利用SNMP攻击思科等交换机路由器等设备

原理：某些交换机与路由器等设备会开启161端口的SNMP服务，有些设备采用默认的只读社区字符串：public与读写社区字符串：private或是其他较弱的社区字符串，这就使得我们可以以此来查看设备的实时信息甚至下载它的配置信息（下载配置文件需要有读写社区字符串），得到明文或加密的账户与密码，我们可以以此破解出账户口令或是添加已知账户和密码上去并将修改过的配置文件重新上传上去，达到添加账户的作用，此方法甚至可以添加拥有最高权限的账户。

        注意：上传和下载配置文件时会让你选择现在运行的配置和存储在硬盘里的每次开机时加载的配置，前者存储在设备的内存中只在此次运行过程中有效，对它进行修改可以及时起效，但下次开机就会恢复成存在硬盘里的配置，且修改它不会对硬盘里原有的配置有影响；后者存在硬盘里，即使重启也没有影响。

工具：solarwinds 2002

------SolarWinds Tools的简单使用

       路由器是网络中常用的网络设备，是他将我们的服务器在茫茫网海中联系起来。只有通过他，我们才能使用最合理的数据通路将数据发送到对方，也就是说路由器提供了互联网数据通路的节点。在《黑客防线》2003年第一期南阳岩冰写的《保护网络从路由器做起》一文中，我们已经基本了解了怎样安全的配置好一台CISCO路由器，下面我们将使用SolarWinds2002这个软件对CISCO路由器进行简单的安全检测工作。

*基本知识*

1. 路由器一般的远程控制方法有两种，一是Telnet，另外一个是同过SNMP代理。大家常用的Telnet就不说了，第二种控制方式是通过在路由器上配置好SNMP代理，包括MIB变量访问、MIB变量设置、SNMP中断和SNMP团体字符串四项功能，再在远程使用基于SNMP应用协议的管理软件（如CISCO WORKS 2000）进行远程管理，也可以在路由器上开放80端口，用浏览器进行远程管理。

2. CISCO路由器登陆口令分为用户访问口令和特权级口令（enable）。缺省情况下，路由器上所有控制台口令是以明文形式存储在路由器配置中。使用enable password命令设置的密码是用Cisco的type 7型加密算法实现的，可以反向解密的，而管理员使用enable secret命令设置的密码，是用MD5散列算法进行加密，破解有较大难度。

3. SNMP团体字符串一般是有两种。一是public，代表对路由器资源只读权限；二是private，代表对路由器资源可读写权限。

*检测详解*

       首先，我们需要一个专门的，集扫描、破解、管理等功能于一身的软件：SolarWinds 2002。下载地址和注册方法都在灰色轨迹的下载栏中可以找到，我就不多说了。

安装完毕并运行后，就可以看到她的工具条了，根据不同的应用工具条被划分为11个栏目。根据入侵win2k的经验，我们要入侵CISCO路由器，也是要先用扫描器寻找存在漏洞的CISCO路由器。而出现这个漏洞的原因一般也是因为管理员没有正确配置好路由器，导致我们可以对CISCO路由器的配置文件进行读写操作。打开SolarWinds工具条Discovery栏中的IP Network Browser工具，在其Settings配置对话框中，选中public并删掉它，只保留private SNMP团体字符串。这样扫描出来的CISCO路由器一般就具有可对配置文件读写的权限。

确定Settings配置后，在Scan an IP Address Range下的Begining IP Address和Ending IP Address中分别填上你想扫描的起始IP地址和结束IP地址。然后单击“Scan Ad
bb10
dress Range”，开始扫描。

呵呵，运气不错，一会儿后我们便有了想要的东西。选中这个有漏洞的CISCO路由器，单击工具栏中的“Config”，SolarWinds便会自动打开TFTP服务并使用SolarWinds工具条Cisco Tools栏下的Config Editor/Viewer工具自动下载这个路由器的配置文件到SolarWinds安装所在分区的TFTP-Root目录下。可能是由于注册机或其他什么的原因，当使用Config Editor/Viewer试图打开这个下载的Config文件的时候，该工具自身会锁死。不过没关系，我们可以先将他关闭，再在Cisco
Tools栏下打开Config Editor/Viewer工具，使用其工具栏上的“Diff”比较工具，打开刚才下载的Config配置文件。

下面是一份真实的Config配置文件：

!* ***.CiscoConfig //以路由器名称为文件名的.CiscoConfig文件

!* IP Address : *.*.*.* //路由器的IP地址

!* Community : private //注意到这个SNMP团体字符串，代表的是可读写权限

!* Downloaded 2003-2-7 1:28:31 by SolarWinds Config Transfer Engine Version 5.5.0

!

