Обход ограничений выполнения команд Linux.

Обход ограничения на выполнение ls или отсутствие ls:

yar1k@zero:~$ echo /home/yar1k/Downloads/*
/home/yar1k/Downloads/2000 Eighth Star (lossless) /home/yar1k/Downloads/CentOS-7-x86_64-DVD-1611.iso /home/yar1k/Downloads/debian-8.7.0-i386-CD-1.iso /home/yar1k/Downloads/firefox /home/yar1k/Downloads/HackDay-Albania.ova /home/yar1k/Downloads/kali-linux-xfce-2016.2-amd64 /home/yar1k/Downloads/mrRobot.ova /home/yar1k/Downloads/photo_2017-02-20_09-37-15.jpg /home/yar1k/Downloads/SkyDogConCTF2016VBoxV10.ova /home/yar1k/Downloads/Telegram Desktop /home/yar1k/Downloads/tor-browser_en-US
yar1k@zero:~$

Переход из rbash(служит для ограничения пользователей в командной строке) в bash при доступности редактора vim:

:set shell=/bin/bash
:shell

При доступной консоли python перейдем в bash:

$ /usr/bin/python
Python 2.7.9 (default, Jun 29 2016, 13:08:31)
[GCC 4.9.2] on linux2
Type "help", "copyright", "credits" or "license" for more information.
>>> import os;
>>> os.system('/bin/bash')
yar1k@zero:~$

Сброс конфигурации активного оборудования Huawei (NE40, SW, SecGW, FW, etc)

Если статья оказалась полезной для вас, пожалуйста подпишитесь на мой телеграм канал:

https://t.me/shell_podcast

На данной странице будет собираться информация о процедуре сброса конфигурации активного сетевого оборудования Huawei, такого как маршрутизаторы (NE40, CX600), коммутаторы (Switch 9300), брандмауэр (Firewall eudemon, Security GW).

1. Необходим консольный кабель Huawei (схема распайки - huawei console cable pinuout). При отсутствии COM порта, необходимо использовать USB-to-COM переходник (USB-RS232 Serial Converter). Убедитесь, что драйвер переходника корректно загрузился. В linux системах это можно увидеть в выводе dmesg (в новых реализациях используйте ключ -wH, для динамического вывода информации), в windows данную информацию можно увидеть в панели управления устройствами.

2. Подключаемся к консольному порту оборудования, в современных реализациях он выглядит как обычный 8P8C (в народе RJ45) порт, внимательно смотрите на маркировку - Console.

3. Для работы с устройством через консольное соединение можно использовать такую программу как putty (Windows, unix) или minicom (unix). Я предпочитаю minicom. Выбираем в программе устройство, т.е. интерфейс к которому подключен наш консольный провод в компьютере например мой переходник USB2COM определился как /dev/ttyUSB0 в linux системе или COM6 порт в windows.

4. При успешном соединении к устройству на экран выводится баннер устройства или сразу запрос авторизации на устройстве. Если на данном этапе не один из имеющихся паролей не подходит, можно приступать к процедуре сброса конфигурации (Factory reset) в результате которой мы потеряем имеющуюся конфигурацию, но при этом и пароль администратора станет заводским.
Не отключая консольного кабеля перезагружаем устройство по питанию и наблюдаем вывод в консоли.

5. Во время загрузки Boot-loader, нажимаем Ctrl+B для доступа в меню загрузчика, устройство запросит пароль:

     ****************************************************
     *                                                  *
     *          Ethernet Switch BootLoad                *
     *                                                  *
     ****************************************************

    Copyright (C) 2000-2015 HUAWEI TECH CO., LTD
    Version : 122 Compiled at Dec  4 2013, 10:39:37

    PCB Version     : LE02SRUA VER.D
    CPU L2 Cache    : 128KB
    CPU Clock Speed : 700MHz
    BUS Clock Speed : 133MHz
    Memory Type     : DDR2 SDRAM
    Memory Size     : 1024MB
    Memory Speed    : 667MHz


cfcard:/  - Volume is OK

Initializing CFcard ....................................................... done
Description data is vaild in nvram area
Press Ctrl+B to enter boot menu ...  1 

Password:       //Enter the BootROM password.

Здесь представлены различные варианты паролей для boot-loader huawei, которые различаются в зависимости от версии загрузчика. Помните, при трехкратном неверном вводе пароля устройство уйдет в перезагрузку и нужно будет повторить вход в boot-loader меню нажатием Ctrl+B.

