路由CSRF的危害

 　　0x00 環境分析

　　近期爆出的D-link的後門讓大家人心惶惶。。還好我不用D-link，這樣就完事了?用戶有能力補上漏洞嗎，廠商能及時通知用戶防止中槍嗎?很顯然，誰都沒有做到。

　　首先只要一公布xxx路由存在xxx漏洞，這就給自己的公司抹黑，首先用戶不會升級(能正常上網誰這麼無聊去更新路由器的固件，丁丁很大?)，又給公司添加了公關壓力，這擱給誰誰都不會去做。

　　所以我們總結成幾個點:

　　路由器出現漏洞後，用戶不會補!廠商不想補!用戶懶得補!

　　0x01 漏洞從哪裡來

　　路由器的漏洞實在是很少。大部分都是遠程命令執行和後門，xss等等，但是大牛們手中都是遠程命令執行，基本覆蓋X科，X為等機房常用的路油器，只需要執行幾個poc，啪的一下，權限就到手了，這種場面只有在大牛的APT場面才能看到。

　　但是對於那些普通的屌絲黑闊來說，我對APT不感興趣，我更喜歡那些妹子的路由器。

　　於是乎，黑闊到了電腦廣場，來到路由器批發部，拿出50大洋給老板，告訴老板，我想試試你們熱賣的路由器的性能。老板看在軟妹幣的面子上，拿了二十來款路由器給黑闊看，黑闊看到路由器就笑了，露出大金牙，操起幾款wvs就是狂掃，然後按照型號仔細記錄漏洞。

　　就這樣，這個灰闊一天花了不到200軟妹幣，但是記錄了國內主流路由器的各種臭蟲(→*→，真是個淫蕩的家伙)

　　0x02 邪惡力量的萌發

　　那個黑闊搞完掃描後，滿足的關上筆記本，路由器老板還在心中暗爽，又賺了一個傻逼的錢。。。但他不知道這才是游戲的開始。

　　奔襲了一天，屌絲灰闊在路邊的一個炒粉攤上坐了下來，看著周邊搬磚的民工，心中總有一種親切感，望著工頭開著寶馬遠去的身影，黑闊決心繼續努力，怒天一吼:老板，兩份炒粉加肉!!!

　　吃飽了以後，灰闊去到一個桌游的店裡，選了一個安靜的角落，為神馬去桌游。。。他告訴我，桌游75軟妹幣6個小時，飲料無限續杯，重要的是有20M的wifi，而且那些土豪都是陪妹子玩桌游，都木有人跟他搶網速，空氣又比網吧好幾十倍，撸代碼沒思路的時候還可以看看旁邊的漂亮妹子(→*→，哎。我只想說，下次請帶上我!!!)

　　黑闊打開電腦，又開始撸起拿油膩的鍵盤，打開幾個wvs的報告，挑出其中的命令執行，csrf，xss，還有越權訪問等漏洞進行分類，並標記是否可控，還把每個功能post,get的包進行整理。

　　就這樣。。。一個通用的路由漏洞庫就完成的差不多了。。。

　　黑闊這些漏洞放到了自己的xss的平台上，規劃了幾個規則。通過title來確定路由器的牌子，然後再對照型號。。。進行各種姿勢的插，可控的CSRF就直接插到路由裡，如果不可控就就用默認密碼插進去，他告訴我...其實直接插進去的幾率很小，但是通過默認密碼的CSRF插進去的幾率很大。。。(這裡說明路由安全意識要提高，別以為你在內網就插不了。。。默認密碼沒改照樣換個姿勢插你)

　　針對路由器滲透有很多種的，但平常灰闊很關心的還是DMZ和DNS。

　　比如說一個通過CSRF讓路由器的DMZ功能打開，把目標主機暴露於公網。。。。

　　0x03 開槍不僅僅只要子彈，還需要一把槍

　　上次去電腦廣場花了百來大洋，讓黑闊的生活有點吃緊，這幾天吧他的xss平台搬到了日本一個比較高質量的vps...他怕後邊扛不住大流量。。(哎，大牛果然有先見之明)

　　這周黑闊省吃儉用，不去吃炒粉了。每天幾個大饅頭送水，終於攢下了一筆錢，在美帝租了一台服務器，花了一個晚上把服務器裝成了DNS服務器，黑闊露出他的大金牙，呵呵的睡著了。

　　0x04 黎明的前期永遠是最寂靜的

　　這幾天黑闊開始玩倒時差，白天睡覺，晚上開始打游戲，或者出去和基友吃燒烤，把滲透時間都換到了晚上。

　　每天上網的時候，都去尋找大網站，尋找用戶和網站可以交互和提交數據的地方，並記錄下來。深夜的時候就開始各種bypass ,然後構造蠕蟲，蠕蟲裡融入了黑闊的xss平台，在傳播的時候不忘用力的給路由器來上一發!!!

　　深夜的時候，搞運維的還在夢鄉，搞開發的程序猿還在妹子床上。。。所以黑闊弄好蠕蟲後先不觸發，等到用戶上線率比較高時，(例如早上8點到10點半，11點半到中午1點，晚上8點到10點半)，就觸發前幾天找到的儲存型的xss。

　　這幾天的白天黑闊也沒有停下來， 四處尋找各種廣告，很多人質疑他沒有能力找到這麼多的流量。黑闊只是呵呵一笑，默默地把單子接下。

　　0x05 忽如一夜春風來，千樹萬樹菊花開

　　黑闊為了保證自己測試的可效性，直接在午夜十二點就開始部署平台了，把xss平台上的規則換成全dns劫持，主要是可控的CSRF改路由器的DNS，不可控的直接用默認密碼測試。。。不同的路由器的牌子和型號對應著不同的規則。

　　就這樣，隨著第一個看到蠕蟲的人，轉發了同域的蠕蟲，然後感染的人呈幾個倍數的增長，而中槍人的路由器都被黑闊改成了他在美帝租的那台DNS服務器上，服務器又指向廣告地址。。。。

　　早上10點，看著廣告的PV呈幾何倍數增長，黑闊又露出了他的大金牙 :D

　　一個月後，黑闊開著他的超跑路過他曾經的工地，望著工頭工友那熟悉的背影呵呵一笑拉風地開走了，因為黑闊的蠕蟲不像白帽子裝逼一樣，一定要彈個窗口告訴別人我把你插了。而是在後台繼續傳播，這樣管理員很難發現(有監控平台除外)。。。