Брут роутера с помощью thc-hydra (мануал для новичков)

Продолжаем...
Роутер D-Link DSL-2640U
Прошивка - 1.0.32
Аппаратная версия - ...

Роутер находился по адресу 192.168.1.1
Прыгаем, попадаем на страницу входа.



Ничего необычного.
Входим в режим редактирования (Хром F12 )
Переходим во вкалдку Network и включаем Preserv log
Видим что с адреса 192.168.1.1 попадаем на страницу 192.168.1.1/index.cgi



Вводим неверные данные и смотрим на результат.



cleint_login=admin; client_password=admin;

Во вкладке General определяем тип формы http-get-form
Определяем участок кода при ошибке аутентификации...



errorMsg

Теперь самое интересное найти код отвечающий за передачу логина и пароля....
Попробовал нажать на окна ввода... но ничего интересного не получил.
А нашел вот тут...

Как видим данные передаются не в зашифрованном виде.



Собираем всё в одну кучу, и запускаем...

root@Anonymous: hydra -l admin -P /dic/r-pass.txt -t 1 -e nsr -f -vV -s 80 192.168.1.1 http-get-form "/index.cgi:client_login=^USER^&client_password=^PASS^:errorMsg"

Пьём чай и ждём, если пасс будет в списке то будет WIN.



В принципе изи...
Дефолный пасс я заменил дабы заставить гидру поискать пароль в словаре. Делал три прохода все три прохода закончились успехом.

 

Ну что дамы и господа, сэры и сЭрихи...
Соскучились?
Вот вам очередной поЦыэнт.
Роутер Linksys EA2700
Прошивка - 1.1.40.162751
Аппаратная версия - ...
Данный раутер находится у меня на работе, и сейчас я покажу как получить пару логин:пасс с помощью словаря.

Для приготовления блюда нам нужно.

- Браузер Хром
- Установленный плагин Live-HTTP-Headers (можно в принципе обойтись и без него, но мне он понравился своей простотой)
- Burp-Suite

Забирать тут

Spoiler

https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo
https://bhf.io/threads/346116/

Роутер находится по адрессу 192.168.1.1
Вот такое окошко нас приветствует...



Включаем плагин Live-HTTP-Headers
Переходи обратно к окну авторизации и вбиваем левый пасс и смотрим что скажет нам роутыр....
А роутыр говорит что "всё очень плохо" и не пускает нас дальше.
Переходи обратно к плагину и ищем страницу с авторизацией...



Копируем выделенный текст... и отправляем в онлайн-декодер BASE-64 (кстати декодер есть и в BurpSuite)
Выставляем направление декода BASE64 -> TEXT



и видим что пара передаётся с суфиксом, хотя окно есть только одно - для пароля...
вид шифрации пары логин:пасс имеет вид...

base64(login : pass)

дальше дело техники указать BurpSuite на участок "слабого кода" в странице и ждать.

далее следует (с) ....

 

У меня произошел затык с 841, ребята помогите кто рубит мало-мальски в шифровании....

вот эту строку передаёт роутер когда я забиваю пару логин-пасс admin:nimda
Authorization=Basic%20YWRtaW467hDDFeuix1tAPqmRNvW0jQ%3D%3D

если чуток отрезать Authorization=Basic%20 остаётся такой участок - YWRtaW467hDDFeuix1tAPqmRNvW0jQ%3D%3D

который можно залить на base64.ru и получим ...
admin:뢇[@>鑶崍
Ü0

как видим начало нужное

YWRtaW46

а пасс как то не получилось дешифровать....

7hDDFeuix1tAPqmRNvW0jQ%3D%3D

и всё тут произошел затык.

а вот что получаю когда забиваю на сайт
www.base64.ru
admin:nimda - YWRtaW46bmltZGEKCgo=

вопрос, какой мусор нужно отрезать что получить валидную пару...

 

Я не силен в шифровании....

