Брут роутера с помощью thc-hydra (мануал для новичков)

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Kevin Shindel, 27 Jan 2016.

  1. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    Продолжаем...
    Роутер D-Link DSL-2640U
    Прошивка - 1.0.32
    Аппаратная версия - ...

    Роутер находился по адресу 192.168.1.1
    Прыгаем, попадаем на страницу входа.

    [​IMG]

    Ничего необычного.
    Входим в режим редактирования (Хром F12 )
    Переходим во вкалдку Network и включаем Preserv log
    Видим что с адреса 192.168.1.1 попадаем на страницу 192.168.1.1/index.cgi

    [​IMG]

    Вводим неверные данные и смотрим на результат.

    [​IMG]

    cleint_login=admin; client_password=admin;


    Во вкладке General определяем тип формы http-get-form
    Определяем участок кода при ошибке аутентификации...

    [​IMG]

    errorMsg


    Теперь самое интересное найти код отвечающий за передачу логина и пароля....
    Попробовал нажать на окна ввода... но ничего интересного не получил.
    А нашел вот тут...

    Как видим данные передаются не в зашифрованном виде.

    [​IMG]

    Собираем всё в одну кучу, и запускаем...

    root@Anonymous:
    hydra -l admin -P /dic/r-pass.txt -t 1 -e nsr -f -vV -s 80 192.168.1.1 http-get-form "/index.cgi:client_login=^USER^&client_password=^PASS^:errorMsg"


    Пьём чай и ждём, если пасс будет в списке то будет WIN.

    [​IMG]

    В принципе изи...
    Дефолный пасс я заменил дабы заставить гидру поискать пароль в словаре. Делал три прохода все три прохода закончились успехом.
     
    #21 Kevin Shindel, 31 Jan 2016
    Last edited: 20 Jun 2017
    Shnaidt, morerob, CRACK211 and 3 others like this.
  2. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    Ну что дамы и господа, сэры и сЭрихи...
    Соскучились?
    Вот вам очередной поЦыэнт.
    Роутер Linksys EA2700
    Прошивка - 1.1.40.162751
    Аппаратная версия - ...
    Данный раутер находится у меня на работе, и сейчас я покажу как получить пару логин:пасс с помощью словаря.

    Для приготовления блюда нам нужно.

    - Браузер Хром
    - Установленный плагин Live-HTTP-Headers (можно в принципе обойтись и без него, но мне он понравился своей простотой)
    - Burp-Suite

    Забирать тут

    Роутер находится по адрессу 192.168.1.1
    Вот такое окошко нас приветствует...

    [​IMG]

    Включаем плагин Live-HTTP-Headers
    Переходи обратно к окну авторизации и вбиваем левый пасс и смотрим что скажет нам роутыр....
    А роутыр говорит что "всё очень плохо" и не пускает нас дальше.
    Переходи обратно к плагину и ищем страницу с авторизацией...

    [​IMG] [​IMG]

    Копируем выделенный текст... и отправляем в онлайн-декодер BASE-64 (кстати декодер есть и в BurpSuite)
    Выставляем направление декода BASE64 -> TEXT

    [​IMG] [​IMG]

    и видим что пара передаётся с суфиксом, хотя окно есть только одно - для пароля...
    вид шифрации пары логин:пасс имеет вид...

    base64(login : pass)

    дальше дело техники указать BurpSuite на участок "слабого кода" в странице и ждать.

    далее следует (с) ....
     
    #22 Kevin Shindel, 18 Feb 2016
    Last edited: 20 Jun 2017
    morerob, Payer and chugunkin like this.
  3. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    У меня произошел затык с 841, ребята помогите кто рубит мало-мальски в шифровании....