6. Boot-loader Huawei passwords:
WWW@HUAWEI
Admin@huawei.com


7. После успешного ввода пароля попадаем в boot-loader меню:

             MAIN  MENU

     1. Boot with default mode
     2. Boot from Flash
     3. Boot from CFCard
     4. Enter serial submenu
     5. Enter ethernet submenu
     6. Enter file system submenu
     7. Enter test submenu
     8. Modify BootROM password
     9. Modify Flash description area
    10. Clear password for console user
    11. Reboot

Enter your choice(1-11): 

8. Выбираем Enter ethernet submenu, в данной версии это пункт 5, внимательней читайте меню своего устройства, т.к. номер может отличаться.

 Enter your choice(1-11): 5

            ETHERNET  SUBMENU

    1. Download file to SDRAM through ethernet interface and boot
    2. Download file to Flash through ethernet interface
    3. Download file to CFCard through ethernet interface
    4. Upload Configuration file to Ftp through ethernet interface
    5. Modify ethernet interface parameter
    6. Return to main menu

Be sure to modify parameter before downloading
Enter your choice(1-6):

9. Здесь выбираем Modify ethernet interface parameter, для изменения настроек менеджмент интерфейса.

Be sure to modify parameter before downloading!
Enter your choice(1-6):5    

Note: Two protocols for download, tftp & ftp.
      The file max-length for tftp is 32M.
      You can modify the flags following the menu.
      tftp--0x80, ftp--0x0.

'.' = clear field;  '-' = go to previous field;  ^D = quit

boot device          : eth1 
processor number     : 0 
host name            : host 
file name            : vrpcfg.zip 
inet on ethernet (e) : 192.168.1.235:ffffff00
inet on backplane (b): 192.168.1.1:ffffff00 
host inet (h)        : 192.168.1.3 
gateway inet (g)     :  
user (u)             : huawei 
ftp password (pw) (blank = use rsh):         
flags (f)            : 0x0 
target name (tn)     : octeon 
startup script (s)   :  
other (o)            :  

основное:

boot device - порт устройства к которому будут применены данные изменения

file name - файл старой конфигурации в которой указан правильный пароль или пустая конфигурация на вашем локальном ftp сервере(на компьютере с которого вы работаете консолью или другом компьютере в сетевой доступности необходим ftp сервер).

inet on ethernet - ip адрес который будет присвоен boot device.

host inet - адрес ftp сервера

user и ftp password - пользователь и пароль вашего ftp сервера

можно попробовать вместо vrpcfg.zip подгрузить просто пустой vrpcfg.txt

10. Подключаем сетевой кабель к интерфейсу который мы указали в качестве boot device(обычно это менеджмент интерфейс оборудования huawei), который подключен к ftp серверу. Обычно я для всей этой процедуры использую ноутбук, консольным кабелем подключен в с console порт оборудования, а сетевая карта ноутбука используется для подключения к boot device интерфейсу устройства, на ноутбуке поднят ftp-server.

11. Сохраняем изменения и в предыдущем меню выберем загрузку файла конфигурации на CFCard Download file to CFCard through ethernet interface.

            ETHERNET  SUBMENU

    1. Download file to SDRAM through ethernet interface and boot
    2. Download file to Flash through ethernet interface
    3. Download file to CFCard through ethernet interface
    4. Upload Configuration file to Ftp through ethernet interface
    5. Modify ethernet interface parameter
    6. Return to main menu

Be sure to modify parameter before downloading
Enter your choice(1-6): 3

Если все подключено и настроено верно, то устройство huawei используя встроенный в boot-loader ftp-клиент загрузит на флешку(заменит конфигурацию) указанный нами файл с нашего ftp.
Следует заметить, что интерфейс активируется только в момент когда мы выбираем Download file... - до этого пинговать или еще как-то проверять активность интерфейса не получится.  

12. После перезагрузки используйте пароль из загруженной конфигурации или в случае загрузки на устройство пустого файла конфигурации используйте заводской логин и пароль.

Если вам известны другие пароли boot-loader huawei прошу сообщить о них в комментарии.

Восстановление паролей файлов в linux.

Если статья оказалась полезной для вас, пожалуйста подпишитесь на мой телеграм канал:

https://t.me/shell_podcast

Jonh the Ripper (Джон потрошитель :) ) - очень мощный инструмент позволяющий восстановить забытый(!) пароль множества приложений. Суть сводится к тому, что сначала JTR получает хэш-паролей из файлов пароль к которым был утерян и после путем подбора находит соотвествующую хэшу секретную фразу.