Но в ответ на мое admin:1111111 TP-Link 841N выдал

Authorization=Basic%20YWRtaW46N2ZhODI4MmFkOTMwNDdhNGQ2ZmU2MTExYzkzYjMwOGE%3D

Ну дальше как-то все просто:

открывающая - Basic%20
закрывающая - %3D
тело - YWRtaW46N2ZhODI4MmFkOTMwNDdhNGQ2ZmU2MTExYzkzYjMwOGE

Base64 -> тело -> admin:7fa8282ad93047a4d6fe6111c93b308a

Ну admin: - это понятно...

7fa8282ad93047a4d6fe6111c93b308a - это MD5

MD5 -> 7fa8282ad93047a4d6fe6111c93b308a -> 1111111

Вроде все...

С нетерпением жду продолжения Ваших статей...

 

Спасибо за отзыв.
т.е. ваша пара выглядит так..
base64(login+md5(pass))
сегодня попробую еще раз слить хэш с роутера.
а вобще я лошарик, там был скрипт шифрации постараюсь его сегодня покурить...
кажись я видел даже методы шифрации...

 

7hDDFeuix1tAPqmRNvW0jQ=nimda или я что то не так понял? получается логин base64 а пароль md5

 

base64(login+md5(pass))
пасс два раза шифруется , первый раз вместе с логином через BASE64
второй раз отдельно через MD5
*********************************
в общем я добрался к истине....
base64(login+md5(pass))

admin:nimda - > YWRtaW467hDDFeuix1tAPqmRNvW0jQ%3D%3D
после прогона через base64 получаем...


admin:뢇[@>鑶崍Ü0

вместо пасса какая ху№та.... пробуем дальше...

7hDDFeuix1tAPqmRNvW0jQ%3D%3D -> HEX = MD5



ee10c315eba2c75b403ea99136f5b48d



md5 - > text = nimda

выражаю благодарность комрадам chugunkin и lifescore за помощь!

 

Думаю не лишним будет описать брут роутеров через telnet и ssh....

Брут SSH протокола.

Для справки.

Spoiler

SSH (англ. Secure Shell — «безопасная оболочка»[1]) — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем.

TELNET (англ. TErminaL NETwork) — сетевой протокол для реализации текстового интерфейса по сети (в современной форме — при помощи транспорта TCP).

В протоколе не предусмотрено использование ни шифрования, ни проверки подлинности данных. Поэтому он уязвим для любого вида атак, к которым уязвим его транспорт, то есть протокол TCP. Для функциональности удалённого доступа к системе в настоящее время применяется сетевой протокол SSH (особенно его версия 2), при создании которого упор делался именно на вопросы безопасности. Так что следует иметь в виду, что сессия Telnet весьма беззащитна, если только не осуществляется в полностью контролируемой сети или с применением защиты на сетевом уровне (различные реализации виртуальных частных сетей). По причине ненадёжности от Telnet как средства управления операционными системами давно отказались.

Для тех случаев когда доступ по веб-морде ограничен или не может быть сбручен гидрой.
Для приготовления SSH нам понадобятся
- Nmap - 1 шт.
- Hydra - 1 шт.
- Router_Wordlist.txt 1 шт.
- Прямые руки - 2 шт.

Для начала курим эту тему по Nmap'у.

Spoiler

http://forum.antichat.ru/threads/432682/

Как пользоваться Гидрой в этой теме я думаю понятно.
Вордлист тут тоже можно взять или использовать свой.

Nmap нам нужен что бы посмотреть открыт 22 порт или нет.
Начнём....

Подключаемся к сети с нужным нам роутером.
И начинаем прощупывать через Nmap (смотрим через какой шлюз нас подключило это и есть роутыр)

Code:

nmap 192.168.1.1 -p 22

Далее Nmap нам выдаст всё что он думает о этом роутере.... и о порте 22*

Примечание* Дело в том что многие роутеры на стандартной прошивке не обладают SSH и telnet'ом.... если порты всё таки открыты значит стоит альтернативная прошивка.

