Продолжаем... Роутер D-Link DSL-2640U Прошивка - 1.0.32 Аппаратная версия - ... Роутер находился по адресу 192.168.1.1 Прыгаем, попадаем на страницу входа. Ничего необычного. Входим в режим редактирования (Хром F12 ) Переходим во вкалдку Network и включаем Preserv log Видим что с адреса 192.168.1.1 попадаем на страницу 192.168.1.1/index.cgi Вводим неверные данные и смотрим на результат. cleint_login=admin; client_password=admin; Во вкладке General определяем тип формы http-get-form Определяем участок кода при ошибке аутентификации... errorMsg Теперь самое интересное найти код отвечающий за передачу логина и пароля.... Попробовал нажать на окна ввода... но ничего интересного не получил. А нашел вот тут... Как видим данные передаются не в зашифрованном виде. Собираем всё в одну кучу, и запускаем... root@Anonymous: hydra -l admin -P /dic/r-pass.txt -t 1 -e nsr -f -vV -s 80 192.168.1.1 http-get-form "/index.cgi:client_login=^USER^&client_password=^PASS^:errorMsg" Пьём чай и ждём, если пасс будет в списке то будет WIN. В принципе изи... Дефолный пасс я заменил дабы заставить гидру поискать пароль в словаре. Делал три прохода все три прохода закончились успехом.
Ну что дамы и господа, сэры и сЭрихи... Соскучились? Вот вам очередной поЦыэнт. Роутер Linksys EA2700 Прошивка - 1.1.40.162751 Аппаратная версия - ... Данный раутер находится у меня на работе, и сейчас я покажу как получить пару логин:пасс с помощью словаря. Для приготовления блюда нам нужно. - Браузер Хром - Установленный плагин Live-HTTP-Headers (можно в принципе обойтись и без него, но мне он понравился своей простотой) - Burp-Suite Забирать тут Spoiler https://chrome.google.com/webstore/detail/live-http-headers/iaiioopjkcekapmldfgbebdclcnpgnlo https://bhf.io/threads/346116/ Роутер находится по адрессу 192.168.1.1 Вот такое окошко нас приветствует... Включаем плагин Live-HTTP-Headers Переходи обратно к окну авторизации и вбиваем левый пасс и смотрим что скажет нам роутыр.... А роутыр говорит что "всё очень плохо" и не пускает нас дальше. Переходи обратно к плагину и ищем страницу с авторизацией... Копируем выделенный текст... и отправляем в онлайн-декодер BASE-64 (кстати декодер есть и в BurpSuite) Выставляем направление декода BASE64 -> TEXT и видим что пара передаётся с суфиксом, хотя окно есть только одно - для пароля... вид шифрации пары логин:пасс имеет вид... base64(login : pass) дальше дело техники указать BurpSuite на участок "слабого кода" в странице и ждать. далее следует (с) ....
У меня произошел затык с 841, ребята помогите кто рубит мало-мальски в шифровании.... вот эту строку передаёт роутер когда я забиваю пару логин-пасс admin:nimda Authorization=Basic%20YWRtaW467hDDFeuix1tAPqmRNvW0jQ%3D%3D если чуток отрезать Authorization=Basic%20 остаётся такой участок - YWRtaW467hDDFeuix1tAPqmRNvW0jQ%3D%3D который можно залить на base64.ru и получим ... admin:뢇[@>鑶崍 Ü0 как видим начало нужное YWRtaW46 а пасс как то не получилось дешифровать.... 7hDDFeuix1tAPqmRNvW0jQ%3D%3D и всё тут произошел затык. а вот что получаю когда забиваю на сайт www.base64.ru admin:nimda - YWRtaW46bmltZGEKCgo= вопрос, какой мусор нужно отрезать что получить валидную пару...
Я не силен в шифровании.... Но в ответ на мое admin:1111111 TP-Link 841N выдал Authorization=Basic%20YWRtaW46N2ZhODI4MmFkOTMwNDdhNGQ2ZmU2MTExYzkzYjMwOGE%3D Ну дальше как-то все просто: открывающая - Basic%20 закрывающая - %3D тело - YWRtaW46N2ZhODI4MmFkOTMwNDdhNGQ2ZmU2MTExYzkzYjMwOGE Base64 -> тело -> admin:7fa8282ad93047a4d6fe6111c93b308a Ну admin: - это понятно... 7fa8282ad93047a4d6fe6111c93b308a - это MD5 MD5 -> 7fa8282ad93047a4d6fe6111c93b308a -> 1111111 Вроде все... С нетерпением жду продолжения Ваших статей...
Спасибо за отзыв. т.е. ваша пара выглядит так.. base64(login+md5(pass)) сегодня попробую еще раз слить хэш с роутера. а вобще я лошарик, там был скрипт шифрации постараюсь его сегодня покурить... кажись я видел даже методы шифрации...
base64(login+md5(pass)) пасс два раза шифруется , первый раз вместе с логином через BASE64 второй раз отдельно через MD5 ********************************* в общем я добрался к истине.... base64(login+md5(pass)) admin:nimda - > YWRtaW467hDDFeuix1tAPqmRNvW0jQ%3D%3D после прогона через base64 получаем... admin:뢇[@>鑶崍Ü0 вместо пасса какая ху№та.... пробуем дальше... 7hDDFeuix1tAPqmRNvW0jQ%3D%3D -> HEX = MD5 ee10c315eba2c75b403ea99136f5b48d md5 - > text = nimda выражаю благодарность комрадам chugunkin и lifescore за помощь!
