兆能ZNHG602破解telnet
前幾天辦了新寬頻,電信又拿了個新品牌的光貓,看背面寫的是兆能(好吧不認識T_T)
按照慣例開啟192.168.1.1:8080 介面,結果自動跳到了新luci介面。用慣用手段獲取密碼:(小提示:在80介面密碼欄直接輸入nE7jA%5m即可登入8080,無需修改使用者名稱)
開啟ftp連線光貓,顯示Pure_Ftpd(挺先進),用useradmin登入,看到了熟悉的romfile,下載到電腦發現沒有加密!正當我激動之時發現裡面並沒有telnet設定……通過一番尋找找到8080埠的網頁在/usr/share/web下,找到了ftpandTelnet.cgi這個檔案,但用瀏覽器訪問是,電信直接封死了……有關備份和更新的也同樣被封死。。。那就只能通過其他方式了。
0.ftp:通過四處尋找指令碼發現/var下有Speedtest指令碼,可能是手機端測速功能的後端,ftp上傳一個反彈shell指令碼上去,但手機上點測速並沒有效果,而且登入回去發現檔案並未被修改。可能ftpd有許可權設定/系統只讀但運用了overlay
1.ttl:光貓後螺絲只上了兩個螺絲,另外一側是卡上去的(好省錢……),用一把尺子輕鬆拆開。正面有幾塊黑膠,拆開後底下有熟悉的四個觸點,還貼心的標上了TX RX,明擺著讓你用呢!但putty連上後失望了,需要登入。用e8c和useradmin/admin都顯示error,方法不通。
2.網頁漏洞:(1)起初以為telnet服務是啟動的(nmap顯示23埠是filtered),在luci頁面中埠對映127.0.0.1:23至127.0.0.1:23開啟23埠,telnet連線後是連線重置……壓根telnetd就沒起來!
(2)在8080頁面有ping.cgi,輸入127.0.0.1測試後連結變成了http://192.168.1.1:8080/ping.cgi?diagIntfT=nas0.46&diagAddrT=127.0.0.1&diagTestTypeT=1&ippingversionT=4&repiNum=1&submit=1,關鍵點:addr可修改!修改地址為diagAddrT=127.0.0.1|ls後並沒有出現報錯,顯示內容正常!直接執行telnetd經過實驗什麼都沒有發生……在視窗看不到錯誤原因,因此可以嘗試尋找可以反彈shell的工具。通過which nc找到nc。嘗試直接用nc -e /bin/sh反彈 果不其然沒有-e選項。因此用
(提供一個不需要nc直接網頁訪問就能開啟telnet的連結:連結)
仍需解決的問題:1.在dev下發現mtd*,但通過mount不能找到根目錄具體是mtd幾,根目錄應該是squashfs,但dd提取出的映象在linux下不能直接掛載和binwalk提取。
2.配置檔案真實路徑為/var/pdm/config.xml,但直接修改後重啟會恢復原樣,而且/var無法判斷是squashfs還是單純的tmpfs。/var/rdm下還有另外的配置檔案,但貌似有加密無法解讀。