Категория > Новости > Атака Базарова. Evil Twin поверх динамической маршрутизации - «Новости»

Атака Базарова. Evil Twin поверх динамической маршрутизации - «Новости»


4-10-2022, 00:02. Автор: Adrian
FRRouting — это спе­циаль­ный вир­туаль­ный мар­шру­тиза­тор, который может интегри­ровать­ся с тво­ей ОС и работать как нас­тоящий роутер. Очень кру­тая шту­ка, пос­коль­ку под­держи­вает мно­жес­тво инте­рес­ных про­токо­лов: BGP, IS-IS, OSPF, EIGRP, VRRP, BFD и так далее. В этой статье я вос­поль­зуюсь имен­но FRR.

В пер­вую оче­редь нуж­но акти­виро­вать демоны FRR. За каж­дый про­токол будет отве­чать отдель­ный демон. Нам понадо­бят­ся демоны ospfd и staticd.


root@kali:~# nano /etc/frr/daemons
ospfd=yes
staticd=yes

Пе­ред запус­ком демона перек­люча­ем сетевой интерфейс в promiscuous mode, раз­реша­ем мар­шру­тиза­цию и акти­виру­ем работу NAT Helper (NFCONNTRACK).


in9uz@kali:~$ sudo sysctl -wnet.ipv4.ip_forward=1
in9uz@kali:~$ sudo modprobe nf_conntrack
root@kali:~# echo "1" /proc/sys/net/netfilter/nf_conntrack_helper

Пос­ле это­го вклю­чаем демон FRR и про­веря­ем его сос­тояние.


in9uz@kali:~$ sudo systemctl status frr
Сос­тояние FRR

С помощью коман­ды vtysh попада­ем на панель управле­ния мар­шру­тиза­тором:


kali# show ver
Па­нель управле­ния FRR 

Структура лабораторной сети


В качес­тве лабора­тории мы с тобой выс­тро­им тре­хуров­невую сеть. Для SMB-шары я выделил отдель­ный сег­мент (WAREHOUSE), но на самом деле это прос­то ком­мутатор уров­ня рас­пре­деле­ния. Так­же есть нес­коль­ко вир­туаль­ных сетей, они находят­ся на ком­мутато­рах уров­ня дос­тупа, а на ком­мутато­рах уров­ня рас­пре­деле­ния про­исхо­дит уже мар­шру­тиза­ция меж­ду самими VLAN.


От­казо­устой­чивость сети обес­печива­ет HSRPv2. Начиная с уров­ня рас­пре­деле­ния, я нас­тро­ил динами­чес­кую мар­шру­тиза­цию OSPF, все хра­нит­ся в нулевой BACKBONE-зоне.


То­поло­гия лабора­тор­ной сети


  • 10.10.20.1 — Fake (VLAN 20) (Windows 10 LTSC);


  • 10.10.30.1 — Boundless (VLAN 30) (Windows 10 LTSC);


  • 10.10.50.2 — Attacker (VLAN 50) (Kali Linux);


  • 10.10.50.100 — Dist-SW1 (HSRPv2 Active) (Cisco vIOS L2 Image);


  • 10.10.50.101 — Dist-SW2 (HSRPv2 Standby) (Cisco vIOS L2 Image);


  • 192.168.100.1 — SMB Share (Windows Server 2019 Standard).


 

Анализ трафика


Пер­вым делом нам нуж­но изу­чить тра­фик OSPF, узнать об ID зоны, наличии аутен­тифика­ции, router-id и так далее. Из пакета OSPF Hello, получен­ного от Dist-SW1 (10.10.50.100), мож­но заметить, что исполь­зует­ся нулевая зона 0.0.0.0.


Дамп OSPF-тра­фика

Так­же исполь­зует­ся MD5-аутен­тифика­ция. Она не поз­воля­ет неаутен­тифици­рован­ным роуте­рам вхо­дить в про­цесс мар­шру­тиза­ции. Не зная ключ, под­клю­чить­ся к сети OSPF не вый­дет.


 

Обход аутентификации (Authentication Bypassing)


Ха­рак­терис­тики клю­ча

На скрин­шоте некото­рые харак­терис­тики клю­ча. Иден­тифика­тор клю­ча (ID) — еди­ница.


Для сниф­финга крип­тогра­фичес­кого MD5-хеша вос­поль­зуем­ся ути­литой Ettercap. Перед этим перек­люча­емся в promisc.


in9uz@kali:~$ sudo ettercap -G
Ettercap обна­ружил MD5-хеш

Ко­пиру­ем эти хеши и бру­тим. Кста­ти говоря, очень удоб­но, что хеши сра­зу пред­став­лены в фор­мате John the Ripper.


in9uz@kali:~$ john ospf-hashes --wordlist=ospfwordlist
Взло­ман­ный пароль от домена OSPF

Па­роль уда­лось сбру­тить, это flatl1ne. С этим клю­чом мы можем под­клю­чить­ся к сети OSPF.


 

Evil Twin и перехват NetNTLM


 

Начало атаки


Ос­новной прин­цип ата­ки зак­люча­ется в редис­три­буции ста­тичес­кого мар­шру­та в сеть OSPF с наимень­шей мет­рикой. Эта сеть выс­тупит в качес­тве век­тора для инъ­екции лож­ного мар­шру­та. FRR поз­воля­ет опе­риро­вать ста­тичес­кой мар­шру­тиза­цией и ее редис­три­буци­ей, что осво­бож­дает нас от исполь­зования дис­крет­ных ути­лит (Loki, Scapy и про­чих).


Перейти обратно к новости