    вот эту строку передаёт роутер когда я забиваю пару логин-пасс admin:nimda
    Authorization=Basic%20YWRtaW467hDDFeuix1tAPqmRNvW0jQ%3D%3D


    если чуток отрезать Authorization=Basic%20 остаётся такой участок - YWRtaW467hDDFeuix1tAPqmRNvW0jQ%3D%3D

    который можно залить на base64.ru и получим ...
    admin:뢇[@>鑶崍
    Ü0


    как видим начало нужное

    YWRtaW46

    а пасс как то не получилось дешифровать....

    7hDDFeuix1tAPqmRNvW0jQ%3D%3D

    и всё тут произошел затык.

    а вот что получаю когда забиваю на сайт
    www.base64.ru
    admin:nimda - YWRtaW46bmltZGEKCgo=

    вопрос, какой мусор нужно отрезать что получить валидную пару...
     
    #23 Kevin Shindel, 21 Feb 2016
    Last edited: 21 Feb 2016
  4. chugunkin

    chugunkin Banned

    Joined:
    22 Dec 2015
    Messages:
    25
    Likes Received:
    13
    Reputations:
    0
    Я не силен в шифровании....

    Но в ответ на мое admin:1111111 TP-Link 841N выдал

    Authorization=Basic%20YWRtaW46N2ZhODI4MmFkOTMwNDdhNGQ2ZmU2MTExYzkzYjMwOGE%3D


    Ну дальше как-то все просто:

    открывающая - Basic%20
    закрывающая - %3D

    тело - YWRtaW46N2ZhODI4MmFkOTMwNDdhNGQ2ZmU2MTExYzkzYjMwOGE

    Base64 -> тело -> admin:7fa8282ad93047a4d6fe6111c93b308a

    Ну admin: - это понятно...

    7fa8282ad93047a4d6fe6111c93b308a
    - это MD5

    MD5 -> 7fa8282ad93047a4d6fe6111c93b308a -> 1111111


    Вроде все...

    С нетерпением жду продолжения Ваших статей...
     
    sol_omol, TOX1C and Kevin Shindel like this.
  5. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    Спасибо за отзыв.
    т.е. ваша пара выглядит так..
    base64(login+md5(pass))
    сегодня попробую еще раз слить хэш с роутера.
    а вобще я лошарик, там был скрипт шифрации постараюсь его сегодня покурить...
    кажись я видел даже методы шифрации...
     
  6. CRACK211

    CRACK211 Elder - Старейшина

    Joined:
    16 Sep 2009
    Messages:
    1,047
    Likes Received:
    1,127
    Reputations:
    11
    7hDDFeuix1tAPqmRNvW0jQ=nimda или я что то не так понял? получается логин base64 а пароль md5
     
  7. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    base64(login+md5(pass))
    пасс два раза шифруется , первый раз вместе с логином через BASE64
    второй раз отдельно через MD5
    *********************************
    в общем я добрался к истине....
    base64(login+md5(pass))

    admin:nimda - > YWRtaW467hDDFeuix1tAPqmRNvW0jQ%3D%3D
    после прогона через base64 получаем...
    [​IMG][​IMG]

    admin:뢇[@>鑶崍Ü0

    вместо пасса какая ху№та.... пробуем дальше...

    7hDDFeuix1tAPqmRNvW0jQ%3D%3D -> HEX = MD5

    [​IMG][​IMG]

    ee10c315eba2c75b403ea99136f5b48d

    [​IMG][​IMG]

    md5 - > text = nimda

    выражаю благодарность комрадам chugunkin и lifescore за помощь!
     
    #27 Kevin Shindel, 22 Feb 2016
    Last edited: 22 Feb 2016
    vladjslav and chugunkin like this.
  8. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    Думаю не лишним будет описать брут роутеров через telnet и ssh....

    Брут SSH протокола.

    Для справки.
    SSH (англ. Secure Shell — «безопасная оболочка»[1]) — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.

    TELNET (англ. TErminaL NETwork) — сетевой протокол для реализации текстового интерфейса по сети (в современной форме — при помощи транспорта TCP).

