[TuT] Hướng dẫn tấn công lỗ hổng trên Wireless TP-Link 740N

Sugi_b3o

Moderator
Thành viên BQT
30/08/2016
316
446 bài viết
[TuT] Hướng dẫn tấn công lỗ hổng trên Wireless TP-Link 740N
Chào mọi người, vừa qua mình có đọc về bài viết của Mod whf về Cách sử dụng Wifi Công Cộng dùng sao cho an toàn thì mình có tìm hiểu về các bug, exploit về Router thì tìm được bài báo cáo của Bkav về các thiết bị Router, Wireless ở Việt Nam dính hầu hết backdoor đã được cài đặt sẵn.

Sau đây mình xin hướng dẫn khai thác backdoor trên Wireless 740N khá phổ biến.

1700124203301.png

Mình sử dụng công cụ mã nguồn mở là Router Sploit

Cách cài đặt trên Ubuntu:

Mã:
sudo apt-get install python-dev python-pip libncurses5-dev git
Mã:
git clone https://github.com/reverse-shell/routersploit
Mã:
cd routersploit
Mã:
pip install -r requirements.txt
Mã:
./rsf.py

Các cách cài đặt trên các OS khác các bạn có thể tham khảo tại đây.

Sau khi đã cài đặt, thì kết nối vào wifi thiết bị công cộng (quán cf, nhà hàng, khách sạn,.....)

Dùng tool dò tìm IP của wireless như ip scanner

Thường là mặc định 192.168.0.1 (TP-Link 740N)

Sau đó truy cập vào thử:

1-png.3782
Tại đây ta phải có user name và password đúng để cấu hình cho thiết bị.

Quay trở lại với phần mềm, ta sẽ tiến hành dùng Router Sploit để quét và khai thác lỗi.

2.PNG

Bạn có thể dùng help để xem các lệnh cơ bản hoặc xem tại project trên github

3.PNG

Chọn thư viện để khai thác, nếu bạn nào dùng Metasploit Console thì sẽ quen được cách sử dụng.

HTML:
use scanner/autopwn

Mình dùng autopwn để quét trong trường hợp bạn không biết thiết bị hãng gì.

Trước khi quét các bạn phải đặt IP mục tiêu

HTML:
set target [IP] mục tiêu

Kiểm tra lại mục tiêu đã nhận chưa

HTML:
show options

4.PNG

Sau khi đã đặt IP, tiến hành quét với lệnh run

5.PNG

Kết quả nhận được

6.PNG

Tiến hành khai thác lỗi này wdr740nd_wdr740n_path_traversal

Dùng câu lệnh

HTML:
use exploits/tplink/wdr740nd_wdr740n_path_traversal

7.PNG

Lỗi LFI tại trang đăng nhập có thể tham khảo tại đây hoặc source code khai thác của tool nằm ở

HTML:
/routersploit/routersploit/modules/exploits/tplink/

8.PNG


Tiếp tục decode bằng john ta có username và password

14899399529.PNG


Nhưng dùng tài khoản này để đăng nhập vào trang admin không được nên mình copy đoạn hash dán lên google và nhận được kết quả khá bất ngờ từ nhiều nguồn khác nhau trong đó có trang routerpwn.com chuyên tổng hợp các lỗ hổng của Router cho kết quả:

148993995211.PNG

Khi click vào link ta sẽ được dẫn đến trang này điền username là osteam và password là 5up và thực hiện câu lệnh "ls" và "ifconfig".

148993995215.PNG
Đến đây thì quá trình exploit đã thành công và hacker có thể cài đặt thêm các loại backdoor tự động khi người dùng kết nối vào, cài đặt botnet hoặc chuyển hướng người dùng đến trang web của hacker mong muốn để dùng kĩ thuật Phishing, MitM, để lấy cắp thông tin cá nhân, tài khoản, thẻ tín dụng,...

