Доброго времени суток пользователи!
Узнать пароль от роутера обычно является либо самой простой, либо самой сложной задачей - его сложность варьируется от ввода имени пользователя и пароля по умолчанию, и тот, кто пытается узнать пароль максимально может за****ся, пытаясь попасть внутрь роутера по telnet или ssh.
В обоих этих случаях перебор паролей не очень полезен, но это довольно простой метод, мы ведь хотим узнать другой способ, с помощью которого нас могут взломать, да?
Замечу, что эта статья написана только для образовательных целей. Мы никого ни к чему не призываем, только в целях ознакомления!
Поиск IP роутера
Так как это самый простой шаг, и есть бесчисленное множество способов сделать это, я просто приведу несколько различных возможностей:
- Проверка сетевых настроек с помощью панелей настроек ОС
- Использование ipconfig в Windows и ifconfig на машинах Unix из терминала
- Использование Fuzzer в качестве инструмента обнаружения цели.
Найденный мной IP роутера - 192.168.0.*
Сбор трафика
Я решил, что хороший способ начать, будет исследовать веб-сервер роутера для чего-то за пределами того, что видно невооружённым глазом. По этой причине я использовал HTTPView и проанализировал трафик от первой попытки входа в систему. Чтобы помочь себе, я применил некоторые фильтры, чтобы избавиться от медиа и стилей ответов с сервера.
Вот результат, который я добыл:
Этой информации нам хватит.
Находим уязвимость после анализа трафика.
Теперь, когда у меня есть нужное количество данных, я должен проанализировать его, чтобы увидеть, наткнулся ли я на что-то интересное. Сразу можно игнорировать все файлы jQuery, а также языковые файлы или, по крайней мере, не начинать поиск оттуда.
Поскольку я работаю в Chrome, я не могу анализировать ответы прямо из HTTPView, поэтому мне нужно реплицировать запрос в Rest и выполнять там анализ.
Есть этот интересная штука, которую я нашел в /menu.html
Присмотрись хорошенько. Хотя определение функции readCookie отсутствует, можно с уверенностью предположить, что она считывает файл cookie, а userData-это имя этого файла cookie.
Из строки 247 мы можем сделать вывод, что значение этого файла cookie должно быть root. Чтобы изменить куки, я использовал расширение EditThisCookie и добавил файл куки с уже упомянутым именем и значением и вуаля, мы внутри..
Всё так просто? Почти, но всё же, будь аккуратнее, чтобы тебя не могли взломать соседи.
Сканируем роутер на наличие других ROOT'ов
Если я попытаюсь перемещаться в любом месте, я встречу тот же экран входа в систему.
Есть что-то еще, необходимое для изменения настроек роутера. Однако, у меня есть доступ к гораздо большему количеству страниц, поэтому я думаю, что стоит сделать сканирование на маршрутизаторе.
Для этого я буду использовать сканер с уже установленным файлом cookie userData=root. В addiotion я включу опцию "направленное сканирование" на вкладке второго пилота, чтобы сканер полагался на мои действия в качестве ввода.
После запуска сканера я перешел к 5-10 страницам на маршрутизаторе, которые требуют входа в систему, например /basicSetup.html и / или basicDHCP.html и пусть инструмент делает свою работу.
После того, как траффик перестал поступать, я могу проанализировать результаты для интересных выводов. Для этого я предпочитаю сортировать результаты по пути, чтобы убедиться, что я не пропустил ни одного важного файла или каталога.
И через некоторое время я столкнулся с этим:
Получаем полный контроль
DocsisConfigFile.xml - это обычно файл, который содержит кучу полезной информации о конфигурации маршрутизатора, посмотрим, что внутри:
Да, всё так просто. Это определенно работает - файл содержит много интересной информации, включая имя пользователя и пароль в обычном тексте, благодаря которым хакеры и получают полный доступ к вашему роутеру