Ищем эксплоиты в новых прошивках D-Link

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Vikhedgehog, 21 Apr 2014.

  1. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    367
    Likes Received:
    163
    Reputations:
    19
    У всех более-менее современных точкек D-Link (DIR-300NRUB5, DSL_2640NRU, DSL_2650NRU, билайновские модемы, новые DIR-615 и DIR-620) стоят новые прошивки, для которых пока не известно никаких уязвимостей для получения доступа к настройкам. Т.к. точки с этими прошивками встречаются почти везде, думаю многим было бы интересно узнать как обходить авторизацию.

    Просмотрев с Live HTTP Headers некоторые скрипты, которые скачиваются с роутера при загрузке, удалось установить что страница для смены пароля /passw.html загружается без вопросов (да и вообще любой файл, который не .cgi). После ввода точка говорит об успешной смене пароля, однако он остается прежним. Вот какие страницы еще удалось найти:

    /index.html - глюченая страница, на которой большими буквами написано слово "D-Link". У DIR-620 есть еще зачем-то строка для поиска.

    На билайновских модемах так же есть:

    /index2.html - тоже самое что и index.html у обычных точек
    /about.html - предлагается просмотреть или сохранить лог устройства, однако ссыль не работает.

    Иногда встречается включенный telnet, но не у всех. У кого есть опыт со взломом настроек, есть ли смысл тут искать дыры? Спасибо.
     
    #1 Vikhedgehog, 21 Apr 2014
    Last edited: 21 Apr 2014
  2. LOCb

    LOCb New Member

    Joined:
    29 May 2012
    Messages:
    38
    Likes Received:
    1
    Reputations:
    0
    билановские роутеры SMARTBOX с прошивкой 2014(и ниже) и D-LINK dir-300 ревизии C1 с прошивкой ниже 1.2.255 смотрят своей вэб-мордой в wan-интерфейс и L2TP-тунель, эту дырку активно латают на СМЕРТЬ-боксах уже есть новая прошивка, ну и ДЕБЕЛИНКИ не отстают. советую скачать с офф сайта прошивки и расковырять, слышал что их написанием изрядный оболтус занимается.
    P.S.: Даже ТП билайна почти никогда не меняет пароли на web-морду роутера.
    Через исходник страницы можно увидеть и пасс на wi-fi и пасс на инет - актуально для смерть-боксов.
     
    #2 LOCb, 2 May 2014
    Last edited: 2 May 2014
  3. СЕРЖ32

    СЕРЖ32 Active Member

    Joined:
    1 Sep 2013
    Messages:
    1,761
    Likes Received:
    101
    Reputations:
    0
    а есть уязвимости в точках Zyxel для обхода авторизации?
     
  4. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    На современных точках D-Link все настройки идут через index.cgi, некоторые модели могут возвращать полезную информацию даже без авторизации. Правда не часто такие встречаются, надо активно проверять.

    Старые DIR-300 и подобные к этому отношения не имеют, т.к. прошивки совершенно разные.
     
  5. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    367
    Likes Received:
    163
    Reputations:
    19
    Есть информация какие конкретно прошивки и модели?
     
  6. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Точной информации нет, т.к. я давно находил такие экземпляры. Возможно, это были DSL-2640NRU и похожие.

    Они отзывались на такой запрос:
    Code:
    GET /index.cgi?v2=y&rq=y&client_login=admin&client_password=none
    Вместо none можно любой неверный пасс подставить. Если в ответе будут фигурировать JSON данные, в которых найдётся ветка iface_names, то успех.
     
  7. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    367
    Likes Received:
    163
    Reputations:
    19
    Спасибо за информацию.
    То есть надо просто вбивать это в адресную строку? Или еще мониторить с live http headers? В моем случае DSL-2640NRU просто выдал

    {
    auth: false
    }

    Буду тестить другие.
     
