31.05.2015, 15:00
|
|
Флудер
Регистрация: 11.12.2010
Сообщений: 4,688
С нами:
8115446
Репутация:
125
|
|
Сообщение от tr1ckyBiT
Самое интересное что в браузере эти фокусы не проходят и он сокращает подобного рода запросы, тут нужны альтернативные инструменты, вот RouterScan'y думаю такие орешки будут по-зубам
Да, это реализуемо. В процессе тестирования я такие запросы обычно шлю, используя Charles.
Вот только в /etc/shadow пароль от рута захеширован, от него мало толку. Если бы это был файл с настройками точки доступа или файл с паролем от админки - другое дело.
|
|
|
31.05.2015, 15:33
|
|
Member
Регистрация: 09.05.2015
Сообщений: 53
С нами:
5797046
Репутация:
2
|
|
Сообщение от binarymaster
Если бы это был файл с настройками точки доступа или файл с паролем от админки - другое дело.
Доступ в папку etc говорит о доступе к любому файлу в системе и ничто не мешает слить конфиг роутера. Парорль от админки как раз и зашифрован в файле shadow алгоритмом md5 с солью.
|
|
|
|
31.05.2015, 16:01
|
|
Постоянный
Регистрация: 24.07.2013
Сообщений: 362
С нами:
6738806
Репутация:
19
|
|
Сообщение от binarymaster
Да, это реализуемо. В процессе тестирования я такие запросы обычно шлю, используя Charles.
Вот только в /etc/shadow пароль от рута захеширован, от него мало толку. Если бы это был файл с настройками точки доступа или файл с паролем от админки - другое дело.
Ключ WPA у TP-LINK находится в /tmp/ath0.ap_bss, а дополнительная инфа в /tmp/topology.cnf
Вот еще какая-то уязвимость: https://nmap.org/nsedoc/scripts/http-tplink-dir-traversal.html
|
|
|
|
31.05.2015, 16:39
|
|
Флудер
Регистрация: 11.12.2010
Сообщений: 4,688
С нами:
8115446
Репутация:
125
|
|
Сообщение от resident148
Доступ в папку etc говорит о доступе к любому файлу в системе и ничто не мешает слить конфиг роутера.
Да, к любому файлу, но не к списку файлов в каталоге.
Сообщение от resident148
Парорль от админки как раз и зашифрован в файле shadow алгоритмом md5 с солью.
Не зашифрован, а захеширован. Feel the difference.
Сообщение от Vikhedgehog
Вот еще какая-то уязвимость: https://nmap.org/nsedoc/scripts/http-tplink-dir-traversal.html
Это она же и есть, только в виде NSE скрипта для Nmap. Спасибо за информацию
|
|
|
|
31.05.2015, 18:10
|
|
Флудер
Регистрация: 11.12.2010
Сообщений: 4,688
С нами:
8115446
Репутация:
125
|
|
Сообщение от Vikhedgehog
Ключ WPA у TP-LINK находится в /tmp/ath0.ap_bss, а дополнительная инфа в /tmp/topology.cnf
Нашёл вот такие файлы:
/tmp/80211g.ap_radio - настройки беспроводного адаптера
/tmp/ath0.ap_bss - настройки точки доступа
/tmp/hostapd.eap_user - строки WPS конфигуратора
/tmp/topology.conf - настройки интерфейсов
И опять же, по файлу /etc/shadow:
$1$$zdlNHiCDxYDfeF4MZL.H3/ - это хеш без соли, а пароль - 5up
Давно известный пароль на телнет и веб-шелл.
Значит, пароль от админки хранится в другом месте. Надо его найти!
|
|
|
|
31.05.2015, 18:45
|
|
Постоянный
Регистрация: 24.07.2013
Сообщений: 362
С нами:
6738806
Репутация:
19
|
|
Сообщение от binarymaster
Нашёл вот такие файлы:
/tmp/80211g.ap_radio - настройки беспроводного адаптера
/tmp/ath0.ap_bss - настройки точки доступа
/tmp/hostapd.eap_user - строки WPS конфигуратора
/tmp/topology.conf - настройки интерфейсов
И опять же, по файлу /etc/shadow:
$1$$zdlNHiCDxYDfeF4MZL.H3/ - это хеш без соли, а пароль - 5up
Давно известный пароль на телнет и веб-шелл.
Значит, пароль от админки хранится в другом месте. Надо его найти!
У асусов например пароль от админки записан в nvram, и вытаскивается обращением к программе nvram со специальным запросом. Может тут также. Хотя если уязвимость dir traversal то такой трюк наверное не прокатит.
|
|
|
|
31.05.2015, 19:00
|
|
Флудер
Регистрация: 11.12.2010
Сообщений: 4,688
С нами:
8115446
Репутация:
125
|
|
Сообщение от Vikhedgehog
У асусов например пароль от админки записан в nvram, и вытаскивается обращением к программе nvram со специальным запросом. Может тут также. Хотя если уязвимость dir traversal то такой трюк наверное не прокатит.
Совершенно верно, пароль может храниться в NVRAM. Уязвимость directory traversal не позволяет выполнять произвольные команды, и даже не даёт получить список файлов в директории.
Другое дело, что можно попробовать подсунуть в качестве файла что-то вроде /dev/mtdblockX, но это может уронить роутер Мой подопытный образец сейчас оффлайн, не могу проверить.
Сообщение от nsin
binarymaster,
По ссылке, пример c /etc/.
Я уже, как бы, с этим разобрался. Получить бы полную структуру файловой системы...
|
|
|
|
31.05.2015, 23:54
|
|
Флудер
Регистрация: 11.12.2010
Сообщений: 4,688
С нами:
8115446
Репутация:
125
|
|
Сообщение от tr1ckyBiT
Для Tp-link этот эксплойт http://www.securityfocus.com/archive/1/524548 можете добавить?
Что-ж, я его добавил. Удалось даже MAC-адрес получать.
Найденные мной уязвимые модели:
TP-LINK TL-MR3220
TP-LINK TL-WA830RE
TP-LINK TL-WR740N
TP-LINK TL-WR741ND
TP-LINK TL-WR743ND
TP-LINK TL-WR841N
TP-LINK TL-WR941N
TP-LINK TL-WR1043ND
Важно отметить, что в последних версиях прошивок эта уязвимость закрыта. Тем не менее, уязвимых ещё полно.
Пароль в файлах не нашёл... но Router Scan будет пробовать использовать пароль беспроводной сети для админки.
|
|
|
|
01.06.2015, 00:55
|
|
Постоянный
Регистрация: 24.07.2013
Сообщений: 362
С нами:
6738806
Репутация:
19
|
|
Когда выйдет следующая версия router scan?
|
|
|
|
01.06.2015, 01:04
|
|
Флудер
Регистрация: 11.12.2010
Сообщений: 4,688
С нами:
8115446
Репутация:
125
|
|
Сообщение от Vikhedgehog
Когда выйдет следующая версия router scan?
Для релиза нововведений не так много. И в планах есть ещё добавление нескольких моделей, но пока никак за них не возьмусь.
После исследования уязвимости искра вдохновения появилась, и очень может быть, что релиз будет уже в этом месяце.
|
|
|
|
|
 |
|
|
Здесь присутствуют: 1 (пользователей: 0 , гостей: 1)
|
|
|
|
Комбинированный вид
