0x00 環(huán)境分析
近期爆出的D-link的后門讓大家人心惶惶。�。還好我不用D-link��,這樣就完事了?用戶有能力補(bǔ)上漏洞嗎��,廠商能及時通知用戶防止中槍嗎?很顯然��,誰都沒有做到��。
首先只要一公布xxx路由存在xxx漏洞��,這就給自己的公司抹黑�,首先用戶不會升級(能正常上網(wǎng)誰這么無聊去更新路由器的固件��,丁丁很大?)���,又給公司添加了公關(guān)壓力�����,這擱給誰誰都不會去做。
所以我們總結(jié)成幾個點(diǎn):
路由器出現(xiàn)漏洞后,用戶不會補(bǔ)!廠商不想補(bǔ)!用戶懶得補(bǔ)!
0x01 漏洞從哪里來
路由器的漏洞實(shí)在是很少�����。大部分都是遠(yuǎn)程命令執(zhí)行和后門��,xss等等���,但是大牛們手中都是遠(yuǎn)程命令執(zhí)行���,基本覆蓋X科��,X為等機(jī)房常用的路油器�,只需要執(zhí)行幾個poc,啪的一下�����,權(quán)限就到手了�,這種場面只有在大牛的APT場面才能看到。
但是對于那些普通的屌絲黑闊來說����,我對APT不感興趣�����,我更喜歡那些妹子的路由器。
于是乎����,黑闊到了電腦廣場�����,來到路由器批發(fā)部,拿出50大洋給老板,告訴老板,我想試試你們熱賣的路由器的性能���。老板看在軟妹幣的面子上,拿了二十來款路由器給黑闊看,黑闊看到路由器就笑了���,露出大金牙,操起幾款wvs就是狂掃�,然后按照型號仔細(xì)記錄漏洞�。
就這樣,這個灰闊一天花了不到200軟妹幣,但是記錄了國內(nèi)主流路由器的各種臭蟲(→*→�,真是個淫蕩的家伙)
0x02 邪惡力量的萌發(fā)
那個黑闊搞完掃描后��,滿足的關(guān)上筆記本,路由器老板還在心中暗爽,又賺了一個傻逼的錢。���。�����。但他不知道這才是游戲的開始���。
奔襲了一天�,屌絲灰闊在路邊的一個炒粉攤上坐了下來��,看著周邊搬磚的民工�����,心中總有一種親切感,望著工頭開著寶馬遠(yuǎn)去的身影��,黑闊決心繼續(xù)努力���,怒天一吼:老板���,兩份炒粉加肉!!!
吃飽了以后�,灰闊去到一個桌游的店里,選了一個安靜的角落�����,為神馬去桌游�。。����。他告訴我�����,桌游75軟妹幣6個小時�����,飲料無限續(xù)杯�,重要的是有20M的wifi��,而且那些土豪都是陪妹子玩桌游�,都木有人跟他搶網(wǎng)速����,空氣又比網(wǎng)吧好幾十倍,擼代碼沒思路的時候還可以看看旁邊的漂亮妹子(→*→,哎。我只想說,下次請帶上我!!!)
