прога Router Scan

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by СЕРЖ32, 11 Nov 2013.

  1. tr1ckyBiT

    tr1ckyBiT Member

    Joined:
    21 Jan 2014
    Messages:
    27
    Likes Received:
    15
    Reputations:
    1
    to Binarymaster

    Пока доступа к таким нет, но в качестве примера можно воспользоваться вот этим скриншотом.
    Здесь модель роутера иная чем в advisory, и для нее используется немного другая exploit_url, но подход тот же,

    [​IMG]

    Самое интересное что в браузере эти фокусы не проходят и он сокращает подобного рода запросы, тут нужны альтернативные инструменты, вот RouterScan'y думаю такие орешки будут по-зубам
     
    Payer likes this.
  2. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,289
    Likes Received:
    8,545
    Reputations:
    113
    Да, это реализуемо. В процессе тестирования я такие запросы обычно шлю, используя Charles.

    Вот только в /etc/shadow пароль от рута захеширован, от него мало толку. Если бы это был файл с настройками точки доступа или файл с паролем от админки - другое дело.
     
    CRACK211 and resident148 like this.
  3. resident148

    resident148 Member

    Joined:
    9 May 2015
    Messages:
    53
    Likes Received:
    58
    Reputations:
    2
    Доступ в папку etc говорит о доступе к любому файлу в системе и ничто не мешает слить конфиг роутера. Парорль от админки как раз и зашифрован в файле shadow алгоритмом md5 с солью.
     
  4. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    355
    Likes Received:
    133
    Reputations:
    16
    Ключ WPA у TP-LINK находится в /tmp/ath0.ap_bss, а дополнительная инфа в /tmp/topology.cnf
    Вот еще какая-то уязвимость: https://nmap.org/nsedoc/scripts/http-tplink-dir-traversal.html
     
    #624 Vikhedgehog, 31 May 2015
    Last edited: 31 May 2015
    VladimirV, Sheez, Payer and 1 other person like this.
  5. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,289
    Likes Received:
    8,545
    Reputations:
    113
    Да, к любому файлу, но не к списку файлов в каталоге.

    Не зашифрован, а захеширован. Feel the difference.

    Это она же и есть, только в виде NSE скрипта для Nmap. Спасибо за информацию :)
     
    #625 binarymaster, 31 May 2015
    Last edited: 31 May 2015
    CRACK211, VladimirV and resident148 like this.
  6. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,289
    Likes Received:
    8,545
    Reputations:
    113
    Нашёл вот такие файлы:
    /tmp/80211g.ap_radio - настройки беспроводного адаптера
    /tmp/ath0.ap_bss - настройки точки доступа
    /tmp/hostapd.eap_user - строки WPS конфигуратора
    /tmp/topology.conf - настройки интерфейсов

    И опять же, по файлу /etc/shadow:
    $1$$zdlNHiCDxYDfeF4MZL.H3/ - это хеш без соли, а пароль - 5up
    Давно известный пароль на телнет и веб-шелл.

    Значит, пароль от админки хранится в другом месте. Надо его найти!
     
  7. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    355
    Likes Received:
    133
    Reputations:
    16
    У асусов например пароль от админки записан в nvram, и вытаскивается обращением к программе nvram со специальным запросом. Может тут также. Хотя если уязвимость dir traversal то такой трюк наверное не прокатит.
     
  8. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,289
    Likes Received:
    8,545
    Reputations:
    113
    Совершенно верно, пароль может храниться в NVRAM. Уязвимость directory traversal не позволяет выполнять произвольные команды, и даже не даёт получить список файлов в директории.

    Другое дело, что можно попробовать подсунуть в качестве файла что-то вроде /dev/mtdblockX, но это может уронить роутер :) Мой подопытный образец сейчас оффлайн, не могу проверить.

    Я уже, как бы, с этим разобрался. Получить бы полную структуру файловой системы...
     
    CRACK211 likes this.
  9. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,289
    Likes Received:
    8,545
    Reputations:
    113
    Что-ж, я его добавил. Удалось даже MAC-адрес получать.

    Найденные мной уязвимые модели:
    TP-LINK TL-MR3220
    TP-LINK TL-WA830RE
    TP-LINK TL-WR740N
    TP-LINK TL-WR741ND
    TP-LINK TL-WR743ND
    TP-LINK TL-WR841N
    TP-LINK TL-WR941N
    TP-LINK TL-WR1043ND

    Важно отметить, что в последних версиях прошивок эта уязвимость закрыта. Тем не менее, уязвимых ещё полно.

