulkwalk

Рассматривая SNMP, следует упо­мянуть MIB. MIB — это иерар­хичес­кая база дан­ных со све­дени­ями об устрой­стве. У каж­дого типа устрой­ства своя таблица MIB: у прин­тера в ней содер­жится информа­ция о сос­тоянии кар­трид­жей, а у ком­мутато­ра — дан­ные о тра­фике.

Бла­года­ря MIB сетевой менед­жер зна­ет, какую информа­цию он может зап­росить у аген­та устрой­ства.

Каж­дый объ­ект в MIB име­ет свой уни­каль­ный ID — OID, который пред­став­лен в чис­ловом фор­мате и име­ет иерар­хичес­кую струк­туру. OID — это чис­ловой экви­валент пути к фай­лу. Он прис­ваивает зна­чения каж­дой таб­лице в MIB, каж­дому стол­бцу в таб­лице и каж­дому зна­чению в стол­бце.

Так, по OID 1.3.6.1.2.1.25.4.2.1.2 мы можем зап­росить про­цес­сы на сетевом устрой­стве.

Про­цес­сы на уда­лен­ном хос­те
Про­цес­сы на уда­лен­ном хос­те

Ви­дим, что запуще­ны скрип­ты login.sh и login.py, а так­же про­цесс docker-proxy. У каж­дого про­цес­са есть так называ­емая cmdline — пол­ная коман­да со все­ми парамет­рами, которая переда­ется исполня­емой коман­дной обо­лоч­ке.

Зап­росить их мож­но по OID 1.3.6.1.2.1.25.4.2.1.5.

Пол­ные коман­ды про­цес­сов, запущен­ных на хос­те
Пол­ные коман­ды про­цес­сов, запущен­ных на хос­те

В резуль­тате получа­ем какую‑то инте­рес­ную стро­ку, переда­ваемую про­цес­су login.py. Воз­можно, это пароль.

И так мы переходим к сканированию веб-сервера, о чем поговорим в следующей статье.

ПОЛЕЗНЫЕ ССЫЛКИ:

Дима (Kozhuh)

Эксперт в кибербезопасности. Работал в ведущих компаниях занимающихся аналитикой компьютерных угроз. Анонсы новых статей в Телеграме.

Добавить комментарий