Tuesday, January 17, 2012

Backdoor для Cisco IPS

В этой статье я хочу рассказать о том как можно обмануть систему аутентификации на Cisco IPS (Cisco IPS 4200 или AIP-SSM). Статья не претендует на то, что мы осуществляем полноценный взлом устройства, нам все-таки необходимо выполнить ряд предварительных действий.


Предыстория

Все мы знаем о том, что когда мы достаем новенький Cisco IPS из коробки в системе уже есть пользователь cisco/cisco для первоначальной конфигурации устройства. К слову сказать, удалить данного пользователя нельзя, можно только менять пароль и группу пользователей к которой он принадлежит.

На Cisco IPS при добавлении нового пользователя мы должны определить группу к которой он относится: Administrator, Operaror, Viewer, Service. Ниже приведен синтаксис команды для добавления нового пользователя:

sensor# username user name password password privilege group name

О группе Service хотелось бы рассказать подробнее, она необходима для исправления разного рода косяков в системе непосредственно через оболочку Linux — Bash. Мало того при добавление пользователя в такую группу есть еще пару нюансов:

    В системе такой пользователь может быть только один (это правда если вы добавляете такого пользователя через Shell IPS или Cisco IME)
    Пароль данного пользователя заменяет пароль пользователя root в системе


Готовим backdoor

Добавляем сервисного пользователя:

sensor# username service password ser123vice privilege service

На локальной машине генерируем пару ключей (приватный/публичный) для SSH:

zsh# ssh-keygen -t rsa
ssh-keygen -t rsa
Generating public/private rsa key pair.
Enter file in which to save the key (/Users/simple/.ssh/id_rsa):
Enter passphrase (empty for no passphrase):
Enter same passphrase again:
Your identification has been saved in /Users/simple/.ssh/id_rsa.

Read more: Habrahabr.ru
QR: http://chart.googleapis.com/chart?chs=80x80&cht=qr&choe=UTF-8&chl=habrahabr.ru/blogs/cisconetworks/136079/

Posted via email from Jasper-Net