Взлом роутера. Анализ + эксплоиты.

Привет, сегодня расскажу, как взломать роутер вашего неприятеля.

Взлом роутера обычно является либо самой простой, либо самой сложной задачей - его сложность варьируется от ввода имени пользователя и пароля по умолчанию, пытаясь попасть внутрь роутера по telnet или ssh.

В обоих этих случаях перебор паролей не очень полезен, но это довольно простой метод.

Я собираюсь использовать роутер CBN CH6640E. Хорошенько погуглив, вы поймете, что он не новый, был выпущен в 2011 году, а также есть целый пост в exploit-db.com об этом говорит многое).

Но скажу следующее: Это роутер, который используется в домашних сетях, потому что он предоставляется многими интернет-провайдерами, поэтому многие люди страдают от этих уязвимостей.

Ну ладно, теперь к делу.

ЭТАП I. НАЙДИ IP РОУТЕРА.

Т.к данный шаг самый простой, и имеется множество способов сделать это, то просто приведу несколько различных возможностей:

• Проверка сетевых настроек с помощью панелей настроек ОС
• Использование ipconfig в Windows и ifconfig на машинах Unix из терминала
• Использование Fuzzer в качестве инструмента обнаружения цели.

Найденный IP роутера - 192.168.0.1

ЭТАП II. СОБЕРИ ТРАФИК.

Хороший способ начать, будет исследовать веб-сервер роутера для чего-то за пределами того, что видно невооружённым глазом. Используем HTTPView и анализируем трафик от первой попытки входа в систему. Чтобы облегчить задачу, применяем некоторые фильтры, избавляясь от медиа и стилей ответов с сервера. 

ЭТАП III. ПРОАНАЛИЗИРУЙ ТРАФИК И НАЙДИ УЯЗВИМОСТИ.

Теперь, когда имеем нужное количиство данных, мы должны проанализировать его, чтобы увидеть, найдена ли интересная информация. Сразу можно игнорировать все файлы jQuery, а также языковые файлы или, не начинать поиск оттуда. Т.к работа идет в Chrome, нет возможности анализировать ответы прямо из HTTPView, поэтому нужно реплицировать запрос в Rest и выполнять там анализ.

Имеется интересная штука, найденная здесь -  /menu.html

Присмотритесь хорошенько.

Определение функции readCookie отсутствует, можно с уверенностью предположить, что она считывает файл cookie, а userData-это имя этого файла cookie.

Из строки 247 можно понять, что значение данного файла cookie должно быть root. Чтобы изменить куки, используем расширение EditThisCookie и добавляем файл куки с упомянутым именем и значением.

ЭТАП IV. ПРОСКАНИРУЙ РОУТЕР НА НАЛИЧИЕ ДРУГИХ ROOT'ОВ.

Делая попытки перемещаться в любом месте, мы встретим экран входа в систему.

Нужно что-то, необходимое для изменения настроек роутера. У нас есть доступ к гораздо большему количеству страниц, поэтому, стоит сделать сканирование на маршрутизаторе.

Поэтому используем сканер с установленным файлом cookie userData=root. В addiotion, включу опцию "направленное сканирование" на вкладке второго пилота, чтобы сканер полагался на наши действия в качестве ввода.

После запуска сканера перейдите к 5-10 страницам на маршрутизаторе, которые требуют входа в систему, например /basicSetup.html и / или basicDHCP.html и пусть инструмент делает свою работу.

Когда траффик перестал поступать, начинаем анализировать результаты для интересных выводов. Рекомендую сортировать результаты по пути, чтобы убедиться, что не пропущено ни одного важного файла или каталога. 

ЭТАП V. ПОЛУЧИ ПОЛНЫЙ КОНТРОЛЬ.

DocsisConfigFile.xml -  файл, который содержит кучу полезной информации о конфигурации маршрутизатора, посмотрим внутренности.

Это определенно работает - файл содержит много интересной информации, включая имя пользователя и пароль в обычном тексте, благодаря которым получен полный доступ.

Заключение.

Даже каких-либо 0day экплоитов нам не понадобилось, чтобы получить полный контроль над роутером..

Сразу предупреждаю, что написана статья лишь для ознакомления и предназначена для вашей же безопасности.