Ladon 10.5多款路由器弱口令检测
Ladon 10.5 2023.1.11
[+]GetID 更新序列号UUID、GUID、Bios、硬盘、CPU、MAC地址
[u]WhatCMS 支持以下品牌路由器识别
Broadband
Sagemcom系列
Sagemcom TR-069
NETGEAR系列
NETGEAR R6400
NETGEAR R8000P
NETGEAR R6700v3
NETGEAR WGR614v9
MI系列
Router MI-3
D-link系列
D-LINK DIR-650IN
D-Link Wireless N DIR-524
COMMSCOPE
ASUS系列
ASUS WL-500gP
TP-LINK系列
TP-Link C2
ZyXEL系列
ZyXEL Keenetic II
Cisco
Cisco Linksys系列
Linksys WRT54GL
Linksys E2500
Cisco Broadband Access Center
Huawei系列
HUAWEI-3COM BR104
H3C系列
VisualSVN Server
0x001 WhatCMS识别多款路由器
Ladon的WhatCMS子模块,支持上述多款品牌路由器识别,包括但不只限于以上版本,以上标明具体版本号,只是测试的一两个IP版本,实际可获取目标对应路由详细,如下图所示,批量检测URL识别到的具体路由器版本。之前版本也多次更新了不少路由器以及网络设备识别
对于外网或内网的C段、B段、A段,提供IP,Ladon就自动探测多个常用Web端口,并识别出路由器、交换机、邮服、常见CMS等,为后续渗透或定制POC殿定基础。
0x002 各品牌路由器默认密码
制造快速字典userpass.txt,当然Ladon也支持传统密码字典user.txt、pass.txt,大家自行根据实际情况来使用,使用最佳方式提高效率。
userpass.txt
admin admin
admin 123456
cisco admin
0x003 401Scan基础认证弱口令检测
1.通过WhatCMS识别出目标内网或外网的401资产
2.没目标,使用fofa或其它已识别好的资产库,导出401认证资产,导出的资产包含URL和IP,直接保存为url.txt,非url扫描时会自动加上http://,当然也可以通过LadonGUI处理给它添加上http和https,这样扫描会更全,因为有些主机只开启https使用http是访问不到的。
Ladon48 url.txt 401Scan
黄色为识别出使用基础认证的站点,紫色ISOK就是跑出来的密码
随便抓了一些URL测试,没一会就跑出2款路由器的弱口令,本文只演示一个,大家可以按照本文思路,先找相关默认密码,再收集对应产品资产,一个产品一个产品的扫,应该也能收获一些弱口令。
0x004 登陆路由器验证密码
获取到密码后可以使用授权EXP获取路由器权限,获取不了权限的,可以看看内网IP机器信息、开VPN、开代理渗透内网等。
网上有很多Tp的EXP大部份是授权的,所以跑弱口令很有必要
当然401认证除了可以跑路由器以外,也可以跑tomcat\phpmyadmin等,只要网站使用401认证登陆,exchange也是一样,大家不要死脑筋。该功能在5.7的时候就添加,并不是10.5才有的功能,渗透要的是思路,不缺工具。
就是说401基础认证是一个通用的,那么密码爆破也是通用的,与目标是什么CMS或网络设备无关。实战中发现某款路由器401误报,原因未知,因为暂时没有该设备研究,其它路由未测,具备条件后再优化相应误报路由。
0x005 Zte路由器Web弱口令检测
该模块仅适用于zte光猫不是401基础认证,当然如果你遇到的型号开启401认证,也可以使用401检测,对于未开启401的,需要定制针对性的工具。
Ladon 192.168.1.8 ZteScan
Ladon http://192.168.1.8:8080 ZteScan
Ladon ip.txt ZteScan
Ladon url.txt ZteScan
Ladon子模块TelnetScan针对Zte部分版本telnet弱口令检测,就是说路由器启用telnet才可以,如果扫描目标未开放23端口,就不用telnet检测了。
0x006 LadonExp生成教程-TP-Link路由器WEB弱口令检测
网上发现有多个TP-Link WR840N授权RCE漏洞,但是我们没有密码怎么办?有很多并未使用401认证,难道要手工一个一个的去试默认口令?手工也不是说不可以,费时,毕竟使用默认口令的是极少数,所以需要针其定制模块,扩大战果。通过之前渗透手工试成功的站点抓包,获取Tp-Link登陆包如下
GET /frame/top.htm HTTP/1.1
Accept: text/html, application/xhtml+xml, */*
Referer: http://xxxxxx/
Accept-Language: en-US,en;q=0.8,zh-Hans-CN;q=0.5,zh-Hans;q=0.3
User-Agent: Mozilla/5.0 (Windows NT 6.3; WOW64; Trident/7.0; rv:11.0) like Gecko
Accept-Encoding: gzip, deflate
Host: xxxxxxx
Connection: Keep-Alive
Cookie: Authorization=Basic YWRtaW46YWRtaW4=
将抓到的包相关参数放到LadonExp测试,发现登陆失败返回首页html源码,源码包含量有版本等信息
登陆成功 不含版本号信息出现加载JS页面HTML源码 在主页不会出现该特征
<head>
<link rel="Stylesheet" href="./css/main.css" type="text/css" />
<link rel="Stylesheet" href="./css/other.css" type="text/css" />
<script src="./js/language.js" type="text/javascript"></script>
<script src="./js/oid_str.js" type="text/javascript"></script>
<script src="./js/str.js" type="text/javascript"></script>
<script src="./js/help.js" type="text/javascript"></script>
<script src="./js/err.js" type="text/javascript"></script>
<script src="./js/lib.js" type="text/javascript"></script>
<script src="./js/3g.js" type="text/javascript"></script>
<link rel="Shortcut Icon" href="./img/login/favicon.ico" type="image/jpeg" />
<meta http-equiv="Content-Type" content="text/html; charset=utf-8" />
<meta http-equiv="cache-control" content="no-cache" />
</head>
LadonExp的PocTag参数填写成功时返回特征,即为成功,如下图所示
测试通过后生成DLL,我们就得到一个专门跑TP-Link 840n路由器默认admin admin用户密码的Ladon模块,当然实战可能不只该型号可用,与其相近版本,可能登陆机制差不多。使用以下命令即可批量挖洞,可以看到整个过程,我们无需掌握任何编程语言,只需懂得如何抓HTTP包,如何使用LadonEXP生成器,即可一键生成定制POC,丰富Ladon的扫描能力。
Ladon url tplink.dll
Ladon url.txt tplink.dll
Ladon 密码审计 24模块
Ladon支持以下网络认证协议密码爆破,有些新人问我支不支持SQL,有些问支不支持445,有些问支不支持NBT,不用问,如果你不熟悉Ladon命令,可使用学习模式"LadonStudy"一键使用,功能一目了然,什么端口什么协议写得清清楚楚明明白白。
不管你Nmap还是Ladon的PortScan扫出相关端口,你不了解端口能做什么没关系,不知道上面写的协议什么意思没关系。显示SMB端口,你就可以尝试SMB弱口令,当然你点击漏洞POC模块,会发现还有个MS17010和SmbGhost也是SMB协议,你同样可以探测是否存在相应漏洞。
相关文章
漏洞复现CVE-2018-14847 Mikrotik RouterOS Exploit
Ladon 9.2.1 Cisco漏洞复现批量GetShell、IIS后门、指纹识别、CMS识别
LadonGo 3.8 for Linux arm 路由器横向渗透内网