Далее nmap скажет порт открыт или закрыт.

Если порт окажется октрыт, можно провести брутфорс-аттаку.

Запускаем гидру и передаём в неё параметры.

Code:

 hydra -t 32 -l root -P /home/DIC/wordlist.txt -e nsr -f -v 192.168.1.1 ssh -p 22 

-t 32 - кол-во потоков (пробуйте увеличивать уменьшать для нахождения оптимальной скорости подбора)
-l root - статический логин
-P - вордлист с пассами.
-e nsr - "n" — пробовать с пустым паролем, "s" — логин в качестве пароля и/или "r" — реверс учётных данных, в данном случае проверка будет такая "", "toor", "root". далее брут пойдет по словарю.
-f остановить атаку после нахождения ключа.
-v - режим verbous
ssh - указываем какой протокол ломать
-p 22 - 22 порт

 

Согласен. Если сможешь - напиши.
А что там с Tp-Link'om версии 9? Судя по молчанию, брут не пошел?

 

А к такому зверю можно войти?
MikroTik
RouterOS v6.32.4

 

Все можно, нужно только желание разобраться.

 

Ясно. Желание есть, но не хватает знаний, если есть возможность помогите разобраться.

 

Я не понял как из hex получили пароль?
Basic%20 отрезаю YWRtaW46ODI3Y2NiMGVlYThhNzA2YzRjMzRhMTY4OTFmODRlN2I отрезаю %3D

YWRtaW46ODI3Y2NiMGVlYThhNzA2YzRjMzRhMTY4OTFmODRlN2I

Вы забыли указать где можно расшифровать md5
http://www.cmd5.ru/
Спасибо за статейку, надеюсь еще будут.

 

Такой вопрос.
Это нормально , если http-get роутеры не показывают данные при F12 ?
Обойти можно ?

 

Давайте сбрутим морду TP-Link TL-WR841N


Можно узнать как BurpSuite с этой задачей справится ?

 

А вот давайте!

 

Ждемс )

 

Начнём пожалуй с RouterOS или Mikrotik...
Зашел на ИП через вебку по 80 порту...


Меня сразу заинтриговали эти две иконки внизу, но об этом позже...
Вернемся к Гидре...
Есть два окошка по-умолчанию в окне даже админ уже вписан...

И видим там целых ни...я! Ясно только что данные идут через HTTP-POST


Если расковырять титульную страницу можно найти блоки отвечающие за логин, пасс и блок отвечающий за ошибку при неправильном вводе... (отмечены на пикче.)
Вот в принципе и вся история... проверить на лом смогу только через месяцок есть у меня CRS от Микторика третьего уровня... с такой же ОСью попробую там гидру с этой же строчкой...

Ах да чуть не забыл ... строка для гидры будет выглядеть так...
Anonymous@root: hydra -l admin -P \wordlist.dic -t 1 -e nsr -f -vV -s 80 93.171.144.223 http-post-form "/index.cgi:name=^USER^&password=^PASS^:error"

Вернёмся к иконочкам...
WINBOX - это утилита настройки по локальной сети (не уверен насчёт доступа по WAN).
TELNET - доступ по телнету, порт кажись 21.

На Винбоксе пока не буду останавливатся, лучше перейду к Телнету...
Для того что бы понять открыт порт или нет, нужно пройтись по нему NMAPом...
Не заморачиваемся и используем флаг -F
Anonymous@root: nmap -F 93.171.144.223
И за 6 неполных секунд получаем результат...

Всё хокей! Телнет открыт и даже SSH открыт... и еще пару портов...
На остальных не буду останавливатся.
Вот строчка для брута по телнету...
Anonymous@root: hydra -l admin -P \wordlist.dic -t 16 -e nsr -f -vV -s 21 93.171.144.223 telnet

 

А как насчет CISCO?