路由宝到手后,连TTL,启动信息说明系统用的是openwrt,但一进内核,TTL就不在输出。还关闭了SSH和Telnet。就让软件工程师用软件的方式来搞定它!摸索的过程很漫长,本文将直接总结开启SSH的步骤
固件解包后获得信息:
系统用openwrt,sshd或者dropbear 已被优酷直接删除,telnet还在。
opkg的地址被指向本地IP。
系统是openwrt,用的LUCI,那就有机会注入脚本。
果然
漏洞.PNG (90.37 KB, 下载次数: 650)
2015-3-14 20:21 上传
允许设备联网这个接口,没有对MAC这个参数做过滤,可以构造命令,做任何想做的事情。
telnet连不上,是因为openwrt只会在root账户没有密码的情况下才允许telnet连接。
所以,构造请求 ;passwd -d root;
http://192.168.11.1/cgi-bin/luci/;stok=6162fd66813c8381229b2fe99993d61e/api/devices/allowConnect?mac=%3Bpasswd%20-d%20root%3B
删除 root密码
telnet 连接 成功
telnet.PNG (52.12 KB, 下载次数: 681)
2015-3-14 20:22 上传
修改opkg.conf,更换openwrt源
opkgconf.PNG (54.71 KB, 下载次数: 686)
2015-3-14 20:22 上传
更新opkg opkg update
安装dropbear opkg install dropbear
设置 dropbear 自启动 修改 /etc/rc.local 添加一行 /usr/sbin/dropbear
本来可以执行 /etc/init.d/dropbear rc.common但报错了,不管了,有空再看,先粗暴的直接执行命令。
自启动.PNG (50.54 KB, 下载次数: 677)
2015-3-14 20:22 上传
查看一下 iptables,确认22 端口开放;
重启,发现ssh可以连了。
那就再telnet上去,设置root密码。
修改密码.PNG (60.07 KB, 下载次数: 688)
2015-3-14 20:21 上传
SSH连接成功
ssh成功.PNG (58.74 KB, 下载次数: 653)
2015-3-14 20:22 上传
搞定收工。
改日再折腾 TTL 输出