[TuT] Hướng dẫn tấn công lỗ hổng trên Wireless TP-Link 740N

[Sugi_b3o]

Chào mọi người, vừa qua mình có đọc về bài viết của Mod whf về Cách sử dụng Wifi Công Cộng dùng sao cho an toàn thì mình có tìm hiểu về các bug, exploit về Router thì tìm được bài báo cáo của Bkav về các thiết bị Router, Wireless ở Việt Nam dính hầu hết backdoor đã được cài đặt sẵn.

Sau đây mình xin hướng dẫn khai thác backdoor trên Wireless 740N khá phổ biến.

Mình sử dụng công cụ mã nguồn mở là Router Sploit

Cách cài đặt trên Ubuntu:

sudo apt-get install python-dev python-pip libncurses5-dev git

git clone https://github.com/reverse-shell/routersploit

cd routersploit

pip install -r requirements.txt

./rsf.py

Các cách cài đặt trên các OS khác các bạn có thể tham khảo tại đây.

Sau khi đã cài đặt, thì kết nối vào wifi thiết bị công cộng (quán cf, nhà hàng, khách sạn,.....)

Dùng tool dò tìm IP của wireless như ip scanner

Thường là mặc định 192.168.0.1 (TP-Link 740N)

Sau đó truy cập vào thử:

Tại đây ta phải có user name và password đúng để cấu hình cho thiết bị.

Quay trở lại với phần mềm, ta sẽ tiến hành dùng Router Sploit để quét và khai thác lỗi.

Bạn có thể dùng help để xem các lệnh cơ bản hoặc xem tại project trên github

Chọn thư viện để khai thác, nếu bạn nào dùng Metasploit Console thì sẽ quen được cách sử dụng.

use scanner/autopwn

Mình dùng autopwn để quét trong trường hợp bạn không biết thiết bị hãng gì.

Trước khi quét các bạn phải đặt IP mục tiêu

set target [IP] mục tiêu

Kiểm tra lại mục tiêu đã nhận chưa

show options

Sau khi đã đặt IP, tiến hành quét với lệnh run

Kết quả nhận được

Tiến hành khai thác lỗi này wdr740nd_wdr740n_path_traversal

Dùng câu lệnh

use exploits/tplink/wdr740nd_wdr740n_path_traversal

​

Lỗi LFI tại trang đăng nhập có thể tham khảo tại đây hoặc source code khai thác của tool nằm ở

/routersploit/routersploit/modules/exploits/tplink/

Tiếp tục decode bằng john ta có username và password

Nhưng dùng tài khoản này để đăng nhập vào trang admin không được nên mình copy đoạn hash dán lên google và nhận được kết quả khá bất ngờ từ nhiều nguồn khác nhau trong đó có trang routerpwn.com chuyên tổng hợp các lỗ hổng của Router cho kết quả:

Khi click vào link ta sẽ được dẫn đến trang này điền username là osteam và password là 5up và thực hiện câu lệnh "ls" và "ifconfig".

Đến đây thì quá trình exploit đã thành công và hacker có thể cài đặt thêm các loại backdoor tự động khi người dùng kết nối vào, cài đặt botnet hoặc chuyển hướng người dùng đến trang web của hacker mong muốn để dùng kĩ thuật Phishing, MitM, để lấy cắp thông tin cá nhân, tài khoản, thẻ tín dụng,...

Cách bảo vệ, phòng tránh:

• Cập nhật firmware mới nhất cho thiết bị
• Sử dụng các kết nối HTTPS

Hoặc tham khảo tại 2 bài viết:

Bài báo cáo của Bkav
Bài thảo luận cách dùng Wifi sao cho an toàn

*Bài viết chỉ có tính chất chia sẻ, học tập và để các bạn tự bảo vệ thông tin cá nhân của mình trước những thiết bị Router, Wireless xuất xứ không rõ nguồn gốc hoặc từ Trung Quốc. Không nên dùng vào các mục đích xấu.

 

Có vài ảnh bị lỗi rồi Mod Sugi_b3o kiểm tra lại thử nhé - cảm ơn về bài chia sẻ

 

Mình xin đăng lại một số ảnh của Sugi_b3o bị lỗi:
- Chạy chương trình routersploit bằng lệnh ./rsf.py ( lưu ý chương trình cần quyền root để chạy chính xác)

- Mình biết wifi muốn exploit là tplink rồi nên dùng luôn /scanners/tplink_scan

Giờ dùng exploit wdr740nd_wdr740n_path_traversal

Đó là file /e tc/shadow thu được. Bạn có thể chọn file khác bằng cách sửa code file exploit trong /modules/exploits/router/tplink)
Điều mình băn khoăn là các mật khẩu trong file này được mã hóa bằng thuật toán gì? (md5 hay thuật toán khác)
Bạn nào biết trả lời giúp mình nhé

 

Điều mình băn khoăn là các mật khẩu trong file này được mã hóa bằng thuật toán gì? (md5 hay thuật toán khác)
Bạn nào biết trả lời giúp mình nhé

Ví dụ dòng

Bắt đầu = $1 là sử dụng thuật toán MD5 bạn nhé.

Tương tự ta có:

$2: blowfish
$2a: eksblowfish
$5: sha256
$6: sha512

 

Ví dụ dòng View attachment 3281

Bắt đầu = $1 là sử dụng thuật toán MD5 bạn nhé.

Tương tự ta có:

$2: blowfish
$2a: eksblowfish
$5: sha256
$6: sha512

Mật khẩu sau khi mã hóa là 'zdlNHiCDxYDfeF4MZL.H3/' phải không bạn?
Nếu vậy có gì đó sai sai vì MD5 phải cho ra xâu 32 kí tự chứ nhỉ?

 

Tiếp tục decode bằng john ta có username và password

Thêm nữa nếu mình encode mật khẩu 5up thì ra xâu 'd4d7931e8b25accd20bc3285c21e7582'

 

Có vài ảnh bị lỗi rồi Mod Sugi_b3o kiểm tra lại thử nhé - cảm ơn về bài chia sẻ

ảnh này sau khi forum update bị sai, @@ để e xem lại thế nào

 

Mật khẩu sau khi mã hóa là 'zdlNHiCDxYDfeF4MZL.H3/' phải không bạn?
Nếu vậy có gì đó sai sai vì MD5 phải cho ra xâu 32 kí tự chứ nhỉ?

Thêm nữa nếu mình encode mật khẩu 5up thì ra xâu 'd4d7931e8b25accd20bc3285c21e7582'

Chuỗi $1$$zdlNHiCDxYDfeF4MZL.H3/ có 3 phần ngăn cách bởi $ tương ứng với $id$salt$encrypted

Bạn xem bài viết sau https://www.vidarholen.net/contents/blog/?p=32 sẽ hiểu được điều mà bạn thấy "sai sai" kia.

Với password là 5up thì có thể dùng công cụ openssl với cú pháp sau sẽ ra kết quả như trên:

​

 

Thớt cho e hỏi muốn xem file code giống như bác thì phải vào đâu ạ

 

@Sugi_b3o @whf không biết là bạn ấy hỏi Mod nào, thôi thì cứ tag của 2 =))

 

Thớt cho e hỏi muốn xem file code giống như bác thì phải vào đâu ạ

Bạn quote/chụp ảnh cụ thể phần nào cần hỏi để anh em tiện hỗ trợ nhé.

 

@Sugi_b3o @whf không biết là bạn ấy hỏi Mod nào, thôi thì cứ tag của 2 =))

E cũng mới tìm ra file cũ và cập nhật lại xong