    Пароль в файлах не нашёл... но Router Scan будет пробовать использовать пароль беспроводной сети для админки.
     
    akokarev, VladimirV, gentux and 6 others like this.
  10. Vikhedgehog

    Vikhedgehog Elder - Старейшина

    Joined:
    24 Jul 2013
    Messages:
    355
    Likes Received:
    133
    Reputations:
    16
    Когда выйдет следующая версия router scan? :D
     
  11. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    4,289
    Likes Received:
    8,545
    Reputations:
    113
    Для релиза нововведений не так много. И в планах есть ещё добавление нескольких моделей, но пока никак за них не возьмусь.

    После исследования уязвимости искра вдохновения появилась, и очень может быть, что релиз будет уже в этом месяце. :)
     
    Sheez, TARGAS, Ossen and 4 others like this.
  12. henri2002

    henri2002 Active Member

    Joined:
    25 Sep 2013
    Messages:
    381
    Likes Received:
    281
    Reputations:
    3
    выкладывайте бету, потестим форумом.
    спасибо.
     
  13. tr1ckyBiT

    tr1ckyBiT Member

    Joined:
    21 Jan 2014
    Messages:
    27
    Likes Received:
    15
    Reputations:
    1
    Эта уязвимость была найдена с помощью DotDotPwn, http-фаззера от мексиканских разработчиков chr1x и nitr0us, который позволяет находить подобного рода уязвимости не только в роутерах, но и в любых других http, ftp серверах. Включен в BT4,5 и KaliLinux.
    Судя по последнему релизу v4 за предыдущий год, проект развивается, особенно интересно было почитать 'to do' list.

    [​IMG]
     
    #633 tr1ckyBiT, 1 Jun 2015
    Last edited: 1 Jun 2015
    resident148, Payer, 4pips and 4 others like this.
  14. Silverlite

    Silverlite Member

    Joined:
    25 May 2015
    Messages:
    37
    Likes Received:
    18
    Reputations:
    0
    Классная программа! Отсканил весь диапазон своего провайдера, пополню словарик для wi-fi :D, получил много результатов. Но есть одно ограничение, которое никак не могу обойти :mad:.
    Задаю, например диапазон 5.76.0.0/16. Почти все адреса заняты. Но есть такие поддиапазоны, которые сканер не видит. И по словам программистов провайдера, я их и не увижу. Типа на них зайти я не смогу. Хотя эти адреса реально есть. Я это проверил на ip своих друзей. Они также меня не видят. Причем в том же диапазоне куча модемов, даже моих соседей, без проблем показываются и можно даже зайти на модем.
    Пробовал анонимайзеры - они все заблочены провайдером + уже вне закона с этого года. Прокси та же тема.

    Какой еще есть способ их отсканить или хотя бы вручную зайти.

    Ну и еще вопросик. У меня таких модемов сотни, но не поддаются стандартным набором паролей :(
    [​IMG]
     
  15. TARGAS

    TARGAS Member

    Joined:
    12 May 2015
    Messages:
    88
    Likes Received:
    78
    Reputations:
    0
    Это подсети провайдера, и вы правда не сможите в них зайти со своей подсети, у меня точно также, ходите по друзьям с других подстетей и там сканируйте их диапазоны.
     
    binarymaster likes this.
  16. ChesteRock

    ChesteRock Active Member

    Joined:
    31 Aug 2013
    Messages:
    112
    Likes Received:
    130
    Reputations:
    1
    Извините, может быть это глупый вопрос. Дело в том что я сканирую по дефолтным портам- 80, 8080 и 1080 и количество найденого как-то не радует. Можно ли как-то оптимизировать процесс? Например просканить сеть на предмет открытых портов, например через Nmap, а потом уже проверить это все в роутер скане?
     
  17. Soviet[HZ]

    Soviet[HZ] Elder - Старейшина

    Joined:
    20 Jul 2007
    Messages:
    87
    Likes Received:
    39
    Reputations:
    22
    С прогой знаком слабо, но если память мне не изменяет то есть там поле для ввода с название по типу "Enter ip adress to scan" Вставляй заранее отсканированное туда и вперед.
     
  18. MUXALbICH

    MUXALbICH New Member

    Joined:
    18 Jun 2015
    Messages:
    2
    Likes Received:
    0
    Reputations:
    0
  19. TARGAS

    TARGAS Member

    Joined:
    12 May 2015
    Messages:
    88
    Likes Received:
    78
    Reputations:
    0
    Действительно, просканировал ваш диапазон ниодного нет, а вы точно знаете, что ваши соседи именно на этом диапазоне сидят? так как у мгтс очень много диапазонов
     
  20. ChesteRock

    ChesteRock Active Member

    Joined:
    31 Aug 2013
    Messages:
    112
    Likes Received:
    130
    Reputations:
    1
    Это понятно. Я спрашиваю про то, есть ли смысл на других портах сканать или только на стандартных 80 и 8080.
     
    #640 ChesteRock, 18 Jun 2015
    Last edited: 18 Jun 2015
Loading...