  8. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    367
    Likes Received:
    163
    Reputations:
    19
    В билайновских DIR-300 нашли пару интересных уязвимостей для обхода пароля от админки и не только, вот ссылка: http://habrahabr.ru/post/243997/
     
    1 person likes this.
  9. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Интересно) Жаль только не упомянуты HTTP запросы, в результате которых удавалось получить данные без авторизации.
     
  10. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,432
    Reputations:
    377
    Не помню был сей сплойт или нет на форуме...
    ASUS Router infosvr UDP Broadcast root Command Execution:
    https://github.com/jduck/asus-cmd
     
    _________________________
  11. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    367
    Likes Received:
    163
    Reputations:
    19
    У асусов прошивки стали более дырявыми чем у D-Link, а ведь еще совсем недавно было наоборот :)
     
  12. SEGA_1986

    SEGA_1986 Member

    Joined:
    25 Jan 2013
    Messages:
    113
    Likes Received:
    21
    Reputations:
    0
    рутер Dir-620.
    стандартные пасы пробовал - толку ноль, прогу роутер-скан тоже, не подобрала пароль.
    Телнет - открыт, прошивка 1.0.8

    кто-нибудь что-нибудь подскажет... если что я жду...
     
    #12 SEGA_1986, 21 Feb 2015
    Last edited: 21 Feb 2015
  13. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,432
    Reputations:
    377
    Брут телнета же:
    medusa -h 192.168.0.1 -U user.txt -P pass.txt -O good.txt -f -v 6 -M telnet
     
    _________________________
    1 person likes this.
  14. SEGA_1986

    SEGA_1986 Member

    Joined:
    25 Jan 2013
    Messages:
    113
    Likes Received:
    21
    Reputations:
    0
    Допускаю что спрошу глупый вопрос, в бруте портов я нуб, но всё же:

    а какая разница между брутом - медузы и роутер-скан?

    если словари и там и там одинаковые...
     
  15. user100

    user100 Moderator

    Joined:
    24 Dec 2011
    Messages:
    4,811
    Likes Received:
    18,432
    Reputations:
    377
    роутер-скан telnet разве брутит?
    А пасы на telnet и на Web морду могут отличаться.
     
    _________________________
  16. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,717
    Likes Received:
    10,195
    Reputations:
    126
    Router Scan использует словари только для роутеров с Basic/Digest аутентификацией. Для роутеров, использующих HTTP форму для авторизации - словари не используются. DIR-620 как раз относится ко вторым.

    Поэтому смысл использовать medusa вполне есть. Но не только с телнетом, но и с формой тоже можно попробовать.
     
    1 person likes this.
  17. panfilov-25

    panfilov-25 Member

    Joined:
    19 Jan 2016
    Messages:
    21
    Likes Received:
    8
    Reputations:
    0
    Прошу прощения.
    Подобрал wps от соседского роутера
    Но в админку роутера зайти не могу.
    У него есть 2 пользователя - админ и юзер.
    Под юзером я зайти смог так как пароля нету, а вот под админом не получается. Все дефолтные пароли я перебрал.
    Данные роутера:
    Product Page: DIR-628
    Firmware Version :1.13WW, 2008/12/30
    Hardware Version: A2

    Подскажите какой нибудь способ узнать админку.
     
  18. Algierd

    Algierd Member

    Joined:
    21 Sep 2013
    Messages:
    405
    Likes Received:
    16
    Reputations:
    0
    А под Хуавей с прошивкой 3.10.29.0-1.0.7.0 есть что-нибудь?
     
    #18 Algierd, 30 Jan 2016
    Last edited: 30 Jan 2016
  19. Triton_Mgn

    Triton_Mgn Elder - Старейшина

    Joined:
    6 Jul 2015
    Messages:
    3,673
    Likes Received:
    5,797
    Reputations:
    51
    THC-Hydra пользуйся, какие дефолтные пароли перебраны? 20 штук?
     
  20. Svetlana1989

    Svetlana1989 Member

    Joined:
    14 Jun 2015
    Messages:
    93
    Likes Received:
    29
    Reputations:
    0
    имеется роутер DSL_2640NRU со старой прошивкой и паролем wifi.Как обойти админку она закрыта...?