DOMRU(по моим наблюдениям) все современные прошивки "коробочных" роутеров угнал на TR069. Ищите на соответствующих портах: 1050,6363,7547,58000, итд. Вот только это бесполезно, если вы не сможете подделать путь запроса(сессию) со стороны WAN, и убедить устройство что вы провайдерское оборудование и находитесь по нужному адресу.
Прогнал RS по указанным портам, действительно много кто откликается, но % успеха очень мал Вот бы найти эксплоиты, да в программу их...
Как только кто-нибудь найдёт вход в их админку, и скинет IP для добавления (заранее проверив, что с этого IP доступна админка со всеми настройками). TR-069 - это жесть. Тут без инсайдеров не обойдёшься.
Я могу снова в domru-шных поковырятся прошивках, пары для TR069 абонентских устройств не великий секрет, но ещё раз повторю, толку от этого 0. Если вы не сможете откликнутся/находится по адресу провайдерского оборудования, а это можно сделать только уломав хопы/свичи от конечного устройства абонента(со стороны WAN), до управляющего оборудования провайдера. Я могу представить что это можно сделать отравив DNS, но на такой разбой у нас не принято ходить(я надеюсь).
Среди результатов нашел роутер, который одновременно откликнулся на обычный порт и на 7547. Зашел на него, в настройках TR-069 указан url ACS сервера, логин, пароль за звездочками на сервер, так же логин и пароль на Connection Request (интересно, это входящее соединение на роутер?) и еще какие-то настройки. Допустим, выгрузив конфиг с роутера, можно расшифровать оба пароля. Если даже получится расшифровать второй пароль, который на Connection Request, то очевидно что на 7547 не будет веб-интерфейса и туда нужно пихать некий эксплоит. В общем, тут моих скромных познаний явно не хватает. Не поделитесь ресурсами для изучения?
Действительно на порту 1050 ОЧЕНЬ много роутеров висит. Определяются как dirname. В посте https://forum.antichat.ru/threads/398971/page-33#post-3861078 указаны пароли. При попытке зайти по ip отрывается страница авторизации. вводишь логин пароль вылазит пустая страница то-есть авторизация проходит. Осталось только действительно убедить роутеры что ты пров. Наверное это в принципе возможно. Кто-то этим ведь пользуется. "Если хакер скомпрометирует ACS-сервер, он сможет получить информацию с подконтрольных серверу маршрутизаторов, в том числе имена и пароли беспроводных сетей, MAC-адреса аппаратного обеспечения, данные учетных записей VoIP, логины и пароли администраторских учетных записей... Подробнее: https://www.securitylab.ru/news/456326.php" https://xakep.ru/2016/11/25/eir-d1000-flaw/ есть описание эксплоита протокола TR-069 для ZyXEL Eir D1000 сам эксплоит https://github.com/XiphosResearch/exploits/blob/master/tr-06fail/tr-06fail-ssh-d1000.py возможно его можно адаптировать для других устройств. Если у кого есть возможность побробывать. http://www.f1cd.ru/press_release/488 ACS сервер от D-Link http://ciscoacs.blogspot.ru/2014/08/acs-5.html ACS сервер от Cisco Они под Linux устанавливаются и моих знаний не хватит.
"Под звездочками" Щелкнуть на этом поле правой кнопкой и выбрать исследовать элемент. Потом вместо типа password написать text и если поле не пустое видно будет пароль. Ради такого случая могу переключиться на dom/ всеравно хотел проверить что у них там изменилось. Вот только не гарантии что дадут такое оборудование.... Думаю что с 069 все актуальнее становится...... Печалька короче..........
Особо пока не смотрел. Видел только, что вы напрямую обращаетесь к GUI из потоков, чего делать не стоит. P.S. И, пожалуйста, не заливайте на этот файлообменник.
При попытке вызвать WPS Companion вывыливается ошибка "This table is readonly". Не пойму, а зачем ей в таблице что-то менять. И как тогда воспользоваться кнопкой Scan selected tables?