黑闊打開電腦�����,又開始擼起拿油膩的鍵盤�,打開幾個wvs的報告,挑出其中的命令執(zhí)行��,csrf���,xss����,還有越權(quán)訪問等漏洞進(jìn)行分類,并標(biāo)記是否可控��,還把每個功能post,get的包進(jìn)行整理�。
就這樣。����。���。一個通用的路由漏洞庫就完成的差不多了��。。。
黑闊這些漏洞放到了自己的xss的平臺上,規(guī)劃了幾個規(guī)則���。通過title來確定路由器的牌子,然后再對照型號。�。����。進(jìn)行各種姿勢的插��,可控的CSRF就直接插到路由里���,如果不可控就就用默認(rèn)密碼插進(jìn)去��,他告訴我...其實(shí)直接插進(jìn)去的幾率很小,但是通過默認(rèn)密碼的CSRF插進(jìn)去的幾率很大��。����。。(這里說明路由安全意識要提高���,別以為你在內(nèi)網(wǎng)就插不了。�����。��。默認(rèn)密碼沒改照樣換個姿勢插你)
針對路由器滲透有很多種的�,但平?�;议熀荜P(guān)心的還是DMZ和DNS�。
比如說一個通過CSRF讓路由器的DMZ功能打開���,把目標(biāo)主機(jī)暴露于公網(wǎng)����。���。����。。
0x03 開槍不僅僅只要子彈,還需要一把槍
上次去電腦廣場花了百來大洋�,讓黑闊的生活有點(diǎn)吃緊��,這幾天吧他的xss平臺搬到了日本一個比較高質(zhì)量的vps...他怕后邊扛不住大流量。。(哎����,大牛果然有先見之明)
這周黑闊省吃儉用��,不去吃炒粉了。每天幾個大饅頭送水���,終于攢下了一筆錢,在美帝租了一臺服務(wù)器�����,花了一個晚上把服務(wù)器裝成了DNS服務(wù)器�,黑闊露出他的大金牙,呵呵的睡著了��。
0x04 黎明的前期永遠(yuǎn)是最寂靜的
這幾天黑闊開始玩倒時差���,白天睡覺�,晚上開始打游戲,或者出去和基友吃燒烤���,把滲透時間都換到了晚上。
每天上網(wǎng)的時候�����,都去尋找大網(wǎng)站�����,尋找用戶和網(wǎng)站可以交互和提交數(shù)據(jù)的地方�����,并記錄下來。深夜的時候就開始各種bypass ,然后構(gòu)造蠕蟲�����,蠕蟲里融入了黑闊的xss平臺����,在傳播的時候不忘用力的給路由器來上一發(fā)!!!
深夜的時候,搞運(yùn)維的還在夢鄉(xiāng)�����,搞開發(fā)的程序猿還在妹子床上��。�����。。所以黑闊弄好蠕蟲后先不觸發(fā)���,等到用戶上線率比較高時,(例如早上8點(diǎn)到10點(diǎn)半���,11點(diǎn)半到中午1點(diǎn)��,晚上8點(diǎn)到10點(diǎn)半)����,就觸發(fā)前幾天找到的儲存型的xss�����。
這幾天的白天黑闊也沒有停下來�����, 四處尋找各種廣告,很多人質(zhì)疑他沒有能力找到這么多的流量�。黑闊只是呵呵一笑�,默默地把單子接下����。
0x05 忽如一夜春風(fēng)來,千樹萬樹菊花開
黑闊為了保證自己測試的可效性,直接在午夜十二點(diǎn)就開始部署平臺了���,把xss平臺上的規(guī)則換成全dns劫持,主要是可控的CSRF改路由器的DNS,不可控的直接用默認(rèn)密碼測試�����。�����。�����。不同的路由器的牌子和型號對應(yīng)著不同的規(guī)則���。
就這樣��,隨著第一個看到蠕蟲的人�,轉(zhuǎn)發(fā)了同域的蠕蟲�����,然后感染的人呈幾個倍數(shù)的增長�����,而中槍人的路由器都被黑闊改成了他在美帝租的那臺DNS服務(wù)器上��,服務(wù)器又指向廣告地址。。。�����。
早上10點(diǎn)�,看著廣告的PV呈幾何倍數(shù)增長,黑闊又露出了他的大金牙 :D
一個月后,黑闊開著他的超跑路過他曾經(jīng)的工地��,望著工頭工友那熟悉的背影呵呵一笑拉風(fēng)地開走了��,因?yàn)楹陂煹娜湎x不像白帽子裝逼一樣����,一定要彈個窗口告訴別人我把你插了����。而是在后臺繼續(xù)傳播,這樣管理員很難發(fā)現(xiàn)(有監(jiān)控平臺除外)����。。�。
