0x00 前言
现在市面上几种宽带,总评最好的应该是电信了,延迟低而且也比较稳定,除了部分机房翻墙延迟较高?
2017年安装电信宽带时,送了个带无线路由功能的光猫,既然都是路由器了,那肯定能进系统了嘛。
正常的管理界面web是这样的,开放在80端口:
光猫有公网ip,而且是开放在外网,所以感觉肯定有问题。
0x01 工具
我使用的光猫型号为HG2821T-U
U盘
电脑
0x02 开搞
这个开放给用户的系统是没有关闭外网访问的功能,我就nmap扫了一哈:
外网不能访问80端口,但是可以访问8080端口:
这就很尴尬哇,关键是电信一波光猫有个后门,可以看到用户管理系统和8080端口上系统的密码密文,后门路径如图:
解密规则根据下面这个表即可:
|
密码编号
|
对应密码
|
密码编号
|
对应密码
|
密码编号
|
对应密码
|
密码编号
|
对应密码
|
|
48
|
0
|
71
|
C
|
87
|
S
|
108
|
h
|
|
49
|
1
|
72
|
D
|
88
|
T
|
109
|
i
|
|
50
|
2
|
73
|
E
|
89
|
U
|
110
|
j
|
|
51
|
3
|
74
|
F
|
90
|
V
|
111
|
k
|
|
52
|
4
|
75
|
G
|
97
|
w
|
112
|
l
|
|
53
|
5
|
76
|
H
|
98
|
x
|
113
|
m
|
|
54
|
6
|
77
|
I
|
99
|
y
|
114
|
n
|
|
55
|
7
|
78
|
J
|
100
|
z
|
115
|
o
|
|
56
|
8
|
79
|
K
|
101
|
a
|
116
|
p
|
|
57
|
9
|
80
|
L
|
102
|
b
|
117
|
q
|
|
65
|
W
|
81
|
M
|
103
|
c
|
118
|
r
|
|
66
|
X
|
82
|
N
|
104
|
d
|
119
|
s
|
|
67
|
Y
|
83
|
O
|
105
|
e
|
120
|
t
|
|
68
|
Z
|
84
|
P
|
106
|
f
|
121
|
u
|
|
69
|
A
|
85
|
Q
|
107
|
g
|
122
|
v
|
|
70
|
B
|
86
|
R
|
进入系统后,就随便翻一翻,说一下,80端口上无线路由管理系统的用户名为useradmin,8080端口上的用户名为telecomadmin,找到个地方,可以直接修改useradmin密码,算个csrf?
那如何进入这个光猫的系统呢?硬件牛盖子一拆就能长驱直入了,但是我等小菜比,没这个能耐。
惊喜发现在光猫的配置文件中,首先先导出原配置文件,在管理-设备管理,插个U盘,备份配置即可:
发现了telnet的配置,默认为0,刚才扫端口的时候也没开23,22这些的,那尝试改个1试试,反正有原始配置文件,坏了就再覆盖呗。跟刚才一样,不过多点一个“快速恢复”:
再次扫描端口,telnet端口开了,稳了:
telnet账户密码写在配置文件里了,我这是root/abcd,进去之后:
知道了某个路径就能定位web系统源码:
0x03 后续
当然是把代码扣下来了。但是发现一个很科幻的现象啊,首先这个是只读系统,我打包放在他系统里不行这我知道,但是当我打包到我U盘里时,莫名其妙发现,文件本来都在,拿出来插到我电脑上的时候就没了。
第二次打包我查看着进度,一结束我就拔了光猫电源,果不其然,代码都在了,你说神奇不。代码使用shell编程写的,正好趁这个机会学一波shell,有结果再更。
PS:删完后门文件,做完你想做的事后,记得回复默认配置,你会发现,你的23端口开在外网上,相信没人会这么6。
