我是如何从3亿IP中找到CISCO后门路由器的

最新推荐文章于 2023-09-27 14:01:53 发布
最新推荐文章于 2023-09-27 14:01:53 发布
阅读量1k 收藏
点赞数
分类专栏: 安全

接到某单位通知让查找中国具有SYNful Knock后门的CISCO路由器,按照曼迪安特分析的报告称中国已经发现3台具有SYNful Knock后门的路由器,如何快速从全国3亿IP地址中快速查找出3个IP地址难度还是十分的大啊,而我经过查找发现中国已经有4个IP被植入了后门,现将检测过程分享给大家。

一、获取IP地址

为保证中国IP的全面性,从apnic重新获取亚洲区域所分配到的IP,过滤出CN的IP,结果如下。apnic文件中每行为一个IP地址段,以"|"作为分隔,第四个字段为IP起始地址,第五个字段为IP地址数量。


二、IP地址格式调整

将IP地址格式调整成zmap的CIDR格式,如下:


三、使用zmap检测80端口开放ip

命令:zmap -w china_ip_cidr.txt -p 80 -o 80.txt


检测出5184575个开放80端口的IP地址。


四、POC制作思路

互联网搜索发现还没有此后门的POC(现在CISCO已经发布自己的POC,后期我的POC也参考CISCO的POC做了适当调整),没办法自给自足仔细研读了曼迪安特的报告,经过多次改版最终POC思路如下:


(一)伪造SYN报文,使seq和ack_seq之间的差为0xC123D大批量发送给目标主机。


(二)单独监听收到的网络报文,将seq和ack_seq之间的差为0xC123E、urgent flag未设置、urgent pointer=0x0001、hard-coded TCP options=“02 04 05 b4 01 01 04 02 01 03 03 05”的网络报文过滤出来保存。

五、POC分析如下:

(一)SYN报文部分




修改SYN seq和ack_seq差值,使其差值为0xC123D,并直接发送SYN,不等待接收SYN ACK报文,由网络监听部分进行SYN ACK报文的拦截,由于不接收SYN ACK报文,发送速度提升了N倍。考虑到发送完关闭过快在每个报文发送完毕后增加了0.1秒的等待。


(二)网络监听部分


此部分借鉴了CISCO发布的检测脚本,但是CISCO检测脚本检测性能较差,我将检测POC分成了2部分,将SYN报文发送部分POC放入检测框架批量执行,网络监听部分单独执行分析SYN ACK的报文特征符合性,代码如下:





五、批量执行

(一)将待检测IP入库,祭出我编写的神器pwscan大规模检测框架,设定进程数1000,启动检测框架如下:


框架启动了1000个扫描引擎。



奔跑吧小驴子,很快检测完成,如下:


六、检测结果

对全网检测5遍后结果如下不好意思IP要隐藏:) 


七、漏洞验证

单独进行漏洞验证如下:


(一)脚本验证



(二)登陆验证


弱口令成功登陆,看到了曼迪安特说的"#"号



执行show platform查看文件被修改情况,找到曼迪安特说的RW标致


八、结论

成功找到4个中国具有SYNful Knock后门的CISCO路由器。

Aiden御舟
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
美国思科路由器预置监控后门国铲除
欢迎来到最伟大的操作系统官方博客
03-01 2765
微软,思科,硬盘厂家,美国棱镜门监控影子无处不在。不知道思科提供给美国的产品和提供给国的产品是不是有一样的后门。 2012年,央政府采购心的名单上共有60款思科产品,而这一数字在2014年采购名单骤降为零。 美国思科公司的信息产品在国市场具有极高的占有率,其路由器产品几乎参与了国所有基础信息网络和重要信息系统的重大项目建设。而一直以来,包括路由器在内的思科信
路由器后门
stereohomology
02-28 2372
很多主流厂商的路由器都留有后门你造吗?  今天CCTV新闻把这个事情公开讨论了. 这些后门对于专门的黑客来说是相对很容易被破解的. 哎呀, 我家的网络虽然用了很强的密码估计也还是要被蹭了...
Dlink路由器后门分析
Yale的博客
05-25 571
在本次实验,我们首先提取得到文件系统,然后根据网上公开的漏洞公告,使用IDA分析,明确了漏洞的利用机理后,学习在互联网上通过搜索引擎找到合适的设备进行验证。 本次从官网下载得到一个压缩文件 ​ 解压后得到一个bix文件,binwalk分析 ​ 看到有squashfs文件系统,直接导出 由网上发布的漏洞公告可知,该固件存在一个认为设置的后门漏洞,攻击者通过修改user-agent值为xmlset********字符串即可绕过路由器web认证机制取得后台管理权限。​ 根据描述,应该与web服务有关 在bin
CISCO设备后门的方法--TCL 以及路由安全
weixin_34114823的博客
03-08 942
lion(lp) · 2013/01/29 15:50之前在 zone 里边有人讨论过CISCO后门问题我就说了个利用TCL cisco 的一个脚本处理技术详见www.cisco.com/en/US/docs/…现在给整理出来。郑重声明本人仅讨论方法与该技术如利用此技术给他人造成的经济损失与本人无关。 首先给出脚本此脚本非本人所写国外已经有大牛写出来了# TclShell.tcl v0.1 b...
Cisco路由器后门技术 -- TCL脚本Shell
seaskying的专栏
11-15 8337
今天逛国外站发现了一篇攻击Cisco路由器后门的方法,虽然一年多没玩Cisco了,平时工作也用不到这东西,但是对Cisco还是那么热爱,呵呵!进入正题,这是一篇鸟语的文章,写的也不难,主要的意思就是拿到Cisco路由器的权限以后可以上传一个用TCL脚本语言写的后门程序到设备里面,以后就可以无需路由器管理权限远程Telne进路由器了,灰常给力!关于TCL脚本语言相信CCIE Security级别的
通信与网络的浅析CISCO与华为3COM路由器的区别
10-23
华为路由器与同档次的CISCO路由器在功能特性与配置界面上完全一致,有些方面还根据国内用户的需求作了很好的改进。例如英文可切换的配置与调试界面,使文用户再也不用面对着一大堆的英文专业单词而无从下手了。 ...
思科路由器IP源地址的攻击的解决方案
10-02
IP源地址欺骗可以应用在多种不同的攻击方式,例如TCP SYN flooding、UDP flooding、ICMP flooding等,伪造的源地址可以是不存在的地址,或者是最终攻击目标的地址
GNS3-思科c3640/c3745/c7200路由器IOS
01-19
压缩包内包括c3640/c3745/c7200三型号的设备镜像,可在GNS3上使用,其他型号可以到如下链接下载 https://ccie.lol/blog/2016/07/03/cisco-ios-image-download/
思科Cisco全部路由器镜像文件免费下载.zip
01-19
包含c7200-adventerprisek9-mz.153-3.XB12.image、 c7200-adventerprisek9-mz.152-4.S6.image、c7200-adventerprisek9-mz.124-24.T5.image等全部思科路由器镜像文件。
GNS3模拟的路由器C3725
05-12
在GNS3可以模拟各种路由器,而每个路由器是分别添加到GNS3软件的,一般情况下GNS3默认情况下没有太多路由器
什么是路由器后门?如何尽量规避路由器后门带来的风险
10-01
后门一般是程序员在开发软件时,不经意或为了达到某种目的,在软件植入的不为外人所知的程序,对于普通用户来说,很难发现路由器后门何时被黑客控制,明智的办法是,尽量避免购买已经曝光的存在后门路由器产品