    В протоколе не предусмотрено использование ни шифрования, ни проверки подлинности данных. Поэтому он уязвим для любого вида атак, к которым уязвим его транспорт, то есть протокол TCP. Для функциональности удалённого доступа к системе в настоящее время применяется сетевой протокол SSH (особенно его версия 2), при создании которого упор делался именно на вопросы безопасности. Так что следует иметь в виду, что сессия Telnet весьма беззащитна, если только не осуществляется в полностью контролируемой сети или с применением защиты на сетевом уровне (различные реализации виртуальных частных сетей). По причине ненадёжности от Telnet как средства управления операционными системами давно отказались.
    Для тех случаев когда доступ по веб-морде ограничен или не может быть сбручен гидрой.
    Для приготовления SSH нам понадобятся
    - Nmap - 1 шт.
    - Hydra - 1 шт.
    - Router_Wordlist.txt 1 шт.
    - Прямые руки - 2 шт.

    Для начала курим эту тему по Nmap'у.
    Как пользоваться Гидрой в этой теме я думаю понятно.
    Вордлист тут тоже можно взять или использовать свой.

    Nmap нам нужен что бы посмотреть открыт 22 порт или нет.
    Начнём....

    Подключаемся к сети с нужным нам роутером.
    И начинаем прощупывать через Nmap (смотрим через какой шлюз нас подключило это и есть роутыр)
    Code:
    nmap 192.168.1.1 -p 22
    Далее Nmap нам выдаст всё что он думает о этом роутере.... и о порте 22*

    Примечание* Дело в том что многие роутеры на стандартной прошивке не обладают SSH и telnet'ом.... если порты всё таки открыты значит стоит альтернативная прошивка.

    Далее nmap скажет порт открыт или закрыт.

    Если порт окажется октрыт, можно провести брутфорс-аттаку.

    Запускаем гидру и передаём в неё параметры.

    Code:
     hydra -t 32 -l root -P /home/DIC/wordlist.txt -e nsr -f -v 192.168.1.1 ssh -p 22 
    -t 32 - кол-во потоков (пробуйте увеличивать уменьшать для нахождения оптимальной скорости подбора)
    -l root - статический логин
    -P - вордлист с пассами.
    -e nsr - "n" — пробовать с пустым паролем, "s" — логин в качестве пароля и/или "r" — реверс учётных данных, в данном случае проверка будет такая "", "toor", "root". далее брут пойдет по словарю.
    -f остановить атаку после нахождения ключа.
    -v - режим verbous
    ssh - указываем какой протокол ломать
    -p 22 - 22 порт
     
    #28 Kevin Shindel, 4 Mar 2016
    Last edited: 5 Mar 2016
    chugunkin likes this.
  9. chugunkin

    chugunkin Banned

    Joined:
    22 Dec 2015
    Messages:
    25
    Likes Received:
    13
    Reputations:
    0
    Согласен. Если сможешь - напиши.
    А что там с Tp-Link'om версии 9? Судя по молчанию, брут не пошел?
     
  10. morerob

    morerob Member

    Joined:
    14 Aug 2016
    Messages:
    91
    Likes Received:
    6
    Reputations:
    0
     
  11. morerob

    morerob Member

    Joined:
    14 Aug 2016
    Messages:
    91
    Likes Received:
    6
    Reputations:
    0
    А к такому зверю можно войти?
    MikroTik
    RouterOS v6.32.4
     
  12. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    Все можно, нужно только желание разобраться.
     
    Triton_Mgn and Alexmeh like this.
  13. morerob

    morerob Member

    Joined:
    14 Aug 2016
    Messages:
    91
    Likes Received:
    6
    Reputations:
    0
    Ясно. Желание есть, но не хватает знаний, если есть возможность помогите разобраться.
     