! Last configuration change at 16:10:53 UTC Tue Jan 28 2003

! NVRAM config last updated at 22:16:28 UTC Sat Nov 30 2002

!

version 12.0

no service pad

service timestamps debug uptime

service timestamps log uptime

no service password-encryption

!

hostname video_center

!

enable secret 5 $1$Hhrr$yjzWaEMTBa8EzrLTlDaCT0 //使用MD5散列算法进行加密了的特权口令

enable password 7 094F5D0D014E1C16415D5279 //如果没有上面的enable secret，则特权口令就是这个type 7型加密算法加密的口令

……//中间太多太杂而省略

line vty 0 4

password video //这里是明文保存的访问口令

login

line vty 5 15

password video

login

!

end

        像上面这个配置文件中的enable password 7 094F5D0D014E1C16415D5279这种使用type 7型加密算法加密的密码，我们可以用Cisco Tools栏下的Router Password Decryption工具进行破解，输入7 094F5D0D014E1C16415D5279并回车，就可以看到其真正的密码csdx+kd*163了。

我们看到的这个配置文件，访问口令是用明文保存的video，我们直接就可以用这个telnet上去了，不过只是普通模式，没有什么权限，我们需要的是得到Cisco路由器的特权。

由于其特权口令是使用MD5散列算法进行加密的，直接破解比较麻烦，这里可以使用Cain v2.5工具对Config配置文件中的口令进行破解。但这样的成功率不是很大，我们需要想另外一个办法突破他。你想到了吗？我们扫描用的SNMP团体字符串是private，具有读写能力，于是我们就有了这招偷梁换柱。

        先备份好刚下载的Config配置文件，再使用记事本找到“enable secret 5 $1$Hhrr$yjzWaEMTBa8EzrLTlDaCT0”这个字符串（不带引号），使用一个我们已知口令的MD5加密值代替进去。然后使用Cisco Tools栏下的Upload Config工具将修改好的这个Config配置文件上传到Cisco路由器上，这样我们就冲掉了原来的密码，当然也就可以用我们知道的口令进入特权模式了。再上传config文件时，Upload Config工具会询问是要覆盖当前running运行的config文件，还是覆盖闪存中的开机config文件，这里我们当然需要选择是第一个覆盖当前running运行的config文件这个选项。

        不难看到，入侵CISCO路由器的朋友也就是钻了管理员的配置漏洞而已，对于要指定目标进行安全检测的情况，SolarWinds2002也为我们想得很周到。我们可以使用其工具条中Security Check工具，扫描试图破解出指定路由器具有可读写权限的SNMP团体字符串。除此之外，我们还可以使用工具条Security栏中的SNMP Brute Force Attack工具，对指定路由器的登陆及特权口令进行暴力猜解，或使用SNMP Dictionary Attack工具对指定的路由器的登陆及特权口令进行字典猜解。

       OK， Cisco路由器简单的安全监测工作就这样完成了，当然进去之后，建议大家先使用#terminal history size 0命令将系统日志停掉，干完事后使用#clear logg和#clear line vty *两个命令删掉记录，最后一定要记得将首先备份的Config配置文件还原上去，以免影响管理员的正常维护工作。

