0x01發現蹭網者

家裏剛剛裝了路由器,網速飛快~
國慶期間當然是打遊戲啦,可是爲什麼網絡突然這麼慢呢?
打開路由器後臺列表

家裏就我一個人有電腦,爲什麼多了一臺機子?
尼瑪!原來有人蹭我網,網速還佔了1兆多!看來wifi密碼設置得太弱了
正想踹對方下線,轉念一想,既然來客人了,就得好好招待一下,不來個滲透全家桶怎麼行呢?
nmap粗略掃描一遍

沒有一個端口開着,看來利用CVE漏洞的策略是行不通的

0x02水坑攻擊

既然沒有可以利用的端口,那麼怎麼拿到蹭網者的設備權限呢?

水坑攻擊,說得通俗一點就是釣魚,這方法我已經用了數十遍,屢試不爽

具體的滲透思路出來了
我可以在本機建立一個服務器,誘導目標訪問我的服務器並下載指定的payload
那麼如何誘導目標?我需要一個合理的理由讓對方乖乖安裝我的載荷
啓動Apache
下載flash官網的首頁和相關的css,進行一些修改,告訴網頁訪問者需要下載並更新指定的文件
,以此給網頁訪問者投放載荷
效果不錯
在家用局域網內,ARP欺騙當然是主要的攻擊方式了
利用bettercap2.4進行欺騙
爲什麼使用這個版本的bettercap?
bettercap1.82版本確實方便,但是在https代理服務器和代理腳本編寫方面十分不理想
以至於被欺騙的主機根本不響應本機的ssl證書,而2.0以上版本修復了此問題
(關於bettercap2.X版本,本人已經寫過解析和代理腳本編寫的文章,請看:
【工具解析】瑞士軍刀bettercap2.X解析_第一期_編寫HTTP代理注入模塊_http(s).proxy.script
【工具解析】瑞士軍刀bettercap2.X_解析_第二期_內網釣魚(嗅探)工具編寫)
進行基本設置後對蹭網者進行欺騙

如圖,我編寫了一個簡單的js腳本,使得被欺騙主機所有頁面均被釣魚頁面替換
幾分鐘後,meterpreter成功接收到一個反彈的shell

截圖看看
從對方的操作來看確實相信了flash未更新的假象
更重要的是,我可以調用對方是網絡攝像頭

看樣子是個小學生

0x03進入蹭網者內網

通過攝像頭對蹭網者家裏環境進行觀察,發現他桌子上是有路由器的
(爲什麼自己有路由器還來蹭我的網,)
也就是說,蹭網者一定會再次回到自己的內網,而那時候我就沒法對他進行控制了
那就在本機上進行內網穿透,將本地端口映射至公網,這樣就能讓傀儡機反彈shell到公網端口
接着再彈回內網

如圖,利用ngrok這個簡便的穿透工具,我就能讓本機的端口映射至公網
接着利用persistence這個模塊使得傀儡機不斷向這個公網端口反彈shell
這樣就算蹭網者不在我的內網,我也能對他進行控制了

權限維持工作已經到位,現在該讓對方滾回自己的內網了

踢對面下線
然而幾分鐘後,不僅僅是內網受控端下線,連公網受控端也下線了

難道說穿透出問題了?靜等幾分鐘無果後本打算放棄

這時對面又上線了,可能是因爲我把對面踢下線,接着對方就以爲網絡問題所以重啓了一遍吧
不管怎樣,遠控重新上線了,也就是說,現在對方很可能就在自己的內網中

利用autoroute模塊將對方的路由錶轉發至本地的meterpreter

接着利用socks4a模塊將metasploit的流量轉發至本地1080端口

在瀏覽器中設置代理
嘗試訪問目標路由器

It works!

0x04拿下路由器權限

PHICOMM路由器,在查找相關資料後發現是沒有默認密碼的
嘗試了幾個弱口令也無果
滲透陷入了瓶頸
何不換一種思路?大多數家庭路由器密碼都和wifi密碼設置得一樣,不如我在受控傀儡機上找找答案?
我在sunny-ngrok上申請了一個免費tcp隧道,使sunny的服務器能轉發本地3389端口
下載windows客戶端
傳入傀儡機

在傀儡機上運行getgui模塊打開3389端口,同時運行sunny

如圖,3389被成功轉發至公網
接着對攝像頭進行觀察,直到晚上11點,對方纔離開房間
此時我登錄遠程桌面

拿到wifi密碼
路由器權限成功拿下