Хабр Курсы для всех
РЕКЛАМА
Практикум, Хекслет, SkyPro, авторские курсы — собрали всех и попросили скидки. Осталось выбрать!
Хабр доступен 24/7 благодаря поддержке друзей
Комментарии 70
Это касается только родной прошивки? Если например, опенврт или какая-то другая, то не должно, как я понимаю работать?
А можно обо всем и по подробнее(оформить как перевод), ибо перевод chrome отвратительный…
Проверил на своем TL-WR743ND v2.0, потерял только видимость сети(помог ребут роутера) хотя старенький комп с патч-кодером этого даже не заметил.
Проверил на своем TL-WR743ND v2.0, потерял только видимость сети(помог ребут роутера) хотя старенький комп с патч-кодером этого даже не заметил.
Вместо тысячи слов.
Сито?
У меня с одним из DLink ов была интересная история. Была халтурка подключить видеонаблюдение и удаленное администрирование пары компьютеров, связаных с РБУ для сбора статистики, к интернету, чтобы можно было удаленно мониторить. Настраиваю на роутере DDNS, разрешаю управление из WAN, ставлю криптостойкий пароль и уезжаю. Понадобилось как то проверить связь до одного из узлов. Цепляюсь по telnet, а пароль не идет. Начинаю подбирать пароль — никак. Стал подбирать связки логин-пароль в итоге зашел под support-support. На Web-интерфейс пустило и вовсе без пароля. Позже проверил из LAN — все пароли на месте, везде запаролено, все безопасно.
В оригинале есть информация, как обнаружили этот бекдор?
Просто это действительно интересно: как всё-таки обнаружили эту уязвимость? Был какой-то код, который проанализировали? Слили дамп прошивки и разобрали его? Вариантов очень много. Жаль, что там лишь «небольшое упоминание».
Да анализом прошивки наверняка. Это же не какой-нибудь экзотический девайс из нестандартных компонентов, а более менее типичный SoC с линуксом, который можно удобно изучать.
Я не знаю что он конкретно делал чтобы найти этот бэкдор, но мне кажется разумным следующий вариант событий:
1. Вытаскиваем все файлы из файла прошивки с помощью Binwalk
2. Анализируем в IDA (Его как я понял заинтересовали строка /userRpmNatDebugRpm26525557/start_art.html)
3. ????
4. PROFIT: http://i.imgur.com/tavhm5H.png
Рядом со строкой «start_art.html» еще находится "/userRpmNatDebugRpm26525557/erase_cal.html". Думаю найдется кто-нибудь, кто сможет определить что она делает на свой страх и риск.
1. Вытаскиваем все файлы из файла прошивки с помощью Binwalk
2. Анализируем в IDA (Его как я понял заинтересовали строка /userRpmNatDebugRpm26525557/start_art.html)
3. ????
4. PROFIT: http://i.imgur.com/tavhm5H.png
Рядом со строкой «start_art.html» еще находится "/userRpmNatDebugRpm26525557/erase_cal.html". Думаю найдется кто-нибудь, кто сможет определить что она делает на свой страх и риск.
Поццоны, не качайте! У меня от этой хрени холодильник сгорел!
Ну а если серьезно, то у меня как раз 4300. Первая строка вешает роутер (наверное, потому что TFTP не находит), а вот вторая — да ну ее нафиг :). Вообще, довольно странный бэкдор, он же только внутри сети работает. Так что бояться нечего.
Ну а если серьезно, то у меня как раз 4300. Первая строка вешает роутер (наверное, потому что TFTP не находит), а вот вторая — да ну ее нафиг :). Вообще, довольно странный бэкдор, он же только внутри сети работает. Так что бояться нечего.
А почему не сделать дамп прошивки и не попытаться смонтировать\распаковать содержимое файловой системы? Там и структура каталогов будет сохранена, и скрипты соответствующие читабельны.
Собственно Binwalk для этого и предназначен: http://code.google.com/p/binwalk/
А какие, собственно, критерии для этого самого nart.out? Он должен быть скомпилированным под Linux?
Если уж на то пошло, то кроме nart.out грузится еще art.ko который потом грузится через insmod
Кстати, в сети обнаружилось еще такое:
websec.ca/advisories/view/root-shell-tplink-wdr740
Какой ужас. Дебаг шелл с рутовыми привилегиями с фиксированными логином и пассвордом (из трёх букв).
websec.ca/advisories/view/root-shell-tplink-wdr740
TP-Link WDR740ND/WDR740N routers have a hidden debugging shell with root privileges that could be abused by attackers.
