dlink路由器(dlink路由器wifi密码重置)

dlink二级路由器怎么设置

挖掘经验|了解我如何找到D-Link 815N路由器的RCE 0天漏洞。俗话说“一分钱一分钱”，这个原则似乎也适用于编程行业。 ho积了一堆新的廉价电子设备后，我计划尝试一下它们，充分利用它们的本质，清除其残渣，并更换一些旧的硬件设备。非常偶然地，在试用D-Link 815N路由器时，我发现了一个远程执行代码（RCE）0天的漏洞。声明步骤1：发现大型联网的D-Link 815N设备。启动D-Link路由器并连接设备后，第一个登录凭据原来是用户名：admin，空密码。接下来，我启用了其“远程管理”功能，以模拟Internet可以看到的与设备相关的信息。通过简单的netcat方法查看它后，其远程管理界面返回以下设备标志信息：nc 10。0。0。1 8080 HEAD / HTTP / 1。1 HTTP / 1。1 400 Bad Request Server：Linux，HTTP / 1。1，DIR-815 Ver 1。03日期：Sat，27 Jan 2001 02:48:12 GMT根据此信息，可以在Shodan。io在线D-Link 815N设备上找到540多个单元。步骤2：了解设备的工作方式此时，我想了解D-Link 815N的WEB身份验证机制和相关的页面加载方法，因此我使用了Chrome开发人员工具的“网络”标签来监视设备操作下的网络流量。成功登录后，将有一个POST请求发送到/session。cgi，但最终它将响应一些与该会话无关的XML信息。
似乎开发人员仅使用可以为身份验证创建的cookie信息。如果太糟糕了，是否可以绕过身份验证来访问某些页面？经过几分钟的浏览，我发现了一个将被引用的PHP页面/getcfg。php。因此，我使用了Chrome及其开发人员工具来获取一些引用该页面的POST请求，然后使用netcat来执行这些请求而无需重播Cookie。其中，有一个非常有趣的字段：DEVICE。ACCOUNT，可用于与后续的设备发现程序合作以进行默认密码检查。如下：POST /getcfg。php HTTP / 1。1内容类型：application / x-www-form-urlencoded; charset = UTF-8主机：localhost内容长度：23 SERVICES = DEVICE。ACCOUNT HTTP / 1。1 200 OK服务器：Linux，HTTP / 1。1，DIR-815 Ver 1。03日期：Sat，27 Jan 2001 05:07:42 GMT Transfer -编码：分块内容类型：文本/ xml 208 DEVICE。ACCOUNT 1 1管理员0 0虚拟600128 16 0如果用户自行设置密码，则上述请求结果中的字段为== OoXxGgYy ==。经过十多分钟的研究，我找到了一种绕过身份验证来检测路由器信息的方法（github），该方法可以获取路由器的所有接口信息，访问设备和交互流量，DNS和日志信息。步骤3：尝试获取Shell经过数小时的折磨，我向朋友展示了这些发现的东西。他认为这很笼统，他只是说：“如果有能力，您可以给我看一下外壳！”，他的话语激发了我的研究兴趣，我转向分析路由器的输入验证机制，重点是找到一些可执行页面，
观察其POST请求后，我在其正常提交数据后添加了一个＆符号和ls命令，并结合传入的身份验证cookie值，然后提交了命令，奇迹出现了，这显然是一个RCE！ ：根@ kali：〜

友讯网络路由器设置

nc 10。0。0。1 8080 POST /service。cgi HTTP / 1。1内容类型：application / x-www-form-urlencoded; charset = UTF-8主机：localhost内容长度：21 Cookie：uid = DuMMyTokEN事件= CHECKFW％26ls％26 HTTP / 1。1 200 OK服务器：Linux，HTTP / 1。1，DIR-815 Ver 1。03日期：2001年1月27日，星期六09:25:03 GMT传输编码：分块的内容类型：text / xml 64 OK 4 cbwpsacts。php wiz_wps。php wiz_wl​​an。php wiz_wan_fresetv6。php wiz_wan。php wifi_stat。php…0步骤4：综合利用是，您已阅读没错，这是一个RCE漏洞，但是它必须经过身份验证级别，但是老实说，总有办法。这应该是每个人都要考虑的前兆。最后，在综合了以上使用方法之后，我编写了一个包含busybox命令的使用脚本（DLINK Shell RCE）。成功渗透后，我可以轻松地与目标路由器进行远程交互。许多轻量级IoT设备还使用busybox命令，该命令可以简化一些执行命令。因此，接下来我们可以启用telnet功能，
用户名为Alphanetworks，密码为wrgac25_dlink。2013gui_dir850l。估计所有D-Link 815N系列路由器都是telnet凭据。步骤5：常驻控制对此类设备实施长期常驻控制并没有多大意义，一旦它们重新启动，所有固件信息将被恢复并再次发布，并且我们的使用脚本将无法工作。但幸运的是，在正常情况下，此类路由器不会频繁重启，因此在一段时间内执行常驻控制也是可行的。在此，我将不公开这种危险的控制方法。如果您熟悉Linux和echo命令，则通常可以使用python脚本将相关信息读入二进制文件，然后输出该信息，例如“ echo -e”，以将数据信息输出到“ / var / tmp”。当然，这需要熟悉MIPS架构。有关详细信息，请参阅：mips-binaries。此外，您还可以通过访问D-Link DIR645的/getcfg。php页面，从Internet上了解到2013年披露的D-Link漏洞，您可以通过路由器的纯文本获取用户名和密码。结合上面发现的/service。cgi问题和此漏洞，您可以指出自己的位置！ PoC：Github-dlink_shell_poc *参考cr0n1c，由freebuf编辑器云编译，