Теперь только для часто читаемых и отмеченныхОфициальный аккаунтОтображать только большое изображение,Рекомендуется "поставить звездой" Сяосян Синань.,В противном случае вы не сможете его увидеть!

0x00 из-за

Я услышал от мастера, что на шлюз безопасности Тяньи можно войти через telnet. Я вернулся, попробовал и обнаружил, что порт telnet не открыт. После серии поисков я наконец получил. шлюз.

0x01 Утечка информации

Модель моего шлюза HG261GS после недолгих поисков обнаружил, что доступ http://192.168.1.1/cgi-bin/baseinfoSet.cgiМожно получить пароль

картина

Затем метод шифрования пароля поиска,Получить пароль от аккаунта проекта,Алгоритм шифрованияАлгоритм шифрования: буквы преобразуются в их коды ASCII + 4, а цифры — непосредственно коды ASCII.

Войдите в систему после

картина

выполнение команды 0x02

Я осмотрелся на заднем плане и не смог найти место, где включен telnet.,После некоторого поиска,Обнаружено, что в этой версии есть проблемы с выполнением команды.,доступhttp://192.168.1.1/cgi-bin/telnet.cgiпроходитьInputCmdПараметры могут напрямую выполнять системные команды.,Затемдоступhttp://192.168.1.1/cgi-bin/telnet_output.logВы можете увидеть исполнениерезультат,проходитьjsвнизtelnet.jsВы также можете посетитьhttp://192.168.1.1/cgi-bin/submit.cgiбыть казненнымрезультат

картина

Проверьте эффект

картина

результат

картина

Таким образом я нашел точку rce. Первой идеей было отбросить оболочку, но позже я обнаружил, что большинства команд там нет. Это был BusyBox. Я планировал использовать awk для отскока оболочки, но столкнулся. проблемы с кодировкой. Я попробовал много методов и не смог их записать. Вот что я хочу сделать. Просто откройте telnet, чтобы войти в систему, и много ищите, как войти в систему.

Как только крышка оборудования будет снята, вы можете сразу въехать.,я тоже этого хочу,Но силы не позволяют
Сначала экспортируйте исходный файл конфигурации.,В Управление-Управление устройствами,Вставьте USB-накопитель,Просто резервная копия конфигурации

Кажется неуместным экспортировать Конфигурацию сюда.,Если он сломается, никто больше не сможет получить доступ к Интернету.,не знаю как снять крышку,Тогда нам остается только продолжать исследовать,Измените свое мышление,Так как есть файлы конфигурации,Тогда должна быть функция для чтения файла конфигурации, чтобы открыть его.,прямойfindпоисквсеcgiдокументInputCmd=find%20/%20-name%20"*cgi*",нашел человека по имениtelnetenable.cgiиздокумент,Разве это не то, что позволяет использовать telnet?

картина

Прочитайте содержимое напрямую и узнайте, как его открыть.

картина

Обнаружено, что все еще не удается подключиться,После расследования,шлюз Пожарная защита включенастенафильтр,Заблокировано подключение к порту 23,Найдите соответствующую цепочку iptables и номер строки правила здесь.,Удалить напрямую,Например, если вы хотите удалить третье правило цепочки INPUT,Может быть выполненоiptables -D INPUT 3,Затем добавьте порт 23, чтобы он мог пройти,Эффект следующий

картина

0x03 Добавить пользователя

Успешно вошел на страницу входа и попытался войти в систему, используя пароль инженерной учетной записи, который я прочитал, и пароль по умолчанию, указанный на обратной стороне Гуанмао, но я также не смог войти в систему.

картина

Добавьте тест пользователя Linux/пароль@123 прямо сюда.

echo "test:advwtv/9yU5yQ:0:0:User_like_root:/root:/bin/bash" >>/etc/passwd

Вход успешен~

картина

Наконец, не забудьте отключить telnet,Lightcat как экспорт,Будет публичное обращение,После его включения общедоступной сетью можно пользоваться и удаленно.Авторизоваться Зайди и закрой командуkillall telnetd >/dev/null 2>&1

Источник статьи: Сообщество Пророка (7tem7)
Исходный адрес: https://xz.aliyun.com/t/9046.