Разберем работу JTR на примере восстановления пароля к запароленному архиву zip. Скачиваем и устанавливаем JTR(в системе должна быть установлена библиотека libssl-dev):

$ wget http://www.openwall.com/john/j/john-1.8.0-jumbo-1.tar.xz
$ tar -xvf ./john-1.8.0-jumbo-1.tar.xz
$ cd john-1.8.0-jumbo-1/src
$ ./configure 
$ make clean && make -s

Теперь в каталоге john-1.8.0-jumbo-1/run/ появились скрипты, каждый из которых нацелен на получения хэшей паролей из соответствующих названию приложений:

john-1.8.0-jumbo-1/run$ ls
1password2john.py              genmkvpwd             lion2john-alt.pl          raw2dyna
7z2john.py                     gpg2john              lion2john.pl              regex_alphabets.conf
aix2john.pl                    hccap2john            lm_ascii.chr              relbench
aix2john.py                    hextoraw.pl           lotus2john.py             repeats16.conf
alnum.chr                      htdigest2john.py      lower.chr                 repeats32.conf
alnumspace.chr                 ikescan2john.py       lowernum.chr              rexgen2rules.pl
alpha.chr                      ios7tojohn.pl         lowerspace.chr            sap2john.pl
androidfde2john.py             john                  luks2john                 sha-dump.pl
apex2john.py                   john.bash_completion  mailer                    sha-test.pl
ascii.chr                      john.conf             makechr                   SIPdump
base64conv                     john.local.conf       mcafee_epo2john.py        sipdump2john.py
benchmark-unify                john.log              mkvcalcproba              ssh2john
bitcoin2john.py                john.pot              ml2john.py                ssh2sshng.py
blockchain2john.py             john.rec              mozilla2john.py           sshng2john.py
calc_stat                      john.zsh_completion   netntlm.pl                stats
cisco2john.pl                  kdcdump2john.py       netscreen.py              strip2john.py
cprepair                       keepass2john          odf2john.py               sxc2john.py
cracf2john.py                  keychain2john         office2john.py            tgtsnarf
dictionary.rfc2865             keychain2john.py      openbsd_softraid2john.py  truecrypt_volume2john
digits.chr                     keyring2john          openssl2john.py           uaf2john
dmg2john                       keystore2john         pass_gen.pl               unafs
dmg2john.py                    keystore2john.py      password.lst              undrop
dumb16.conf                    known_hosts2john.py   pcap2john.py              unique
dumb32.conf                    korelogic.conf        pdf2john.py               unshadow
dynamic.conf                   kwallet2john          pfx2john                  upper.chr
dynamic_flat_sse_formats.conf  kwallet2john.py       putty2john                uppernum.chr
ecryptfs2john.py               lanman.chr            pwsafe2john               utf8.chr
efs2john.py                    latin1.chr            racf2john                 vncpcap2john
encfs2john.py                  ldif2john.pl          radius2john.pl            wpapcap2john
genincstats.rb                 leet.pl               rar2john                  zip2john

Создадим в домашнем каталоге zip-архив Arch.zip с паролем 123:

$ zip --encrypt ~/Arch.zip ~/lock.sh
Enter password: 
Verify password: 
  adding: home/yar1k/lock.sh (stored 0%)
$

Теперь попробуем восстановить пароль, сначала находим хэш пароля и сохраняем его отдельно:

$ ./zip2john ~/Arch.zip > ~/Arch.hash
ver a  efh 5455  efh 7875  Arch.zip->home/yar1k/lock.sh PKZIP Encr: 2b chk, TS_chk, cmplen=58, decmplen=46, crc=B9B185AE
$ 

Запускаем подбор пароля указав в качестве файла с хэшем файл полученный на предыдущем этапе:

$ ./john --incremental ~/Arch.hash 
Loaded 1 password hash (PKZIP [32/64])
Will run 4 OpenMP threads
Press 'q' or Ctrl-C to abort, almost any other key for status
123              (Arch.zip)
1g 0:00:00:01 DONE (2017-02-21 15:21) 0.8264g/s 13540p/s 13540c/s 13540C/s 123456..andeo
Use the "--show" option to display all of the cracked passwords reliably
Session completed
$ 

Пароль найден. В зависимости от типа шифрования может различаться скорость подбора паролей, поэтому если у вас в памяти есть хотя бы какие-то намеки на то какой пароль мог стоять на файле, можно составить словарь паролей и используя соответствующий ключ для JTR проверить пароли по словарю:

$ ./john --wordlist ~/wordlist.txt ~/Arch.hash 

Для генерации словарей с паролями можно использовать утилиту crunch.