Думаю не лишним будет описать брут роутеров через telnet и ssh.... Брут SSH протокола. Для справки. Spoiler SSH (англ. Secure Shell — «безопасная оболочка»[1]) — сетевой протокол прикладного уровня, позволяющий производить удалённое управление операционной системой и туннелирование TCP-соединений (например, для передачи файлов). Схож по функциональности с протоколами Telnet и rlogin, но, в отличие от них, шифрует весь трафик, включая и передаваемые пароли. SSH допускает выбор различных алгоритмов шифрования. SSH-клиенты и SSH-серверы доступны для большинства сетевых операционных систем. TELNET (англ. TErminaL NETwork) — сетевой протокол для реализации текстового интерфейса по сети (в современной форме — при помощи транспорта TCP). В протоколе не предусмотрено использование ни шифрования, ни проверки подлинности данных. Поэтому он уязвим для любого вида атак, к которым уязвим его транспорт, то есть протокол TCP. Для функциональности удалённого доступа к системе в настоящее время применяется сетевой протокол SSH (особенно его версия 2), при создании которого упор делался именно на вопросы безопасности. Так что следует иметь в виду, что сессия Telnet весьма беззащитна, если только не осуществляется в полностью контролируемой сети или с применением защиты на сетевом уровне (различные реализации виртуальных частных сетей). По причине ненадёжности от Telnet как средства управления операционными системами давно отказались. Для тех случаев когда доступ по веб-морде ограничен или не может быть сбручен гидрой. Для приготовления SSH нам понадобятся - Nmap - 1 шт. - Hydra - 1 шт. - Router_Wordlist.txt 1 шт. - Прямые руки - 2 шт. Для начала курим эту тему по Nmap'у. Spoiler http://forum.antichat.ru/threads/432682/ Как пользоваться Гидрой в этой теме я думаю понятно. Вордлист тут тоже можно взять или использовать свой. Nmap нам нужен что бы посмотреть открыт 22 порт или нет. Начнём.... Подключаемся к сети с нужным нам роутером. И начинаем прощупывать через Nmap (смотрим через какой шлюз нас подключило это и есть роутыр) Code: nmap 192.168.1.1 -p 22 Далее Nmap нам выдаст всё что он думает о этом роутере.... и о порте 22* Примечание* Дело в том что многие роутеры на стандартной прошивке не обладают SSH и telnet'ом.... если порты всё таки открыты значит стоит альтернативная прошивка. Далее nmap скажет порт открыт или закрыт. Если порт окажется октрыт, можно провести брутфорс-аттаку. Запускаем гидру и передаём в неё параметры. Code: hydra -t 32 -l root -P /home/DIC/wordlist.txt -e nsr -f -v 192.168.1.1 ssh -p 22 -t 32 - кол-во потоков (пробуйте увеличивать уменьшать для нахождения оптимальной скорости подбора) -l root - статический логин -P - вордлист с пассами. -e nsr - "n" — пробовать с пустым паролем, "s" — логин в качестве пароля и/или "r" — реверс учётных данных, в данном случае проверка будет такая "", "toor", "root". далее брут пойдет по словарю. -f остановить атаку после нахождения ключа. -v - режим verbous ssh - указываем какой протокол ломать -p 22 - 22 порт
Я не понял как из hex получили пароль? Basic%20 отрезаю YWRtaW46ODI3Y2NiMGVlYThhNzA2YzRjMzRhMTY4OTFmODRlN2I отрезаю %3D YWRtaW46ODI3Y2NiMGVlYThhNzA2YzRjMzRhMTY4OTFmODRlN2I Вы забыли указать где можно расшифровать md5 http://www.cmd5.ru/ Спасибо за статейку, надеюсь еще будут.
Начнём пожалуй с RouterOS или Mikrotik... Зашел на ИП через вебку по 80 порту... Меня сразу заинтриговали эти две иконки внизу, но об этом позже... Вернемся к Гидре... Есть два окошка по-умолчанию в окне даже админ уже вписан... И видим там целых ни...я! Ясно только что данные идут через HTTP-POST Если расковырять титульную страницу можно найти блоки отвечающие за логин, пасс и блок отвечающий за ошибку при неправильном вводе... (отмечены на пикче.) Вот в принципе и вся история... проверить на лом смогу только через месяцок есть у меня CRS от Микторика третьего уровня... с такой же ОСью попробую там гидру с этой же строчкой... Ах да чуть не забыл ... строка для гидры будет выглядеть так... Anonymous@root: hydra -l admin -P \wordlist.dic -t 1 -e nsr -f -vV -s 80 93.171.144.223 http-post-form "/index.cgi:name=^USER^&password=^PASS^:error" Вернёмся к иконочкам... WINBOX - это утилита настройки по локальной сети (не уверен насчёт доступа по WAN). TELNET - доступ по телнету, порт кажись 21. На Винбоксе пока не буду останавливатся, лучше перейду к Телнету... Для того что бы понять открыт порт или нет, нужно пройтись по нему NMAPом... Не заморачиваемся и используем флаг -F Anonymous@root: nmap -F 93.171.144.223 И за 6 неполных секунд получаем результат... Всё хокей! Телнет открыт и даже SSH открыт... и еще пару портов... На остальных не буду останавливатся. Вот строчка для брута по телнету... Anonymous@root: hydra -l admin -P \wordlist.dic -t 16 -e nsr -f -vV -s 21 93.171.144.223 telnet