黑客如何入侵你的路由器?
一段時間以前一位從事資訊保安的朋友請我做一件奇怪的事情。讓我黑掉他的路由器。我們可以叫他bill,出於保護隱私的原因,其它的名字和地點都會有所改變。但是供應商的名字會被保留。
入侵一個大公司很容易(也許吧)。他們的資訊資源可能分佈在全球各地,儘管他們會投資各種各樣的防護技術,但這也僅僅是讓我們很難追蹤他們所有的東西而已。他們得日復一日的為所有資產嚴格地執行掃描-修補-重啟流程,不容有失。
但是入侵個人則很困難。的確,黑帽技術在非對稱的資訊保安性方面有它的優勢。有時只需要一個bug(就可以成功黑掉大公司)。但是與大公司相比,個體目標暴露的攻擊區域是非常的小的。此外,很多人都相信大型供應商提供的資訊,以及雲供應商通常會做保護人們免受攻擊這樣高尚的事情。
我從最基本的偵察開始。我喜歡使用Maltego,再附加上像checkusernames.com、knowem.com、piple search這樣的網站,以及其他工具來計算線上狀態。同樣還有一些比較經典的網站如Google+,Facebook以及Linkedin。我們可以使用Facebook上的一些假資料來做這樣的工作。你需要為你的目標準備好的誘餌資訊,這樣可以通過社交引擎提取額外的資訊。
而線上狀態方面,密碼重置問題是非常好的“低垂的果實(唾手可得的東西)”。我見過有些web郵箱賬戶詢問的資訊是可以直接從目標的Facebook資料裡面找到的。我確信大多數人甚至都不會意識到這一點,他們可能在五年前寫的這些重置問題(而現在早忘了)。然而現在這些東西在這裡都不管用了。要知道我的目標是個搞資訊保安的書呆子,而他正期待著我。
是時候跟他決鬥了。首先,我檢查了他是否有在他的家庭網路連線上託管任何東西。他可能以前做過但沒有注意。很多的應用和裝置使用UPnP在消費級的防火牆上面打孔。有時候我們只需要一個NAS或媒體伺服器來開啟一個後門即可。為了找到他的家庭IP地址,我使用了一個Skype解析器,比如resolvme.org。它非常棒。我掃描了他的ip地址(以及一些鄰居的ip)來看是否可以找到一些服務。雖然沒有骰子…但我確信他認為我會這樣做。
好吧,接下來,821.11。無線網路是一個非常棒的攻擊媒介。我有兩塊Radeon 6990′s的顯示卡在i7平臺上,通過WPA雜湊值咬合在一起。我使用一個馬爾科夫預測字表生成器來為oclHashcat提供預測值。它在8小時內能達到80%的平均破解率。
所以我從bill的地址著手(用各種Alfa wifi卡)。實際上我也是知道Bill的地址的,可能我之前已經通過偵察或社交引擎得到了這些資訊。這可不是什麼祕密。在我成功的捕捉到一個WPA握手之後,我執行了一週的破解器,還是不行。也許對大多數人來說這是有用的,但Bill是個從事資訊保安的傢伙。他的WPA的key很可能大於32個字元長度。
此時你可能會想為什麼我沒有利用java 0-day漏洞對他魚叉式釣魚然後享受我的勝利啤酒。答案很簡單——我知道我的目標。他精於掃描-修復-重複的咒語。我要手上真有一個瀏覽器0-day漏洞,上週就贏了。
在我參觀了Bill的地盤後,帶了一點有用的資訊離開了。他的無線路由器的MAC地址(BSSID):06:A1:51:E3:15:E3。由於我有OUI(MAC的前3個位元組),我知道這是Netgear的路由器。我當然也知道Netgear的路由器有一些問題,但Bill執行的是最新的韌體。可這並不意味著所有的漏洞都在這個韌體中被修復了。想要確定唯一的辦法就是自己買一個Netgear路由器並親自測試它。
要獲取準確的型號也許不可能(反正從遠端是不行)。消費者裝置可能在不同型號間有許多變體,因為參考平臺來自於Soc供應商,比如Broadcom和Atheros。我知道Bill有點簡樸,所以我選了WNDR3400v3——入門級的產品。
在瞭解了一些該裝置的一些弱點後,我做了兩個Metasploit模組。在第一個模組,我用一個CSRF漏洞傳送post請求到UPnP介面並打了個孔來訪問路由器自身的遠端連線服務。這個問題在很多其他裝置上都存在,而且非常值得重視。
如果你能通過CSRF欺騙UPnP請求,你可以將整個網路鬧的天翻地覆。
這是非常關鍵的一點。我開啟了一個單獨的埠。你可以從受害者的瀏覽器上使用Ajax請求為每一個子網中的IP配置NAT入口,從而有效的禁用防火牆。當然對於UPnP的NAT入口數量有很多硬限制,但是大多數裝置都會允許有足夠的入口來為100臺左右的主機對映一些關鍵埠。
