to Binarymaster Пока доступа к таким нет, но в качестве примера можно воспользоваться вот этим скриншотом. Здесь модель роутера иная чем в advisory, и для нее используется немного другая exploit_url, но подход тот же, Самое интересное что в браузере эти фокусы не проходят и он сокращает подобного рода запросы, тут нужны альтернативные инструменты, вот RouterScan'y думаю такие орешки будут по-зубам
Да, это реализуемо. В процессе тестирования я такие запросы обычно шлю, используя Charles. Вот только в /etc/shadow пароль от рута захеширован, от него мало толку. Если бы это был файл с настройками точки доступа или файл с паролем от админки - другое дело.
Доступ в папку etc говорит о доступе к любому файлу в системе и ничто не мешает слить конфиг роутера. Парорль от админки как раз и зашифрован в файле shadow алгоритмом md5 с солью.
Ключ WPA у TP-LINK находится в /tmp/ath0.ap_bss, а дополнительная инфа в /tmp/topology.cnf Вот еще какая-то уязвимость: https://nmap.org/nsedoc/scripts/http-tplink-dir-traversal.html
Да, к любому файлу, но не к списку файлов в каталоге. Не зашифрован, а захеширован. Feel the difference. Это она же и есть, только в виде NSE скрипта для Nmap. Спасибо за информацию
Нашёл вот такие файлы: /tmp/80211g.ap_radio - настройки беспроводного адаптера /tmp/ath0.ap_bss - настройки точки доступа /tmp/hostapd.eap_user - строки WPS конфигуратора /tmp/topology.conf - настройки интерфейсов И опять же, по файлу /etc/shadow: $1$$zdlNHiCDxYDfeF4MZL.H3/ - это хеш без соли, а пароль - 5up Давно известный пароль на телнет и веб-шелл. Значит, пароль от админки хранится в другом месте. Надо его найти!
У асусов например пароль от админки записан в nvram, и вытаскивается обращением к программе nvram со специальным запросом. Может тут также. Хотя если уязвимость dir traversal то такой трюк наверное не прокатит.
Совершенно верно, пароль может храниться в NVRAM. Уязвимость directory traversal не позволяет выполнять произвольные команды, и даже не даёт получить список файлов в директории. Другое дело, что можно попробовать подсунуть в качестве файла что-то вроде /dev/mtdblockX, но это может уронить роутер Мой подопытный образец сейчас оффлайн, не могу проверить. Я уже, как бы, с этим разобрался. Получить бы полную структуру файловой системы...
Что-ж, я его добавил. Удалось даже MAC-адрес получать. Найденные мной уязвимые модели: TP-LINK TL-MR3220 TP-LINK TL-WA830RE TP-LINK TL-WR740N TP-LINK TL-WR741ND TP-LINK TL-WR743ND TP-LINK TL-WR841N TP-LINK TL-WR941N TP-LINK TL-WR1043ND Важно отметить, что в последних версиях прошивок эта уязвимость закрыта. Тем не менее, уязвимых ещё полно. Пароль в файлах не нашёл... но Router Scan будет пробовать использовать пароль беспроводной сети для админки.
Для релиза нововведений не так много. И в планах есть ещё добавление нескольких моделей, но пока никак за них не возьмусь. После исследования уязвимости искра вдохновения появилась, и очень может быть, что релиз будет уже в этом месяце.
Эта уязвимость была найдена с помощью DotDotPwn, http-фаззера от мексиканских разработчиков chr1x и nitr0us, который позволяет находить подобного рода уязвимости не только в роутерах, но и в любых других http, ftp серверах. Включен в BT4,5 и KaliLinux. Судя по последнему релизу v4 за предыдущий год, проект развивается, особенно интересно было почитать 'to do' list.
Классная программа! Отсканил весь диапазон своего провайдера, пополню словарик для wi-fi , получил много результатов. Но есть одно ограничение, которое никак не могу обойти . Задаю, например диапазон 5.76.0.0/16. Почти все адреса заняты. Но есть такие поддиапазоны, которые сканер не видит. И по словам программистов провайдера, я их и не увижу. Типа на них зайти я не смогу. Хотя эти адреса реально есть. Я это проверил на ip своих друзей. Они также меня не видят. Причем в том же диапазоне куча модемов, даже моих соседей, без проблем показываются и можно даже зайти на модем. Пробовал анонимайзеры - они все заблочены провайдером + уже вне закона с этого года. Прокси та же тема. Какой еще есть способ их отсканить или хотя бы вручную зайти. Ну и еще вопросик. У меня таких модемов сотни, но не поддаются стандартным набором паролей
Это подсети провайдера, и вы правда не сможите в них зайти со своей подсети, у меня точно также, ходите по друзьям с других подстетей и там сканируйте их диапазоны.
Извините, может быть это глупый вопрос. Дело в том что я сканирую по дефолтным портам- 80, 8080 и 1080 и количество найденого как-то не радует. Можно ли как-то оптимизировать процесс? Например просканить сеть на предмет открытых портов, например через Nmap, а потом уже проверить это все в роутер скане?
С прогой знаком слабо, но если память мне не изменяет то есть там поле для ввода с название по типу "Enter ip adress to scan" Вставляй заранее отсканированное туда и вперед.
Действительно, просканировал ваш диапазон ниодного нет, а вы точно знаете, что ваши соседи именно на этом диапазоне сидят? так как у мгтс очень много диапазонов
Это понятно. Я спрашиваю про то, есть ли смысл на других портах сканать или только на стандартных 80 и 8080.