Эм, и как это может повлиять? Бывают глюки, когда одновременно потоки обращаются, заносится в criticalsection обращение, и проблем нет... тем более обращение только в SetTableDataW , и по умолчанию выключено. Понял что SetParam(stSetTableDataCallback, @SetTableDataW) можно прописать раз, но на утечку не повлияло. Делал принцип работы как в routerscan (не использовать один указатель многократно) утечка все равно происходит. Ну факт, что если не запускать ScanRouter, утечки нет. Уже ловлю каждую ошибку ScanRouter, много странных, на мой взгляд, их не должно быть... Из-за них может быть утечка... Странные ошибки которые возвращает ScanRouter: ERangeError Range check error EConvertError "" is not valid integer value EConvertError "1970GMT" is not valid integer value EConvertError 'Invalid argument to date encode' EIReadLnMaxLineLengthExceeced with message 'Max line length exceeced'
Ростелеком стал ставить оптические терминалы QFR-200-4T-2V-W определяется как GoAhead-Webs (System Login) Например Spoiler 5.138.33.18 5.138.135.45 5.138.167.96 5.138.167.189 5.138.167.234 5.138.169.55 5.138.169.252 5.138.207.223 5.138.237.252 5.139.171.79 31.180.218.28 31.180.232.119 31.181.15.53 31.181.32.123 31.181.53.163 31.181.57.237 Используемые по умолчанию Логин:пароль super:super qtech:qtech guest:guest
Я не утверждал, что это причина утечек. Просто бросилось в глаза. Если вы знаете, как правильно писать, то OK. Естественно тысяча одновременных вызов ScanRouter значительно увеличивает потребление памяти. Вы уверены, что out of memory вызвана именно утечкой? 600 MB при 1000 активно парсящих потоках выглядят вполне нормально. На 500 потоках порядка 270MB занято. В начале потребление памяти немного растёт, наверное быстро проходят IP, где не удаётся загрузить страницу, и накапливаются потоки, получающие данные: Потом всё выходит на более-менее стационарный уровень: При завершении потоков память возвращается +/- к исходному значению: Хотя ошибки в библиотеке могут быть, и хотелось бы видеть stack trace и ip для этих исключений: Если всё же есть сомнения на счёт утечек, давайте тогда продолжим в личке, чтобы здесь не засорять.
Для некоторых оптических терминалов Eltex NTU-RG-1402G-W и ELTEX NTU-RG-1421G-W если не подходят пароли user:user admin:admin admin:password есть скрытый пароль для admin. p1VbVCvnZq Подходит не для всех. Возможно прошивки разные и в других версиях прошивки другие скрытые пароли.
В доке с приложением нет ни одного вхождения слов "Scan selected tables". Так что про то, зачем этой конпке доступ на запись там нет ни слова.
Задавал вопрос по поводу RomPager/4.07 UPnP/1.0 (Object Not Found) Вроде теперь понятно стало. Это ZyXEL ZyWALL 2. На этих точках открыты порты 7547 а веб интерфейс на 80 порту похоже просто отключен. А большинство из тех которые определяются как Seems to be Micro DSL Router светят и 80 порт и 7547. У соседей МТС даже сами через него прошивку сменили. Раньше в настройках TR-069 был, а в новой прошивке этого пункта меню нет. Видно что-бы сами не отключили. Еще раз прогнал некоторые диапазоны внутренней сети мтс куча точек вылезло которых только порты TR-069 светят. Куда ни плюнь в последнее время везде этот TR-069. Если так и дальше пойдет скоро совсем без точек останемся. Хотя на Хакер была статься цитата "Как оказалось, злоумышленники массово компрометируют роутеры, которые Telecom Algeria предоставляет своим клиентам. В частности исследователи обнаружили 1501 уязвимый роутер ZyXEL ZyWALL 2, принадлежащий провайдеру. Проблемы данных девайсов известны давно: они слушают 7547 порт и уязвимы для атак с помощью протокола TR-069. В 2016 году из-за этого бага пострадали более миллиона пользователей германских и британских провайдеров," Вот если бы еще найти пример практической реализации .... Хотя наткнулся на одну статью... Цитата... Сейчас более 41 000 000 устройств по всему миру легко взламываются через атаку на порт 7547, и более 5 000 000 разрешат доступ к конфигурироваю не только сотрудникам своих интернет-провайдеров. Тут ключевое слово легко. Но блин почему не пишут как именно... (((
В его случаи можно воспользоваться Rs для подключения к соседу и выходу в инет через vpn , но судя по всему товарищ будет долго голову ломать как!
