0x01发现蹭网者

家里刚刚装了路由器,网速飞快~
最近为什么网络突然这么慢呢?
打开路由器后台列表

家里就我一个人有电脑,为什么多了一台机子?
尼玛!原来有人蹭我网,网速还占了1兆多!看来wifi密码设置得太弱了
正想踹对方下线,转念一想,既然来客人了,就得好好招待一下,不来个渗透全家桶怎么行呢?
nmap粗略扫描一遍

没有一个端口开着,看来利用CVE漏洞的策略是行不通的

0x02水坑攻击

既然没有可以利用的端口,那么怎么拿到蹭网者的设备权限呢?

水坑攻击,说得通俗一点就是钓鱼,这方法我已经用了数十遍,屡试不爽

具体的渗透思路出来了

我可以在本机建立一个服务器,诱导目标访问我的服务器并下载指定的payload

那么如何诱导目标?我需要一个合理的理由让对方乖乖安装我的载荷

启动Apache

下载flash官网的首页和相关的css,进行一些修改,告诉网页访问者需要下载并更新指定的文件,以此给网页访问者投放载荷

效果不错

在家用局域网内,ARP欺骗当然是主要的攻击方式了

利用bettercap2.4进行欺骗

为什么使用这个版本的bettercap?

bettercap1.82版本确实方便,但是在https代理服务器和代理脚本编写方面十分不理想

以至于被欺骗的主机根本不响应本机的ssl证书,而2.0以上版本修复了此问题

如图,我编写了一个简单的js脚本,使得被欺骗主机所有页面均被钓鱼页面替换
几分钟后,meterpreter成功接收到一个反弹的shell

截图看看

从对方的操作来看确实相信了flash未更新的假象
更重要的是,我可以调用对方是网络摄像头

判断完毕“小学生”

0x03进入蹭网者内网

通过摄像头对蹭网者家里环境进行观察,发现他桌子上是有路由器的

(为什么自己有路由器还来蹭我的网,)

也就是说,蹭网者一定会再次回到自己的内网,而那时候我就没法对他进行控制了

那就在本机上进行内网穿透,将本地端口映射至公网,这样就能让傀儡机反弹shell到公网端口接着再弹回内网。

如图,利用ngrok这个简便的穿透工具,我就能让本机的端口映射至公网
接着利用persistence这个模块使得傀儡机不断向这个公网端口反弹shell
这样就算蹭网者不在我的内网,我也能对他进行控制了

权限维持工作已经到位,现在该让对方滚回自己的内网了

踢对面下线
然而几分钟后,不仅仅是内网受控端下线,连公网受控端也下线了

难道说穿透出问题了?静等几分钟无果后本打算放弃

这时对面又上线了,可能是因为我把对面踢下线,接着对方就以为网络问题所以重启了一遍吧
不管怎样,远控重新上线了,也就是说,现在对方很可能就在自己的内网中

利用autoroute模块将对方的路由表转发至本地的meterpreter

接着利用socks4a模块将metasploit的流量转发至本地1080端口

在浏览器中设置代理
尝试访问目标路由器

It works!

0x04拿下路由器权限

PHICOMM路由器,在查找相关资料后发现是没有默认密码的

尝试了几个弱口令也无果

渗透陷入了瓶颈

何不换一种思路?大多数家庭路由器密码都和wifi密码设置得一样,不如我在受控傀儡机上找找答案?

我在sunny-ngrok上申请了一个免费tcp隧道,使sunny的服务器能转发本地3389端口

下载windows客户端
传入傀儡机

在傀儡机上运行getgui模块打开3389端口,同时运行sunny

如图,3389被成功转发至公网
接着对摄像头进行观察,直到晚上11点,对方才离开房间
此时我登录远程桌面

拿到wifi密码

路由器权限成功拿下！

本文始发于微信公众号（渗透云笔记）：【渗透实战】记一次艰难的内网漫游_蹭我WIFI?看我如何利用APT组合拳日进蹭网者内网