為了引誘Bill走到我設的陷阱上,我給他傳送了一封內建連結的郵件。Cobalt Strike有個工具可以拷貝一封已存在的郵件(標題和所有),所以就很簡單了。我需要做的僅僅是修改這個連結。那麼什麼郵件是每個人都會點的呢?哪怕是個從事資訊保安的傢伙?——邀請。
編輯:有些讀者可能會懷疑為什麼Bill會喜歡這個。哪怕簡單的檢查下發件人域或是連結都會發現有問題。一個好的藉口是成功的關鍵所在。至於藉口的背景,我們看這篇文章。在這種情況下,邀請似乎從那個下午他與某個人的會議就發出了。好吧,是還有很多非正式的工作面談,我想這是個確認偏差——他願意相信自己得到了這個工作。
在我傳送這封郵件之前,我需要一個跟蹤負載。預設情況下telnet埠在Netgear路由器上是開啟的,但是服務沒有響應。你必須連線到埠併傳送一個特殊的解鎖碼。事實上存在對這個漏洞的公開利用,但我還是寫了另一個MSF模組,因為我喜歡我的Ruby(以及Metasploit)。
Bill點選了這個連結。在我看到回撥時,我觸發了第二個模組然後通過telnet登陸到了路由器。在我獲得路由器的root訪問許可權後,我立即更改了DNS設定讓其指向一個由我控制的DNS伺服器。
控制DNS是一件非常過癮的事情,它有效的為你提供所需要的中間人攻擊。有很多的MITM攻擊載體,但我還是喜歡Evilgrade——因為其隱祕性。Evilgrade已經問世很多年了,但仍然很棒(有一些必要的修改)。在Bill決定升級notepad++到新版本之前我等了大概一週的時間。當他做時,他送了一個有後門的版本,這也在他的電腦上給我提供了一個Meterpreter shell。我立即發了封帶有截圖和擊鍵記錄的郵件,幾分鐘後他拔去了電腦的插頭。
最後,我得到了6瓶裝的Ruby啤酒的獎勵。我愛我的Ruby!
原文連結: disconnected 翻譯: 伯樂線上 - deathmonkey
相關文章
- 路由器面對黑客入侵谷歌加強OnHub安全路由器黑客谷歌
- 你知道黑客的入侵方式都有哪些嗎?這些你知道幾個?黑客
- linux伺服器如何防止被黑客入侵Linux伺服器黑客
- FBI稱俄羅斯黑客入侵50多國數以十萬計路由器黑客路由器
- 只需傳送一條簡訊 黑客就能成功入侵你的iPhone黑客iPhone
- 怎麼學習黑客入侵黑客
- 網站防黑客入侵IDS防火牆如何挑選網站黑客防火牆
- 網頁“黑手”如何入侵你的Windows系統網頁Windows
- NCSC釋出最常被黑客入侵的密碼列表 你的是否也在其中?黑客密碼
- 黑客入侵後,重新奪回我的網站黑客網站
- 智慧手機是如何入侵你的生活的? —資訊圖
- 利用被入侵的路由器邁入內網路由器內網
- 利用被入侵的路由器獲取網路流量路由器
- 防範ASP網站漏洞及黑客入侵網站黑客
- 黑客協會:入侵一個網站的基本思路黑客網站
- 戰鬥的民族:入侵銀行系統的黑客已被抓黑客
- FBI:入侵索尼的黑客能黑掉90%的企業黑客
- 黑客入侵汽車網路,寶馬、現代均中招黑客
- 曼聯遭黑客入侵,球員資訊恐洩露!黑客
- 網站被黑客入侵了怎麼解決網站黑客
- 網站防黑客入侵的主機系統安全配置方法網站黑客
- 用什麼方法預防黑客對家庭網路的入侵?黑客
- Web應用程式遭黑客入侵的五大徵兆Web黑客
- 黑客是如何遠端攻破你的Android手機的黑客Android
- Twitter安全問題接連不斷黑客再次入侵黑客
- 美軍事基地被黑客入侵UFO資料驚現黑客
- 波多黎各電力局(PREPA)遭遇黑客入侵黑客
- 黑客組織“奇幻熊”入侵國際田聯絡統黑客
- Amplitude Research:大企業中只有33%未被黑客入侵黑客
- 建築工地上的大型機械裝置極容易被黑客入侵黑客
- Error establishing a database connection 的解決方法(發現黑客入侵)ErrorDatabase黑客
- 資料庫安全防護之多個防止被黑客入侵的辦法資料庫黑客
- 給別人做的網站遭遇黑客入侵被篡改怎麼辦網站黑客
- 這些年黑客這般入侵與控制物聯網裝置的黑客
- 黑客通過崩潰銀行的計算機嘗試入侵 SWIFT黑客計算機Swift
- 金山網路兩月被黑4次入侵黑客留名挑釁黑客
- Pwn2Own黑客大賽:Safari瀏覽器被入侵黑客瀏覽器
- 黑客演示用膝上型電腦入侵汽車控制系統黑客