TP-LINK路由器后门的工具及方法
07-28
关于TP-LINK路由器后门的收集整理以及工具的使用方法,点到即止。
磊科路由器后门利用情况分析
m0_74079109的博客
12-30 210
Eir是爱尔兰的一家公司,NVD只记录了一个漏洞,漏洞编号为 CVE-2016-10372,针对 D1000 这款路由器 1,由于在软件实现没有正确地限制 TR-064 协议,远程攻击者可以通过 7547 端口执行任意命令。1 由于很多调制解调器也具备路由的功能,因此,在资产角度,我们并未对调制解调器和路由器进行区分,统一归为路由器一类。
物联网固件逆向工程基础23217
最新发布
luoxiayan的博客
09-27 1060
物联网(IoT)是当今的热门话题,在这些设备发现的关键漏洞数量巨大。由于这些设备通常连接到内部网络,因此成功的探索会给组织带来巨大的风险,犯罪分子会访问内部网络,因为最佳实践和网络安全指南尚未到位。固件是嵌入在物联网设备的软件的名称。这段代码提供对特定于设备的硬件组件的低级别控制。尽管在过去几年已使用加密来保护设备的固件映像文件,但理解和发现弱点的原则与过去使用的原则相同。首先,我们需要从官方存储库下载固件文件。如果无法做到这一点,请了解更新过程是如何完成的,并模拟对文件的合法访问。
思科路由器恶意后门惊现,全球 19 个国家受威胁
weixin_34265814的博客
06-08 155
国外媒体报道称,最近关于攻击思科系统路由器的事件相较过去又多了很多。据说目前19个国家至少79台设备受到安全威胁影响,其还包括了美国的一家ISP网络服务提供商,旗下25台设备都存在恶意后门。 这 次的调查结果来自一个计算机科学家团队,他们挖掘了整个IPv4地址空间受影响的设备。根据Ars本周二的报道,在收到一系列非正常不兼容的网络数据 包,以及硬编...
路由器后门制作
Yale的博客
05-25 1537
本次实验我们首先通过fmk对固件文件系统提取,之后根据文件系统特点,编写一个后面程序,之后将其添加到文件系统化,并在路由器文件系统初始化脚本启动该后门程序。最后通过qemu手动模拟路由器启动过程来验证后门程序是否植入成功。 本次实验来学习使用firmware-mod-kit在固件添加后门 在固件添加后门与在linux,windows添加后门的目的是一样的,都是为了保持权限,窃取敏感信息等等,不过在固件添加后门的思路不太一样。 基本上的思路是这样的:从原固件提取文件系统,对其内容进行修改,然后将其
十一、路由器后门漏洞
wanhex的博客
03-07 1439
在信息安全领域,后门是指绕过安全控制而获取对程序或系统访问权的方法。例如,即使某一款路由器拥有完美的安全防护功能和设置,但是却保留了一条不为人知的秘密通道,如果被攻击者发现,攻击者同样可以轻松进入并获取对路由器的控制权限。这时候,再完美的安全防护都已形同虚设。 对于路由器的存在后门,成因有多种多样,有的是为了方便开发人员管控路由器而保留,有的是发布时遗留的安全漏洞,还有的或许是有人对路由器固件...
从Apnic提取各地区ip段及自治域号
一个从通信转行网络人的博客
07-17 7415
什么是APNIC区域互联网注册管理机构(Regional Internet Registry,RIR),是管理世界上某特定地区Internet资源的组织。Internet资源包括IP地址(包含IPv4和IPv6)和使用在BGP路由的自治系统号(Autonomous System number)。 现在世界上有五个正在运作的区域互联网注册管理机构,apnic是其之一,负责亚太地区的Internet
apnicIp筛选国地区IP
weixin_45201611的博客
10-14 517
apnicIp筛选出国地区IP目的直接上代码返回结果 目的 最近在做电商项目,里面有裂变红包。一些羊毛党防不胜防,全是境外的ip,为了防止羊毛党,我们需要对ip进行限制。 直接上代码 package com.example.study.service; import org.slf4j.Logger; import org.slf4j.LoggerFactory; import org.springframework.stereotype.Service; import java.io.Buffere
Cisco路由器配置实战:从基础到高级
"Cisco路由器配置一百例包含了各种Cisco路由器的配置实例,涵盖了从基础设置到高级功能的应用,如用户接入、HSRP、ISDN备份、策略路由、Flash格式化、DHCP配置、VOIP设置、BGP+EIGRP配置、ADSL非固定IP配置以及安全...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值