       另外，可能有的朋友遇到SolarWinds2002这样的大型英文软件会有点头痛。参照其帮助文件，我将各个工具栏中小工具的用途简单的列举了出来，希望对大家有用。

*SolarWinds2002中各个工具的简单说明*

使用版本：SolarWinds 2002 CATV Engineers Edition

Discovery栏

IP Network Browser 用于扫描于设定的SNMP字符串相同的路由器

Ping Sweep 用于扫描一段IP中有哪些正在被使用，并显示出其DNS名字

Subnet List 用于扫描路由下的分支网络，并给出了子掩码

SNMP Sweep 用于在一段IP下扫描哪些提供SNMP服务

Network Sonar 用于建立和查看TCP/IP网络构成数据库

DNS Audit 用于扫描定位本地DNS数据库错误

MAC Address Discovery 用于扫描一段IP内存在机器的MAC地址

Cisco Tools栏

Config Editor/Viewer 用于下载、查看、比较、备份Cisco路由和交换机配置

Upload Config 用于上传Cisco路由和交换机配置，可用于修改配置

Download Config 用于下载Cisco路由和交换机配置

Running Vs Startup Configs 用于比较正在运行的和开机的配置文件

Router Password Decryption 用于解密Cisco的type 7型密码

Proxy Ping 用于测试Cisco路由器是否具有代理ping的能力

Advanced CPU Load 用于建立、查看Cisco路由器或交换机CPU工作状态数据库

CPU Gauge 用于监控win2k、Cisco路由器或交换机CPU工作

Router CPU Load 用于及时监控Cisco路由器的cpu工作

IP Network Browser 用于扫描于设定的SNMP团体字符串相同的路由器

Security Check 用于扫描指定路由器的SNMP团体字符串

Ping Tools栏

Ping 用于ping主机

Trace Route 用于跟踪路由，查看经过的路由地址

Proxy Ping 用于测试Cisco路由器是否具有代理ping的能力

Ping Sweep 用于扫描一段IP中有哪些正在被使用，并显示出其DNS名字

Enhanced Ping 用于及时监视一定数量服务器、路由器等的相应能力

Address Mgmt栏

Subnet Calculator IP Address Management

IP Address Management 用于及时监控一段网络中IP的使用情况

DNS / Whois 用于获取一IP或域名的详细DNS信息

Ping Sweep 用于扫描一段IP中有哪些正在被使用，并显示出其DNS名字

DNS Audit 用于扫描定位本地DNS数据库错误

DHCP Scope Monitor 用于监控具有DHCP功能主机的子网络

Monitoring栏

Bandwidth Monitor 用于及时监控多个设备的通路与带宽情况

Watch It ! 用于telnet、web管理多个路由设备的工具条

Router CPU Load 用于及时监控Cisco路由器的cpu工作

Network Monitor 用于监控多个路由设备的多种工作状态参数

Network Performance Monitor 用于监控多个路由设备的各种详尽网络状态

Enhanced Ping 用于及时监视一定数量服务器、路由器等的相应能力

SysLog Server 用于察看、修改514 UDP端口接收到的系统log

Perf Mgmt栏

Network Performance Monitor 用于监控多个路由设备的各种详尽网络状态

NetPerfMon Database Maintenance 用于维护上面工具生成的数据库

SNMP Graph 用于在MIB中及时的收集设定的OID的详细数据

Bandwidth Gauges 用仪表的形式监视远程设备的通路与带宽情况

Bandwidth Monitor 用趋势图的形式及时监控多个设备的通路与带宽情况

Advanced CPU Load 用于建立、查看Cisco路由器或交换机CPU工作状态数据库

CPU Gauge 用于监控win2k、Cisco路由器或交换机CPU工作

Router CPU Load 用于及时监控Cisco路由器的cpu工作

MIB Browser栏

MIB Browser 用于查看、编辑各种MIB数据资源

Update System MIB 用于改变各种SNMP设备的系统信息

SNMP Graph 用于在MIB中及时的收集设定的OID的详细数据

MIB Walk 用于收集指定OID的详细信息

MIB Viewer 用于查看各种MIB数据资源

Security栏

Security Check 用于扫描指定路由器的SNMP团体字符串

Router Password Decrypt 用于解密Cisco的type 7型密码

Remote TCP Session Reset 用于显示各设备上的已激活连接

SNMP Brute Force Attack 用于暴力猜解路由器的登陆口令

SNMP Dictionary Attack 用于字典猜解路由器的登陆口令

Edit Dictionaries 用于编辑字典

CATV Tools栏

CATV Subscriber Modem Details 用于查询CATV Modem的当前工作状态

CMTS Modem Summary 用于监听和查看CATV Modem的各种工作状态

Network Performance Monitor 用于监控多个路由设备的各种详尽网络状态

NetPerfMon Database Maintenance 用于维护上面工具生成的数据库

Miscellaneous栏

TFTP Server 用于建立TFTP服务器以接收、发送数据

WAN Killer 用于发送特定信息包

Send Page 用于发送E-Mail或Page

Wake-On-LAN 用于远程激活网络功能

来源： http://blog.sina.com.cn/s/blog_74e94c840100pu6i.html

注意事项：

1、有时可能工具自带的TFTP服务无法下载配置文件，可以使用tftpd32开启TFTP服务来尝试。

2、思科设备加密方式分为三种：0 、5、7的意思是：0为不加密，5为使用MD5加密，7为使用cisco的私有算法加密。

 3、如果有人使用Telnet或ssh登录在设备上，可能配置文件此时无法下载，可以选择在晚上或没有人登录时进行尝试

4、不管下载还是上传配置文件很有可能要多次才能成功，可以选择在晚上进行尝试。

5、进行操作时最好选择有外网ip的vps，上传配置文件时本地ip设为外网或拨号ip，不要用127.0.0.1。