The username is hard coded in the HTTP server binary and the password cannot be changed from the management interface so the following credentials are almost guaranteed to work:
/userRpmNatDebugRpm26525557/linux_cmdline.html.
User:osteam
Password:5up
«Update: People have been reporting on forums that models WR743ND,WR842ND,WA-901ND,WR941N,WR941ND,WR1043ND,WR2543ND,MR3220,MR3020,WR841N also have access to this root shell.»
Какой ужас. Дебаг шелл с рутовыми привилегиями с фиксированными логином и пассвордом (из трёх букв).
Похоже, что только указанного пароля недостаточно (как минимум на MR3220) — нужно авторизоваться как администратор. В противном случае дает посмотреть только оболочку шелла, но не дает выполнить команду. Красота! Хорошо хоть извне не пускает.
Забавно
Надо бы на WDR740ND/WDR740N попробовать
Надо бы на WDR740ND/WDR740N попробовать
Да, на WR1043ND в начале еще админские логин/пароль необходимы на веб-морду.
Я еще закидывал dropbear на флешку, подключал к роутеру, потом через этот веб-шел запускал dropbear и коннектился уже нормальным SSH на роутер. Насколько я помню, логин admin, пароль такой же 5up
И через него слил в нормальном виде всю прошивку.
Я еще закидывал dropbear на флешку, подключал к роутеру, потом через этот веб-шел запускал dropbear и коннектился уже нормальным SSH на роутер. Насколько я помню, логин admin, пароль такой же 5up
И через него слил в нормальном виде всю прошивку.
на MR3220 получилось, окошко авторизации действительно выскакивало пару раз, просто игнорим, далее у вас загрузится страничка где можно будет вписать:
User:osteam
Password:5up
User:osteam
Password:5up
Подтверждаю (для wr1043 1.1(RU) 3.13.9). Консоль доступна при закрытии окна авторизации, но выполнить команды не получится.
> MR3020
О, отлично, спасибо. А то сходу не нашлось как в оригинальной прошивке в потроха залезть.
О, отлично, спасибо. А то сходу не нашлось как в оригинальной прошивке в потроха залезть.
1043ND работает.
UPD: Ан нет, логин с пассвордом не подходят.
UPD: Ан нет, логин с пассвордом не подходят.
работает. в прошивке 3.13.12 Build 120405 Rel.33996n отлично работает к сожалению…
еще один повод поскорей перейти на *WRT
еще один повод поскорей перейти на *WRT
И правда, работает. Что-то у меня наверное руки скривились невовремя.
Но на WRT тоже не очень хорошо — они медленные по сравнению со стоковой.
Но на WRT тоже не очень хорошо — они медленные по сравнению со стоковой.
> WRT
Который?
Который?
Все, которые я пробовал — OpenWRT, DD-WRT, Gargoyle. Самые лучшие воспоминания, кстати, о Gargoyle. Но все равно вернулся на сток.
Какую версию OpenWRT вы пробовали?
Не вспомню уже. Последнюю которая на тот момент была строил билдером. Было не очень давно — где-то полгода назад.
Как проявлялись замедления? Пробовали ли вы спрашивать о них на форуме OpenWRT или писать в багтрекер?
Замедления проявлялись в том, что скорость скачивания на моих 80 мегабитах не дотягивала до скорости на стоке. Писать в багтрекер лень — мне оказалось проще перейти на сток обратно.
Разве что скажу, что как по мне, в вашем случае вероятно было что-то странное. У меня тариф на 60, подключение по PPPoE, скорость при прямом подключении и через роутер не отличается. (Билды от транка годичной давности до 12.09 beta 2.) Вряд ли на 80 там могла быть большая разница. Возможно вам просто попался неудачный срез транка?
Да, такое возможно. Еще может сказываться режим использования, наверное.
С другой стороны Gargoyle — тот же OpenWRT но настроенный и вроде бы как проверенный — там уж наверняка нету неудачного среза транка. И он мне тем не менее показался медленным тоже. Ну и еще один бонус у стока есть — проставил пароль вайфая и все работает. А даже в гаргойле этот вайфай еще включать надо.
С другой стороны Gargoyle — тот же OpenWRT но настроенный и вроде бы как проверенный — там уж наверняка нету неудачного среза транка. И он мне тем не менее показался медленным тоже. Ну и еще один бонус у стока есть — проставил пароль вайфая и все работает. А даже в гаргойле этот вайфай еще включать надо.
