作者:
黃小昏
·
2013/10/31 12:13
0x00 環境分析
近期爆出的D-link的後門讓大家人心惶惶。。還好我不用D-link,這樣就完事了?使用者有能力補上漏洞嗎,廠商能及時通知使用者防止中槍嗎?很顯然,誰都沒有做到。
首先只要一公佈xxx路由存在xxx漏洞,這就給自己的公司抹黑,首先使用者不會升級(能正常上網誰這麼無聊去更新路由器的韌體,丁丁很大?),又給公司新增了公關壓力,這擱給誰誰都不會去做。
所以我們總結成幾個點:
路由器出現漏洞後,使用者不會補!廠商不想補!使用者懶得補!
0x01 漏洞從哪裡來
路由器的漏洞實在是很少。大部分都是遠端命令執行和後門,xss等等,但是大牛們手中都是遠端命令執行,基本覆蓋X科,X為等機房常用的路油器,只需要執行幾個poc,啪的一下,許可權就到手了,這種場面只有在大牛的APT場面才能看到。
但是對於那些普通的屌絲黑闊來說,我對APT不感興趣,我更喜歡那些妹子的路由器。
於是乎,黑闊到了電腦廣場,來到路由器批發部,拿出50大洋給老闆,告訴老闆,我想試試你們熱賣的路由器的效能。老闆看在軟妹幣的面子上,拿了二十來款路由器給黑闊看,黑闊看到路由器就笑了,露出大金牙,操起幾款wvs就是狂掃,然後按照型號仔細記錄漏洞。
就這樣,這個灰闊一天花了不到200軟妹幣,但是記錄了國內主流路由器的各種臭蟲(→*→,真是個淫蕩的傢伙)
0x02 邪惡力量的萌發
那個黑闊搞完掃描後,滿足的關上筆記本,路由器老闆還在心中暗爽,又賺了一個傻逼的錢。。。但他不知道這才是遊戲的開始。
奔襲了一天,屌絲灰闊在路邊的一個炒粉攤上坐了下來,看著周邊搬磚的民工,心中總有一種親切感,望著工頭開著寶馬遠去的身影,黑闊決心繼續努力,怒天一吼:老闆,兩份炒粉加肉!!!
吃飽了以後,灰闊去到一個桌遊的店裡,選了一個安靜的角落,為神馬去桌遊。。。他告訴我,桌遊75軟妹幣6個小時,飲料無限續杯,重要的是有20M的wifi,而且那些土豪都是陪妹子玩桌遊,都木有人跟他搶網速,空氣又比網咖好幾十倍,擼程式碼沒思路的時候還可以看看旁邊的漂亮妹子(→*→,哎。我只想說,下次請帶上我!!!)
黑闊開啟電腦,又開始擼起拿油膩的鍵盤,開啟幾個wvs的報告,挑出其中的命令執行,csrf,xss,還有越權訪問等漏洞進行分類,並標記是否可控,還把每個功能post,get的包進行整理。
就這樣。。。一個通用的路由漏洞庫就完成的差不多了。。。
黑闊這些漏洞放到了自己的xss的平臺上,規劃了幾個規則。透過title來確定路由器的牌子,然後再對照型號。。。進行各種姿勢的插,可控的CSRF就直接插到路由裡,如果不可控就就用預設密碼插進去,他告訴我...其實直接插進去的機率很小,但是透過預設密碼的CSRF插進去的機率很大。。。(這裡說明路由安全意識要提高,別以為你在內網就插不了。。。預設密碼沒改照樣換個姿勢插你)
針對路由器滲透有很多種的,但平常灰闊很關心的還是DMZ和DNS。
比如說一個透過CSRF讓路由器的DMZ功能開啟,把目標主機暴露於公網。。。。
0x03 開槍不僅僅只要子彈,還需要一把槍
上次去電腦廣場花了百來大洋,讓黑闊的生活有點吃緊,這幾天吧他的xss平臺搬到了日本一個比較高質量的vps...他怕後邊扛不住大流量。。(哎,大牛果然有先見之明)
這周黑闊省吃儉用,不去吃炒粉了。每天幾個大饅頭送水,終於攢下了一筆錢,在美帝租了一臺伺服器,花了一個晚上把伺服器裝成了DNS伺服器,黑闊露出他的大金牙,呵呵的睡著了。
0x04 黎明的前期永遠是最寂靜的
這幾天黑闊開始玩倒時差,白天睡覺,晚上開始打遊戲,或者出去和基友吃燒烤,把滲透時間都換到了晚上。
每天上網的時候,都去尋找大網站,尋找使用者和網站可以互動和提交資料的地方,並記錄下來。深夜的時候就開始各種bypass ,然後構造蠕蟲,蠕蟲裡融入了黑闊的xss平臺,在傳播的時候不忘用力的給路由器來上一發!!!
