看我如何黑掉你的路由器

标签: 网络安全 Hack network security router 入侵 | 发表时间:2014-05-26 11:53 | 作者:LQ
出处:http://www.geekfan.net

21840d75d420688f3d5c91e46035f681

前段时间我一个在信息安全领域的朋友让我干一件很奇怪的事情.他让我入侵他.为了保持匿名,就让我们叫他比尔吧.无辜的人名和地名也都已经匿名.供应商的名字依然保留以便追究责任.

入侵大公司很容易.他们拥有的信息资产跨越全球,并且不太注重对各种各样的防护技术的投入.跟踪所有资料实在有难度.它要求对组织内所有资产有禅宗般每天严格遵守”扫描-打补丁-重复”的原则,不能有一点闪失 .

针对个人的入侵则是很恼人的.黑帽子确实在关于信息安全上有不对称优势.有时候只要有一个漏洞就足够了.但是针对个人的攻击面相对于一个公司而言是相当小的.此外大多数人信任大提供商和他们的信息也相信云提供商会有有效措施来保护人们.

我要从最基本的侦查工作开始.我比较喜欢Maltego.Meltego就像是checkusernames.com, knowem.com, pipl search这些网络搜索工具或者其他的在线搜索工具.还有经典的google+,Facebook和Linkedin.Meltego可以在你做这些事情的时候帮助你在Facebook伪造身份.一个好的伪身份可以迷惑你的目标.在你利用社会化搜索引擎提取信息的时候它可以帮到你的.

关于线上资源,密码重置问题往往是最容易搞定的.我见到有的邮箱账号的重置问题就是目标人的人人网个人信息.我敢打包票大多数人从来没意识到这其中的联系.因为可能他们是5年前设置的这些密码重置问题.当然了这些东西对于我当前的情况是不适用的.我的目标曾经是个信息安全专家而且而且知道我要来.

这场战斗是需要点时间的.首先我要检查一下他有没有在家庭网络连接什么东西.他可能在不知道的情况下已经连上了什么东西.很多应用和设备开启了UPnP服务,但是只有用户级别的防火墙而且没有明确声明,这就给了我可乘之机.有时候攻击成功所需要的仅仅是一个网络存储器或者是媒体服务器,一个后门即可. 要找到他家的IP地址,我需要一个skype解析器,比如resolveme.org. 真的非常好用.我扫描了他的IP和他邻近的几个IP,看看能不能发现什么设备.当然一无所获…他肯定知道我会这么做的.

下一步,无线协议.无线网络是一个非常不错的攻击媒介.我用两台设备都是i7CPU 瑞昱6900用来破解WPA散列.我用马尔科夫的单词预测生成器作为oclHashcat的散列种子.它在八小时内平均有百分之八十的破解率.

于是我立即着手把比尔的地址分配给几个无线网卡.当前情况下我实际上是知道比尔的地址的,我其实也可以从通过侦查或者是社会工程学得到.严格意义上这个不算是秘密.成功捕获到WPA握手我就开始运行破解器,一个星期之后仍然一无所获.这个方法对于大多数人是有效的,但是比尔是一个信息安全专家.他的WPA密码长度可能大于32个字符.

到了这时候你或许会奇怪为什么我不直接用一个未公开漏洞一举拿下他呢.答案很简单-我了解我的攻击目标.他深得软件安全的精髓:”扫描-打补丁-重复”.甚至都没装Java.但是如果我确实手里有一个浏览器的未公开漏洞.我应该会在最后一个星期用的来赢得这个比赛.

我去了一趟比尔家里之后我确实得到了一些有用的信息,我得到了他路由器的无线MAC地址:06:A1:51:E3:15:E3.因为我有了OUI(组织唯一标识符).我可以知道这是一个网件公司的路由器,他们家的路由器之前确实是有一些漏洞的,但是比尔的那个跑的是最新的固件.不过最新的固件也并不意味着所有的漏洞都打了补丁了.唯一的办法就是买一个一样的网件路由器回来我自己测试.

