Вопросы по роутеру 2

Предыдущий тред: https://forum.antichat.ru/threads/452281/
Здравствуйте.
Итак, потыкался сегодня Ривером в точку, отправлявшую WSC-NACK после пакета M2. Так и отправляет. Видимо точка заблокировала WPS фактически навсегда (когда-то еще ресет на ней ткнут). Придется идти другим путем.

Есть еще кое-какие вопросы по совершенно другой точке, надеюсь вы мне поможете.
Текущая задача - пробиться в веб-морду роутера TP-LINK WR-841N.
Физического доступа к роутеру нет, но есть возможность подключаться к нему по WAN во внутреннюю сеть (пароль я сбрутил пару недель назад).
Роутер после каждых 10 попыток залезть в веб-морду закрывается на два часа.
Итак, я погуглил существующие уязвимости и реализующий их софт конкретно для этого роутера.
Вышло вот что.
Во-первых, веб-закладки:

Spoiler

192.168.0.1/userRpmNatDebugRpm26525557/linux_cmdline.html
Шелл, позволяющий утащить файлы из роутеров WR-841N и некоторых еще. Доступ к нему без авторизации невозможен. Не подходит, так как у меня нет возможности авторизоваться (routerscan под винду ничего не дал, admin-admin, admin-password, osteam-5up, admin-1234 и прочие тоже ничего, гидрой брутить имхо нет смысла, см.выше ограничение на попытки).

192.168.0.1/rom-0
Это я подсмотрел в хацкерском видео с ютуба, где взламывали такой же роутер. В моем случае попытка сюда зайти перенаправляет на форму авторизации. Опять-таки не то.

192.168.0.1/userRpmNatDebugRpm26525557/start_art.html
При попытке сюда зайти роутер должен в ответ поискать на моем компьютере сервер TFTP, скачать оттуда файл nart.out и запустить с root-правами. Если сервера на моем компьютере нет, точка должна самоурониться. Итак, я попробовал эту вещичку и точка не уронилась. Видимо не работает.

192.168.0.1/ ../ ../etc/shadow и прочие вариации / ../.
"You have no authority to access this router!". При попытке зайти из внутренней сети то же самое.
При попытке выставить во внутренней сети статический адрес 192.168.0.66 (в интернете говорят что это помогает) - то же самое. Не то.

Во-вторых, арсенал Kali:
NMap со скриптом:

Spoiler

1. Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:00 EDT
2. Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
3. Nmap done: 1 IP address (0 hosts up) scanned in 4.46 seconds
4. root@mol:~# nmap 000.000.000.000 -p 8080 --script http-tplink-dir-traversal.nse -Pn
5. 
   
6. Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:00 EDT
7. Nmap scan report for 000.000.000.000
8. Host is up (0.0054s latency).
9. PORT STATE SERVICE
10. 8080/tcp open http-proxy
11. 
    
12. Nmap done: 1 IP address (1 host up) scanned in 0.31 seconds
13. root@mol:~# nmap 000.000.000.000 -p 8080 --script +http-tplink-dir-traversal.nse -Pn
14. 
    
15. Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:00 EDT
16. Nmap scan report for 000.000.000.000
17. Host is up (0.0060s latency).
18. PORT STATE SERVICE
19. 8080/tcp open http-proxy
20. 
    
21. Nmap done: 1 IP address (1 host up) scanned in 0.26 seconds
22. root@mol:~# nmap 000.000.000.000 -p 8080 --script +http-tplink-dir-traversal.nse -d -Pn
23. 
    
24. Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:01 EDT
25. --------------- Timing report ---------------
26. hostgroups: min 1, max 100000
27. rtt-timeouts: init 1000, min 100, max 10000
28. max-scan-delay: TCP 1000, UDP 1000, SCTP 1000
29. parallelism: min 0, max 0
30. max-retries: 10, host-timeout: 0
31. min-rate: 0, max-rate: 0
32. ---------------------------------------------
33. NSE: Using Lua 5.2.
34. NSE: Arguments from CLI:
35. NSE: Loaded 1 scripts for scanning.
36. NSE: Script Pre-scanning.
37. NSE: Starting runlevel 1 (of 1) scan.
38. Initiating NSE at 18:01
39. Completed NSE at 18:01, 0.00s elapsed
40. mass_rdns: Using DNS server 192.168.1.1
41. Initiating Parallel DNS resolution of 1 host. at 18:01
42. mass_rdns: 0.00s 0/1 [#: 1, OK: 0, NX: 0, DR: 0, SF: 0, TR: 1]
43. Completed Parallel DNS resolution of 1 host. at 18:01, 0.00s elapsed
44. DNS resolution of 1 IPs took 0.00s. Mode: Async [#: 1, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
45. Initiating SYN Stealth Scan at 18:01
46. Scanning 000.000.000.000 [1 port]
47. Packet capture filter (device wlan0): dst host 192.168.1.38 and (icmp or icmp6 or ((tcp or udp or sctp) and (src host 000.000.000.000)))
48. Completed SYN Stealth Scan at 18:01, 2.01s elapsed (1 total ports)
49. Overall sending rates: 1.00 packets / s, 43.84 bytes / s.
50. NSE: Script scanning 000.000.000.000.
51. NSE: Starting runlevel 1 (of 1) scan.
52. Initiating NSE at 18:01
53. Completed NSE at 18:01, 0.00s elapsed
54. Nmap scan report for 000.000.000.000
55. Host is up, received user-set.
56. Scanned at 2017-06-13 18:01:01 EDT for 2s
57. PORT STATE SERVICE REASON
58. 8080/tcp filtered http-proxy no-response
59. 
    
60. NSE: Script Post-scanning.
61. NSE: Starting runlevel 1 (of 1) scan.
62. Initiating NSE at 18:01
63. Completed NSE at 18:01, 0.00s elapsed
64. Read from /usr/bin/../share/nmap: nmap-payloads nmap-services.
65. Nmap done: 1 IP address (1 host up) scanned in 2.31 seconds
66. Raw packets sent: 2 (88B) | Rcvd: 0 (0B)

Скрипт вроде бы работает, только я не понимаю как и что мне делать для несколько более конкретных результатов. Странно что он согласился работать только после "плюсика".

Ну и в-третьих потыкался метасплоитом и routersploit'ом, ну возможности обоих в отношении роутеров которые не дилинк довольно скромны. Безрезультатно.

Вопросы таковы:
1. Как заставить работать скрипт http-tplink-dir-traversal.nse?
2. Можно ли чем-то сбрутить веб-морду при существующих ограничениях, в обход их?

Далее, слегка насторожило поведение роутера. Последние дни я в него тыкался своими инструментами, а сегодня он внезапно в течение суток:
- сначала сменил порт веб-морды с 8080 на 80. Было ip:8080, cтало ip:80. Я сначала подумал что роутер лег, но не тут-то было. Просто порт сменил. Кто это сделал - роутер или хозяин? Из-за бага или намеренно?
- перезагрузился. Затем получил от провайдера новый адрес по DHCP (старая российская схема, когда компьютеры соединены в локалку со статическими адресами-шлюзами и поверх этой локалки если нужен интернет устанавливается VPN с логином-паролем и адресом DHCP) и соответственно старый контакт оборвался. Пришлось опять внешний его адрес узнавать.
У меня работал батник на основной системе (винда соответственно), пинговавший старый адрес раз в десять минут. Порт с 8080 на 80 роутер сменил в промежутке между этой ночью и этим полуднем, а перезагрузился (ну мне кажется что он перезагрузился, суть в том что он переподключился по VPN к провайдеру) в промежутке между 23:05 и 23:15. Есть идеи отчего это произошло? Я его не дудосил, и с хозяином точки не пересекался =)
И еще капельку смутило что NMap без -Pn не желал признавать существование точки, хотя виндовой пинг исправно работал и работает. Ну это ладно.

Всем спасибо за помощь.

 

По порядку:
1. Traversal эксплойты везде одинаковы, и в случае TP-Link ими можно лишь получить Wi-Fi параметры - в Router Scan они все уже есть, смысла пробовать Nmap-скрипт нет
2. Порт веб интерфейса мог сменить лишь администратор роутера
3. Поскольку у вас есть возможность находиться внутри сети, устройте ARP Poison атаку на комп админа, и спровоцируйте его зайти на роутер - это единственный способ получить пароль

Примечание: Последняя версия прошивок для TP-Link (как раз та, что блокируется на 2 часа) отправляет форму входа связкой login:base64(md5(password)). После перехвата пароль придётся ещё брутить. Но тем же MITMом это дело можно упростить, переписав скрипт логина (но тут нужен определённый скилл).