А не тестировали его на полную (100 мегабит)? Интересует с OpenWRT. Знаю, что DIR620 отлично справляется с прошивкой от кинетика, но его пришлось отдать :(
Теперь ищу что-то недорогое взамен. У самого 3420 + 3G + OpenWRT, но его взять на тесты проблематично, он замурован высоко, да и семья не одобрит…
Теперь ищу что-то недорогое взамен. У самого 3420 + 3G + OpenWRT, но его взять на тесты проблематично, он замурован высоко, да и семья не одобрит…
Кстати, а что значит «медленные»?
Работает с авторизацией на вебморде? У меня окно с вводом пароля можно закрыть, но команды не будут выполняться и будет выдаваться повторный запрос на авторизацию.
На TP-Link 4300 с последней родной прошивкой подвешивает вебсервер. Инет у меня ещё работает, сейчас пойду перезагружать роутер.
При этом, если пользователь не залогинен в веб интерфейсе, выдается сообщение о ошибке.
Кто-нибудь знает, как получить shell с root на родной прошивке на 4300?
При этом, если пользователь не залогинен в веб интерфейсе, выдается сообщение о ошибке.
Кто-нибудь знает, как получить shell с root на родной прошивке на 4300?
841N — Нужно предварительно авторизоваться на веб-интерфейсе, и osteam не подходит
UPD: если сперва нажать на одну из предопределённых команд, то дальше всё проходит.
UPD: если сперва нажать на одну из предопределённых команд, то дальше всё проходит.
TL-WR741N пускает на веб-шелл и логин пароль подходит.
Firmware Version: 3.12.11 Build 120320 Rel.51047n
Hardware Version: WR740N v4 00000000
Art download failed (в случае, если TFTP сервер не обнаружен)
Hardware Version: WR740N v4 00000000
Art download failed (в случае, если TFTP сервер не обнаружен)
TL-WR340G/TL-WR340GD
Говорит не правильный юзернейм и пасс
Говорит не правильный юзернейм и пасс
Могли бы и получше спрятать. Там port knocking что ли, тайминги, строку в бинарнике разделить…
Такой уровень говорит о том, что это не настоящий бэкдор против мирового империализма, а просто инструмент для дебага.
Такой уровень говорит о том, что это не настоящий бэкдор против мирового империализма, а просто инструмент для дебага.
вообще дебаг интерфейс тп-линков давно известен
/192.168.0.1/userRpmNatDebugRpm26525557/linux_cmdline.html
user: osteam
pass: 5up
так что наслаждайтесь…
/192.168.0.1/userRpmNatDebugRpm26525557/linux_cmdline.html
user: osteam
pass: 5up
так что наслаждайтесь…
ок, а зачем пользоваться этой кошмарной родной прошивкой, когда есть DD-WRT и OpenWRT?
Таки вероятнее всего это не бэкдор, а результат плохой работы QA у китаезов.
Некоторые производители не стесняются в Release Notes про такие «бекдоры» писать как про новые фичи. Вот, к примеру, ZyXEL:
Хотя с другой стороны, название arch_angel daemon наводит на мысль, что инфа попала в Release Notes по недосмотру ZOG ;)
Некоторые производители не стесняются в Release Notes про такие «бекдоры» писать как про новые фичи. Вот, к примеру, ZyXEL:
Modification V1.00 (BWE.4 )b1 / Jun 13, 2011
1. [Modification]
Symptom:Support hidden URL which named tools_archangel.cgi to control debug
message.
Application Note:Tools_archangel.cgi can control the arch_angel daemon
whether send Syslog or not to our Syslog server.
Хотя с другой стороны, название arch_angel daemon наводит на мысль, что инфа попала в Release Notes по недосмотру ZOG ;)
Не так давно в других роутерах этого же производителя (TL-WA701N и TL-WA701ND) были найдены уязвимости
TL-WR1043ND тоже умер. Не отвечает админка и упал WiFi. Проводную сеть тоже подкосило
Про ту страничку давно всем известно, и на хабре не так давно проскакивала статья
Эксплуатируем уязвимости роутеров wi-fi с android-устройства там тоже вспоминалась она и другие… во общем немножко боян.
Эксплуатируем уязвимости роутеров wi-fi с android-устройства там тоже вспоминалась она и другие… во общем немножко боян.
на стоковой wdr3600 не работают эти линки… как интересно в него попасть…
Зарегистрируйтесь на Хабре, чтобы оставить комментарий
Бэкдор в роутерах TP-LINK