知道具体买哪种型号不太可能(至少远程不行).消费者手中不同型号的设备之间有很大差异,比如片上系统来自Broadcom还是Atheros.我知道比尔还是比较节俭的.所以我买的是入门级设备WNDR3400v3.

看了一下之前这个设备有的一些漏洞之后我写了两个测试模块,第一个模块里用的是 CSRF bug to POST to the UPnP interface 而且还开了一个远程登陆路由器的后门.不少设备都有这个漏洞,值得尝试.

如果你能通过CSRF欺骗UPnP请求,那么你就能把整个网络翻个底朝天.

83ec526f17bbdabef955fd71b209e4be

还有更重要的一点,我想要做的是打开一个端口. 然后可以通过被攻击者的浏览器用Ajax请求配置子网里面每一个IP的NAT设置,迅速禁用防火墙.当然,UPnP NAT条目的数量是有限制的,但是大多数设备还是有足够的条目允许给大约一百个主机设置关键端口的.

为了引诱比尔掉入我的陷阱,我给他发送了一封嵌入链接的电子邮件. Cobalt Strike 有一个工具可以拷贝已有的电子邮件(包括邮件头部和正文),基本上是整套的工具.所有你需要做的只是改一下链接.那么什么邮件是所有人即使是一个信息安全专家都会点击的呢? Linkedin 邀请.

编者的话:有些读者可能会有所怀疑,为什比尔会栽在这上面呢.即使是粗略的检查一下发送者的主机名和链接就彻底暴露了.这场角逐的关键点在于托词.关于托词的背景知识请参考 这篇文章. 那天下午他刚刚见过本案例中的邀请发起人.而且这个会面是一个非正式的工作面试.我假定了这么一个情况:他想确认他已经得到这个工作.

在我发送这封邮件之前我需要跟踪我的攻击效果.默认情况下网件路由器的远程登录接口会打开但是服务是无应答的.你必须连接上这个端口并且发送特定的解锁密钥.这个确实已经有了公开密钥可用,但是我实在太喜欢Ruby了所以我还是自己写了另外一个 MSF模块,

比尔点击了这个链接,我一看到应答就立即启动了第二个模块并且远程登录了路由器,获得最高权限之后我就立即将路由器的DNS设置成了我自己控制的一个DNS服务器.

控制DNS服务器是非常有用的.DNS可以快速提供”可定制的”"中间人”.众多的中间人攻击工具里面我最喜欢的还是可藏匿行踪的 Evilgrade .Evilgrade已经多年无更新了但是依然很好用(一些修改是必须的了).一个星期之后比尔决定升级他的notepad++.他实际上获得的notepad++新版本是有一个后门的,一个Meterpreter shell就会自动安装.我马上给他发了一封邮件,里面是一些截图和击键记录.几分钟后他断开了他的电脑.

作为对我所取得成就的奖励:六瓶装的啤酒,真是爱死Ruby了.

看我如何黑掉你的路由器,首发于 极客范 - GeekFan.net

相关 [路由器] 推荐:

OpenWrt路由器开发

- - SegmentFault 最新的文章
第一次尝试开发路由器,发现并不是想象中那么难,和普通嵌入式开发一样,也是一块ARM板刷上Linux系统. OpenWrt有很多好用的软件,附带流量监测. OpenWrt主要开发语言为Python、Lua、Shell,还可以做深入研究写ipk软件包. 写了几个脚本,主要实现了openwrt下面GPIO控制、系统信息获取、wifi扫描器、定时发送邮件系统报警等功能,下面会介绍.

软件路由器破速度记录

- flypen - 弯曲评论
韩国的研究人员们建立了一个由端台式电脑组件组成的网络路由器,可以以创记录的速度传输数据. 来自韩国高等科技研究院的团队创造的这款路由器,传输数据的 速度是每秒40千兆比特(gigabits ),比类似装置的前纪录快出许多倍. 研究人员们使用的技术可能会带来很多方面的突破,包括在高性能路由器中使用廉价的芯片——如英特尔和Nvidia制造 的——以代替定制的硬件.

