一次WIFI渗透小米4A千兆路由器提权开telnet
到朋友家里,手机信号太差了,于是想连个wifi网络。苦于没有Wi-Fi密码,于是这篇文章便有了着落。
1. 网络嗅探
打开手机 WIFI 发现周围的 WIFI 热点挺多的,用模拟器下载WIFI万能钥匙开始尝试连接 “免费热点” 即用户不小心泄露的Wi-Fi密码。几番下来,连上7、8个热点。
2. 挑选质量信号较好热点
随意挑选信号3格以上热点,使用测速软件 speedtest 进行网速测试,选取百兆网络热点。
3. 尝试登入路由器管理页面
通过查询热点网关信息,获得路由器管理地址,采用弱密码扫描尝试登入。运气好,社工三次成功登入路由器(耗时不到2分钟),显示型号小米4A路由器,大喜,曾经尝试破解过类似路由器。登入之后一番审计,发现官方提供的固件功能较少,WPS功能都无法找到,于是进一步提权。
4. 开放端口扫描
使用 nmap 进行端口扫描,发现开放端口都是一些常见的 80、443、upnp 等常用端口,没有多大用处。
5. 漏洞寻找提权
于是 google 相关 0day 想要提权,发现一个开源项目
OpenWRTInvasion
Root shell exploit for several Xiaomi routers: 4A Gigabit, 4A 100M, 4C, 3Gv2, 4Q, miWifi 3C…
果断上手
git clone https://github.com/zsuroy/OpenWRTInvasion.git
cd OpenWRTInvasion
pip3 install -r requirements.txt # Install requirements
python3 remote_command_execution_vulnerability.py # Run the script
使用该项目尝试破译提示done
成功,但经测试发现 telnet 23端口并未打开
![截屏2022-02-21 下午9.23.06.png][2]
查看源码,发现关键字段有一个下载 busybox 上传到路由器部分,直觉告诉我可能是这个没有正确上传导致的。
复制下载地址到我本机下载发现下载了将近一分钟,然而路由器 exploit 的时候总共不到一分钟,盲猜肯定没有传上去,懒得搭建本地 ftp 了,直接下载下来传入到我的远端在线 ftp 修改 busybox 链接,重新 exploit 成功。
![截屏2022-02-21 下午9.04.54.png][3]
6. 关键信息
cat /etc/config/wireless # 获取wifi信息、密码等
7. 后续
到这一步了之后,根权限已经获取了,完全能够做中间人拦截数据包,稍加利用即便wifi密码更改之后也可以通过编写脚本实现实时发送新的密码到我端。
事实告诉我们,大家在使用 WIFI 时还是需要注意一下安全的问题,不要轻易的泄漏密码,定期检查更新。