Rootme’nin Network challenge’ı olan CISCO – password CTF çözümünü yapalım.
Not: Çözümü incelemeden önce rootme de bu ctf için paylaşılmış konuyla ilgili bilgi sahibi olmanıza yarayacak pdfler bulunmakta. Onları okuyup çözümü yapmayı denerseniz iki katı daha fazla şey öğrenirsiniz. Çünkü bu yazı bir ctf çözümünü göstermekte yani konuyu özetler nitelikte. Saldırdığınız teknolojiyi bilmek, o teknolojiye göre hazırlanıp işe koyulmak başarı ihtimalini arttırır.
!
! Last configuration change at 13:41:43 CET Mon Jul 8 2013 by admin
! NVRAM config last updated at 11:15:05 CET Thu Jun 13 2013 by admin
!
version 12.2
no service pad
service password-encryption
!
isdn switch-type basic-5ess
!
hostname rmt-paris
!
security passwords min-length 8
no logging console
enable secret 5 $1$p8Y6$MCdRLBzuGlfOs9S.hXOp0.
!
username hub password 7 025017705B3907344E
username admin privilege 15 password 7 10181A325528130F010D24
username guest password 7 124F163C42340B112F3830
!
!
ip ssh authentication-retries 5
ip ssh version 2
!
interface BRI0/0
ip address 192.168.1.2 255.255.255.0
no ip directed-broadcast
encapsulation ppp
dialer map ip 192.168.1.1 name hub broadcast 5772222
dialer-group 1
isdn switch-type basic-5ess
ppp authentication chap callin
no shutdown
!
!
interface GigabitEthernet1/15
ip address 192.168.2.1 255.255.255.0
no shutdown
!
router bgp 100
no synchronization
bgp log-neighbor-changes
bgp dampening
network 192.168.2.0 mask 255.255.255.0
timers bgp 3 9
redistribute connected
!
ip classless
ip route 0.0.0.0 0.0.0.0 192.168.1.1
!
!
access-list 101 permit ip any any
dialer-list 1 protocol ip list 101
!
no ip http server
no ip http secure-server
!
line con 0
password 7 144101205C3B29242A3B3C3927
session-timeout 600
line vty 0 4
session-timeout 600
authorization exec SSH
transport input ssh
Karşımıza gelen bu ekranda Cisco’ya ait bir cihazın bilgileri yer almaktadır. Bizden istenen Enable parolasını bulmak.
enable secret 5 $1$p8Y6$MCdRLBzuGlfOs9S.hXOp0.
Görüldüğü üzere parola şifrelenmiş. Çözmemiz gereken hash ise bu:
$1$p8Y6$MCdRLBzuGlfOs9S.hXOp0.
Şimdi, şifrelerle haşırneşir olmadan önce Cisco’nun şifreleme tiplerine bir göz gezdirelim.
Cisco – Type 7
Tip 7 şifrelenmiş veriler zayıf bir algoritmaya sahiptir. Kırılmaları oldukça kolaydır.
Tip7 leri kırmak için elimizde birkaç seçenek var. İlki web sayfaları, ikincisi ise kendi yazdığımız veya elimizde olan programlar.
Pratiklik ve hız açısından web sayfaları tercih edilebilir. Bu sayfalara örnek IFM olabilir.

Tip7 olan parolanızın plain-text halini buradan temin edebilirsiniz.
Sayfamızdaki bütün tip7 parolaları elde edelim.
6sK0_hub - username hub password 7 025017705B3907344E
6sK0_guest - username guest password 7 124F163C42340B112F3830
6sK0_console - 144101205C3B29242A3B3C3927
Çıkan plain-text’lere bakarsanız hepsinde bir kural var gibi görünüyor, “6sK0_” ifadesinden sonra gelen kelimeler değişmekte. Bazı arkadaşlar şimdiden çözüme vardılar…
Cisco – Type 5
Şayet tahminleriniz doğru çıkmıyorsa işimiz biraz daha zor demektir.
Elimizdeki tip5’i biraz inceleyelim,
$1$p8Y6$MCdRLBzuGlfOs9S.hXOp0.
|-|----|---------------------|
^ ^ ^
| | |
| | `-> Hash (salt + password)
| |
| `-> base64 salt (4 chars.)
|
`-> Hash type (md5)
Tip5 bir hash olduğu için plain-text’i elde etmek için brute-force yapmamız gerekmekte.
Şifreyi çözmek için yine IMF yi kullanabiliriz (link tip5 için) fakat performans, zaman ve verimlilik bakımından yetersiz kalır. Bu yüzden bu iş için en iyi alternatif olan bir programı kullanacağız.
https://github.com/axcheron/cisco_pwdecrypt
Python ile yazılmış, tip7 ve tip5 için kullanılabilecek bir program. Kurduktan sonra kırmak için işlemlere başlayalım.

python3 cisco_pwdecrypt.py -u "\$1\$p8Y6\$MCdRLBzuGlfOs9S.hXOp0." -d ../../../wls/rockyou.txt
Bu işlem süresi oluşturduğunuz wordliste göre değişecektir. Şahsen elimdeki çoğu wordlistle hash’i kırmayı denedim fakat bulamadım.
CTF Çözümü
Tip7’lerden yola çıkrak şifreyi tahmin etmek. Evet, bu kadar. Minimum 8 karakterli bir şifre.
6sK0_enable
Kullanılan Kaynaklar
Ctf’in çözümünde ve bu yazıyı hazırlamakta kullandığım kaynakları belirtmek isterim.
- https://www.root-me.org
- http://repository.root-me.org/R%C3%A9seau/EN%20-%20Cisco%20passwords.pdf
- http://repository.root-me.org/R%C3%A9seau/EN%20-%20Cisco%20passwords%20encryption%20facts.pdf
- https://www.cisco.com/c/en/us/support/docs/security-vpn/remote-authentication-dial-user-service-radius/107614-64.html
- https://www.ifm.net.nz/cookbooks/passwordcracker.html
- https://community.cisco.com/t5/routing/decrypt-type-5-password/td-p/3084900
- https://www.darknet.org.uk/2009/07/crack-pl-sha1-md5-hash-cracking-tool/
- https://github.com/axcheron/cisco_pwdecrypt