Уязвимость AirOS

Решил рассказать о уязвимости AirOS на примере взлома NanoStation M2.

Началось все с того, что меня подключили к интернету. А так как я живу в частном секторе, провайдер поставил направленный wi-fi а у меня на крыше NanoStation M2 2.4 GHz.
Меня очень возмутило что мне не сообщили ни пароль от wi-fi ни пароль от NanoStation (хотя и причины мне вполне понятны). Как я получил пароль от wi-fi читайте под катом.

Узнав, что точка доступа работает на AirOS созданной на базе linux, я без труда нашел в сети описание уязвимости этой ОС.
Далее захожу по линку 192.168.1.***/admin.cgi/ds.css
И понимаю, что получен практически полный доступ к ОС.
image

Скачав файл /etc/passwd
image
Увидел следующее содержимое

ubnt:PpI8IMUqKVKCw:0:0:Administrator:/etc/persistent:/bin/sh


Как и полагается пароль захеширован. Конечно, можно было так же скачать скрипт смены пароля и разобраться в его алгоритме, но я решил сделать проще. в файле /usr/etc/system.cfg лежат дефолтные настройки, в том числе и хеш пароля «ubnt».

users.status=enabled
users.1.status=enabled
users.1.name=ubnt
users.1.password=VvpvCwhccFv6Q


Дальше, у себя на машине редактирую скачанный файл «passwd» меняя хеш пароля на дефолтный

ubnt:VvpvCwhccFv6Q:0:0:Administrator:/etc/persistent:/bin/sh

и заливаю его на точку доступа
image

после чего осталось поместить его на место
image

Профит =)
Заходим на точку доступа по дефолтными логином/паролем ubnt/ubnt
image

Узнать пароль от wi-fi уже дело техники
image

Данные манипуляции не дали мне полного доступа в ОС. т.к. при смене пароля OS ругается, что пароль «ubnt» не верен, но желаемый результат я получил.
Надеюсь кто-нибудь подскажет как полностью сбросить/сменить пароль
AdBlock has stolen the banner, but banners are not teeth — they will be back

More
Ads

Comments 18

    –1
    Эх, вот только на днях поменял AirOS на DD-WRT :(
      0
      я думаю не зря =)
      +2
      в прошивке 5.3.5 и 5.5 всё исправлено.
        0
        у меня Version: v5.3.3
          +1
          что еще раз свидетельствует про уровень вашего провайдера :)
        +1
        а под какую статью подпадает?
          +11
          Мммм… Автор, а какую конечную цель вы преследуете? А то не вполне из текста ясно. Это же пароль от узконаправленного на ваш дом WiFi — вы его и так получаете от точки доступа, а обычными устройствами на участке скорее всего ничего ловиться не будет, т.к. NanoStation у вас, наверняка, на крыше (а то еще и на мачте) и именно туда WiFi от провайдера «смотрит»… Не проще ли внизу поставить обычную точку доступа и настроить на другой канал, чтобы «магистральному» линку не мешало?
          Или вы хотели как-то саму NanoStation поковырять и что-то там настроить? Что именно и зачем?

          В общем, не вполне ясна цель мероприятий, кроме как «я крутой scriptkiddie, сломал провайдерский WiFi!». У вас же, наверняка, не такой большой выбор провайдеров на местности — узнает этот о ваших похождениях, обидится и порвет с вами отношения, не возвращая денег — на фига оно вам надо? Т.к. вы заменили пароль, а не узнали оригинальный, провайдер не может зайти удаленно на точку в целях администрирования — это для него уже подозрительно…
          Короче, ИМХО, зря вы. Был бы реальный смысл в этих действиях — тогда да. Но, повторяю, про смысл в тексте вы ничего не написали…
            0
            Цель данных мероприятий было получение пароля от wi-fi.
            Вы правы, NanoStation стоит на крыше, но на участке, лоджие отлично берет wi-fi от провайдера и ставить дополнительную точку доступа нет необходимости, нужен был только пароль. Обманывать и пользоваться инетом на халяву не собираюсь. Сейчас прописал Свой же ip на ноут, пью кофе на лоджие и отвечаю на ваши комментарии.
            >>> не может зайти удаленно на точку в целях администрирования
            после ребута NanoStation пароль вернулся на оригинальный, и необходимо проводить опять все действия для получения доступа к NanoStation.
            А статью я написал по большей части для получения приглашение на «Хабрахабр», надеюсь в будущем удастся описать что то более интересное и полезное. Да думаю и эта статья кому нибудь пригодится.
            0
            Пароль обратно вернул, кул-хацкер?
              0
              после ребута он сам сбросился.
              >>>Данные манипуляции не дали мне полного доступа в ОС. т.к. при смене пароля OS ругается, что пароль «ubnt» не верен
              0
              >Далее захожу по линку 192.168.1.***/admin.cgi/ds.css

              Да, только по ссылке написано так:
              «go to
              http:///admin.cgi/sd.css»
                0
                go to
                http:///admin.cgi/sd.css
                в качестве понимать ip адрес NanoStation
                  0
                  Сори…
                  go to http://<site>/admin.cgi/sd.css
                  в качестве <site> понимать ip адрес NanoStation
                    0
                    Да, но я вообще про название скрипта уточнить хотел.
                  +1
                  А зачем последний октет зазвездили? Все равно ж приватная сеть :)
                    0
                    И это заслуживает поста на хабре?
                      0
                      кул-хацкеры юнные, головы чугунные.
                      Как человек бывший как клиентом так и админом беспроводных сетей считаю что по ушам надо дать админу, за то, что позволил влезть с левого устройства на свою БС.
                        0
                        Спасибо за статью! Это работает.
                        Только что проделал то же самое. Посмотрел, сколько людей сидит вместе с нами… оказалось, что кроме нас никого нет. :(
                        Вернул пароль назад :) И почистил следы.

                        Only users with full accounts can post comments. Log in, please.