深夜的時候,搞運維的還在夢鄉,搞開發的程式猿還在妹子床上。。。所以黑闊弄好蠕蟲後先不觸發,等到使用者上線率比較高時,(例如早上8點到10點半,11點半到中午1點,晚上8點到10點半),就觸發前幾天找到的儲存型的xss。
這幾天的白天黑闊也沒有停下來, 四處尋找各種廣告,很多人質疑他沒有能力找到這麼多的流量。黑闊只是呵呵一笑,默默地把單子接下。
0x05 忽如一夜春風來,千樹萬樹菊花開
黑闊為了保證自己測試的可效性,直接在午夜十二點就開始部署平臺了,把xss平臺上的規則換成全dns劫持,主要是可控的CSRF改路由器的DNS,不可控的直接用預設密碼測試。。。不同的路由器的牌子和型號對應著不同的規則。
就這樣,隨著第一個看到蠕蟲的人,轉發了同域的蠕蟲,然後感染的人呈幾個倍數的增長,而中槍人的路由器都被黑闊改成了他在美帝租的那臺DNS伺服器上,伺服器又指向廣告地址。。。。
早上10點,看著廣告的PV呈幾何倍數增長,黑闊又露出了他的大金牙 :D
一個月後,黑闊開著他的超跑路過他曾經的工地,望著工頭工友那熟悉的背影呵呵一笑拉風地開走了,因為黑闊的蠕蟲不像白帽子裝逼一樣,一定要彈個視窗告訴別人我把你插了。而是在後臺繼續傳播,這樣管理員很難發現(有監控平臺除外)。。。
0x06 總結
很多時候,路由器存在著大量的漏洞,特別是在已知目標裝置下進行有計劃的APT活動,例如已知目標主機是在內網,而且看見路由器是xx-link的牌子和型號,黑闊直接利用xss把路由器DMZ開啟,目標主機就直接暴露在外網了。
這些說明了神馬,我們列下幾點:
1.買到的路由器一定要修改預設密碼,還有預設的路由地址(比如192.168.1.1改成192.168.30.1)這樣能很大程度防止CSRF。
2.不要瀏覽不良網站,即使瀏覽那也就算了,但一定要定期檢查資料有沒有被惡意修改,比如說xss蠕蟲。
3.電信也為路由器做了一些攔截,只要是當電信使用者的DNS指向國外伺服器時,有些地區的電信就會彈窗提示dns被修改。。。這裡說的只是一些地區,其他地方我不知道,網通和聯通截止到寫稿時貌似木有這種功能。
4.儘量少瀏覽那些OOXX的網站,你懂的,因為他們賺的不只是流量錢。。。儘管還是忍不住去看的話儘量不要用IE去看。。有條件就直接把動作片下載吧。或者在虛擬機器裡面看。
5. 準備雙十一了,淘寶各種活動,裝個殺軟吧,估計黑闊們都在擴張伺服器,還害怕流量過大。。。所以雙十一附近要多加防範!!!
特此宣告:此故事純屬虛構,請勿用於非法用途,所造成的後果與本文作者無關。大牛莫噴
本文章來源於烏雲知識庫,此映象為了方便大家學習研究,文章版權歸烏雲知識庫!