  14. Vjubkmobr

    Vjubkmobr New Member

    Joined:
    31 Aug 2012
    Messages:
    32
    Likes Received:
    0
    Reputations:
    0
    Я не понял как из hex получили пароль?
    Basic%20 отрезаю YWRtaW46ODI3Y2NiMGVlYThhNzA2YzRjMzRhMTY4OTFmODRlN2I отрезаю %3D

    YWRtaW46ODI3Y2NiMGVlYThhNzA2YzRjMzRhMTY4OTFmODRlN2I

    Вы забыли указать где можно расшифровать md5
    http://www.cmd5.ru/
    Спасибо за статейку, надеюсь еще будут.
     
  15. Vjubkmobr

    Vjubkmobr New Member

    Joined:
    31 Aug 2012
    Messages:
    32
    Likes Received:
    0
    Reputations:
    0
    Такой вопрос.
    Это нормально , если http-get роутеры не показывают данные при F12 ?
    Обойти можно ?
     
  16. Vjubkmobr

    Vjubkmobr New Member

    Joined:
    31 Aug 2012
    Messages:
    32
    Likes Received:
    0
    Reputations:
    0
    Давайте сбрутим морду TP-Link TL-WR841N


    Можно узнать как BurpSuite с этой задачей справится ?
     
  17. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    А вот давайте!
     
  18. Vjubkmobr

    Vjubkmobr New Member

    Joined:
    31 Aug 2012
    Messages:
    32
    Likes Received:
    0
    Reputations:
    0
    Ждемс )
     
  19. Kevin Shindel

    Kevin Shindel Elder - Старейшина

    Joined:
    24 May 2015
    Messages:
    1,011
    Likes Received:
    1,192
    Reputations:
    62
    Начнём пожалуй с RouterOS или Mikrotik...
    Зашел на ИП через вебку по 80 порту...
    [​IMG]

    Меня сразу заинтриговали эти две иконки внизу, но об этом позже...
    Вернемся к Гидре...
    Есть два окошка по-умолчанию в окне даже админ уже вписан...
    [​IMG]
    И видим там целых ни...я! Ясно только что данные идут через HTTP-POST

    [​IMG]
    Если расковырять титульную страницу можно найти блоки отвечающие за логин, пасс и блок отвечающий за ошибку при неправильном вводе... (отмечены на пикче.)
    Вот в принципе и вся история... проверить на лом смогу только через месяцок есть у меня CRS от Микторика третьего уровня... с такой же ОСью попробую там гидру с этой же строчкой...

    Ах да чуть не забыл ... строка для гидры будет выглядеть так...
    Anonymous@root: hydra -l admin -P \wordlist.dic -t 1 -e nsr -f -vV -s 80 93.171.144.223 http-post-form "/index.cgi:name=^USER^&password=^PASS^:error"

    Вернёмся к иконочкам...
    WINBOX - это утилита настройки по локальной сети (не уверен насчёт доступа по WAN).
    TELNET - доступ по телнету, порт кажись 21.

    На Винбоксе пока не буду останавливатся, лучше перейду к Телнету...
    Для того что бы понять открыт порт или нет, нужно пройтись по нему NMAPом...
    Не заморачиваемся и используем флаг -F
    Anonymous@root: nmap -F 93.171.144.223
    И за 6 неполных секунд получаем результат...
    [​IMG]
    Всё хокей! Телнет открыт и даже SSH открыт... и еще пару портов...
    На остальных не буду останавливатся.
    Вот строчка для брута по телнету...
    Anonymous@root: hydra -l admin -P \wordlist.dic -t 16 -e nsr -f -vV -s 21 93.171.144.223 telnet
     
    #39 Kevin Shindel, 4 Dec 2016
    Last edited: 4 Dec 2016
    Vjubkmobr and khamyk like this.
  20. khamyk

    khamyk Well-Known Member

    Joined:
    30 Dec 2013
    Messages:
    552
    Likes Received:
    337
    Reputations:
    0
    А как насчет CISCO?;)
     
    Vjubkmobr likes this.
Loading...