Cách bảo vệ, phòng tránh:
  • Cập nhật firmware mới nhất cho thiết bị
  • Sử dụng các kết nối HTTPS
Hoặc tham khảo tại 2 bài viết:

Bài báo cáo của Bkav

Bài thảo luận cách dùng Wifi sao cho an toàn

*Bài viết chỉ có tính chất chia sẻ, học tập và để các bạn tự bảo vệ thông tin cá nhân của mình trước những thiết bị Router, Wireless xuất xứ không rõ nguồn gốc hoặc từ Trung Quốc. Không nên dùng vào các mục đích xấu.
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: du0n9
Có vài ảnh bị lỗi rồi Mod Sugi_b3o kiểm tra lại thử nhé - cảm ơn về bài chia sẻ :)
 
Chỉnh sửa lần cuối bởi người điều hành:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mình xin đăng lại một số ảnh của Sugi_b3o bị lỗi:
- Chạy chương trình routersploit bằng lệnh ./rsf.py ( lưu ý chương trình cần quyền root để chạy chính xác)
Screenshot_20180330-225942.png

- Mình biết wifi muốn exploit là tplink rồi nên dùng luôn /scanners/tplink_scan
Screenshot_20180330-230951.png

Giờ dùng exploit wdr740nd_wdr740n_path_traversal
Screenshot_20180330-231936.png


Đó là file /e tc/shadow thu được. Bạn có thể chọn file khác bằng cách sửa code file exploit trong /modules/exploits/router/tplink)
Điều mình băn khoăn là các mật khẩu trong file này được mã hóa bằng thuật toán gì? (md5 hay thuật toán khác)
Bạn nào biết trả lời giúp mình nhé :)
 
Chỉnh sửa lần cuối:
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: whf
Comment
Điều mình băn khoăn là các mật khẩu trong file này được mã hóa bằng thuật toán gì? (md5 hay thuật toán khác)
Bạn nào biết trả lời giúp mình nhé :)

Ví dụ dòng
upload_2018-3-30_23-31-38.png


Bắt đầu = $1 là sử dụng thuật toán MD5 bạn nhé.

Tương tự ta có:

$2: blowfish
$2a: eksblowfish
$5: sha256
$6: sha512
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Ví dụ dòng View attachment 3281

Bắt đầu = $1 là sử dụng thuật toán MD5 bạn nhé.

Tương tự ta có:

$2: blowfish
$2a: eksblowfish
$5: sha256
$6: sha512
Mật khẩu sau khi mã hóa là 'zdlNHiCDxYDfeF4MZL.H3/' phải không bạn?
Nếu vậy có gì đó sai sai vì MD5 phải cho ra xâu 32 kí tự chứ nhỉ?
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mật khẩu sau khi mã hóa là 'zdlNHiCDxYDfeF4MZL.H3/' phải không bạn?
Nếu vậy có gì đó sai sai vì MD5 phải cho ra xâu 32 kí tự chứ nhỉ?

Thêm nữa nếu mình encode mật khẩu 5up thì ra xâu 'd4d7931e8b25accd20bc3285c21e7582'

Chuỗi $1$$zdlNHiCDxYDfeF4MZL.H3/ có 3 phần ngăn cách bởi $ tương ứng với $id$salt$encrypted

Bạn xem bài viết sau https://www.vidarholen.net/contents/blog/?p=32 sẽ hiểu được điều mà bạn thấy "sai sai" kia.

Với password là 5up thì có thể dùng công cụ
openssl với cú pháp sau sẽ ra kết quả như trên:

upload_2018-4-1_12-35-50.png
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
  • Thích
Reactions: du0n9
Comment
Thớt cho e hỏi muốn xem file code giống như bác thì phải vào đâu ạ
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
@Sugi_b3o @whf không biết là bạn ấy hỏi Mod nào, thôi thì cứ tag của 2 =))
 
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Mời các bạn tham gia Group WhiteHat để thảo luận và cập nhật tin tức an ninh mạng hàng ngày.
Lưu ý từ WhiteHat: Kiến thức an ninh mạng để phòng chống, không làm điều xấu. Luật pháp liên quan
Comment
Bên trên