0x00 環境分析
近期爆出的D-link的後門讓大家人心惶惶。。還好我不用D-link,這樣就完事了?用戶有能力補上漏洞嗎,廠商能及時通知用戶防止中槍嗎?很顯然,誰都沒有做到。
首先只要一公布xxx路由存在xxx漏洞,這就給自己的公司抹黑,首先用戶不會升級(能正常上網誰這麼無聊去更新路由器的固件,丁丁很大?),又給公司添加了公關壓力,這擱給誰誰都不會去做。
所以我們總結成幾個點:
路由器出現漏洞後,用戶不會補!廠商不想補!用戶懶得補!
0x01 漏洞從哪裡來
路由器的漏洞實在是很少。大部分都是遠程命令執行和後門,xss等等,但是大牛們手中都是遠程命令執行,基本覆蓋X科,X為等機房常用的路油器,只需要執行幾個poc,啪的一下,權限就到手了,這種場面只有在大牛的APT場面才能看到。
但是對於那些普通的屌絲黑闊來說,我對APT不感興趣,我更喜歡那些妹子的路由器。
於是乎,黑闊到了電腦廣場,來到路由器批發部,拿出50大洋給老板,告訴老板,我想試試你們熱賣的路由器的性能。老板看在軟妹幣的面子上,拿了二十來款路由器給黑闊看,黑闊看到路由器就笑了,露出大金牙,操起幾款wvs就是狂掃,然後按照型號仔細記錄漏洞。
就這樣,這個灰闊一天花了不到200軟妹幣,但是記錄了國內主流路由器的各種臭蟲(→*→,真是個淫蕩的家伙)
0x02 邪惡力量的萌發
那個黑闊搞完掃描後,滿足的關上筆記本,路由器老板還在心中暗爽,又賺了一個傻逼的錢。。。但他不知道這才是游戲的開始。
奔襲了一天,屌絲灰闊在路邊的一個炒粉攤上坐了下來,看著周邊搬磚的民工,心中總有一種親切感,望著工頭開著寶馬遠去的身影,黑闊決心繼續努力,怒天一吼:老板,兩份炒粉加肉!!!
吃飽了以後,灰闊去到一個桌游的店裡,選了一個安靜的角落,為神馬去桌游。。。他告訴我,桌游75軟妹幣6個小時,飲料無限續杯,重要的是有20M的wifi,而且那些土豪都是陪妹子玩桌游,都木有人跟他搶網速,空氣又比網吧好幾十倍,撸代碼沒思路的時候還可以看看旁邊的漂亮妹子(→*→,哎。我只想說,下次請帶上我!!!)
黑闊打開電腦,又開始撸起拿油膩的鍵盤,打開幾個wvs的報告,挑出其中的命令執行,csrf,xss,還有越權訪問等漏洞進行分類,並標記是否可控,還把每個功能post,get的包進行整理。
就這樣。。。一個通用的路由漏洞庫就完成的差不多了。。。
黑闊這些漏洞放到了自己的xss的平台上,規劃了幾個規則。通過title來確定路由器的牌子,然後再對照型號。。。進行各種姿勢的插,可控的CSRF就直接插到路由裡,如果不可控就就用默認密碼插進去,他告訴我...其實直接插進去的幾率很小,但是通過默認密碼的CSRF插進去的幾率很大。。。(這裡說明路由安全意識要提高,別以為你在內網就插不了。。。默認密碼沒改照樣換個姿勢插你)
針對路由器滲透有很多種的,但平常灰闊很關心的還是DMZ和DNS。
比如說一個通過CSRF讓路由器的DMZ功能打開,把目標主機暴露於公網。。。。
0x03 開槍不僅僅只要子彈,還需要一把槍
上次去電腦廣場花了百來大洋,讓黑闊的生活有點吃緊,這幾天吧他的xss平台搬到了日本一個比較高質量的vps...他怕後邊扛不住大流量。。(哎,大牛果然有先見之明)
這周黑闊省吃儉用,不去吃炒粉了。每天幾個大饅頭送水,終於攢下了一筆錢,在美帝租了一台服務器,花了一個晚上把服務器裝成了DNS服務器,黑闊露出他的大金牙,呵呵的睡著了。
0x04 黎明的前期永遠是最寂靜的
這幾天黑闊開始玩倒時差,白天睡覺,晚上開始打游戲,或者出去和基友吃燒烤,把滲透時間都換到了晚上。
每天上網的時候,都去尋找大網站,尋找用戶和網站可以交互和提交數據的地方,並記錄下來。深夜的時候就開始各種bypass ,然後構造蠕蟲,蠕蟲裡融入了黑闊的xss平台,在傳播的時候不忘用力的給路由器來上一發!!!
深夜的時候,搞運維的還在夢鄉,搞開發的程序猿還在妹子床上。。。所以黑闊弄好蠕蟲後先不觸發,等到用戶上線率比較高時,(例如早上8點到10點半,11點半到中午1點,晚上8點到10點半),就觸發前幾天找到的儲存型的xss。
這幾天的白天黑闊也沒有停下來, 四處尋找各種廣告,很多人質疑他沒有能力找到這麼多的流量。黑闊只是呵呵一笑,默默地把單子接下。
0x05 忽如一夜春風來,千樹萬樹菊花開
黑闊為了保證自己測試的可效性,直接在午夜十二點就開始部署平台了,把xss平台上的規則換成全dns劫持,主要是可控的CSRF改路由器的DNS,不可控的直接用默認密碼測試。。。不同的路由器的牌子和型號對應著不同的規則。
就這樣,隨著第一個看到蠕蟲的人,轉發了同域的蠕蟲,然後感染的人呈幾個倍數的增長,而中槍人的路由器都被黑闊改成了他在美帝租的那台DNS服務器上,服務器又指向廣告地址。。。。
早上10點,看著廣告的PV呈幾何倍數增長,黑闊又露出了他的大金牙 :D
一個月後,黑闊開著他的超跑路過他曾經的工地,望著工頭工友那熟悉的背影呵呵一笑拉風地開走了,因為黑闊的蠕蟲不像白帽子裝逼一樣,一定要彈個窗口告訴別人我把你插了。而是在後台繼續傳播,這樣管理員很難發現(有監控平台除外)。。。