有线+无线路由器设置

- - 博客园_iTech's Blog
有线路由器已经连接外网,新购买了无线路由器来扩充网络接口,且支持无线. 路由器的默认地址有可能为192.168.0.1 或者 192.168.1.1,用户名和密码也一般为admin:admin或admin+空. 以下假设有线路由器的IP为192.168.0.1. 有线路由器LAN口出来的网线连接无线路由器的WAN口,计算机再通过无线网络配置进行上网,无线路由器起到路由器的功能.

交换机和路由器的区别

- - CSDN博客互联网推荐文章
       交换机,又叫做交换式集线器,可以简单的理解为把一些电脑连接在一起组成一个局域网. 而路由器和交换机的区别很明显,它的作用在于连接不同的网段并且找到网络中数据传输最合适的路径,但二者也并不是完全无联系的. 下面来为大家解释交换机和路由器的区别. 路由器和交换机的区别一:交换机是一根网线上网,但是大家上网是分别拨号,各自使用自己的宽带,大家上网没有影响.

无线路由器选购指南

- -
请点击蓝色链接进行购买以支持本站. 推荐京东购买电子产品,因为京东保修很好且一定概率触发八折退款. 几台手机,平板,智能电视,台式机,笔记本,NAS,家用监控等十几台网络设备. 家里几个人看在线视频的时候不会卡. 高端路由要有MIMO和QOS的功能. 你的每个设备的数据都可以看作一辆汽车. 2.4G的路由器好像一个乡间小路那么窄,汽车一多,速度必然变慢.

无线Wi-Fi路由器的信道选择

- CasparZ - Solrex Shuffling
早上起来看到一个朋友抱怨 Kindle 无法连接无线路由器,我有感而发,写了下面这篇微博:. 很多人从来没有注意过路由器的 wifi 频道,以为只要笔记本电脑能连上,无线路由就没问题. 但有个问题是很多移动设备不能支持全频道,其中即有功耗考虑,也有销售目标国家考虑. 因此有条件时最好检测一下信噪比,选择一个最适合自己的频道,而不是让路由器启动时自己去选择.

科学家研制出了首块单光子路由器

- 巍 - cnBeta.COM
据美国物理学家组织网8月22日报道,瑞典和西班牙科学家联合研制出首块在单光子层面工作的路由器,其由一个“人造原子”制成,他们还成功演示了内嵌于一 条传输线中的该路由器如何将单个光子从一个输入端口运送至两个输出端口中的一个. 科学家们表示,这种单光子路由器未来能作为量子信息网络中的量子节点,为 其提供基本的数据处理和路由.

"路由器默认帐号和密码大全

- wan - Cao Liu
用户名:admin 密码:admin. 用户名:admin 密码:admin. 用户名:guest 密码:guest. 用户名:admin 密码:admin. 用户名:admin 密码:admin. 用户名:SZIM 密码:SZIM. 用户名:admin 密码:epicrouter. 用户名:anonymous 密码:12345.

闲置小U盘变身最强大路由器

- Magic - 草榴社區
一些鸡肋般的小容量U盘,用起来嫌容量太少,丢了好像又觉得太可惜. 不过现在将它进行一番小改造后,配合我们的电脑,就能得到一台强大的路由器,不仅省了买路由的钱,而且这台路由器在市面上基本买不到!DD-WRT简介. 我们平常使用的每一台路由器设备,都有一个自己的操作系统OS,用于对路由设备进行各种功能设置和管理.

电信ADSL宽带对路由器人为限速

- anger - php.js.cn
    最近住朋友家,他们家是电信4M ADSL,然后接的TP-Link的路由器. 白天上网都没问题,一到高峰期的时候就慢的要死,开始还以为是路由器的问题.     今天对这个情况进行了仔细的分析. 网速慢的情况只是连接路由器后才发生,如果用电脑直接连modem拨号,就正常. 于是我在不用路由器的情况下,记录了到61.139.2.69的ping值,只有2ms.