Взламываем Asus RT AC6. U и подготавливаемся к SOHOpelessly. Broken CTF Хабрахабр. Наконец то настал июль, время собираться на DEFCON. Фолловьте defconparties в твиттере и определяйтесь, какие местечки посетить и на какие доклады сходить. В этом году будет новое соревнование SOHOpelessly. Broken, от ISE и EFF. Цель Track 0 состоит в том, чтобы показать ранее неизвестные уязвимости в домашних беспроводных роутерах. Track 1 будет проходить в режиме CTF прямо во время DEFCON. CTFы всегда очень веселые, а конкретно этот подразумевает взлом реального железа, что веселее вдвойне Ага, это мое рабочее место PМеня очень интересует EFF Open Wireless Router переводчика, к слову, тоже, но они пока ничего не рассказывают об устройстве. В правилах соревнования значится ASUS RT AC6. U HW Ver. У меня есть лишний RT AC6. U дома, поэтому я решил написать небольшой туториал для всех участников соревнования CTFРазведка. Первым делом, нужно найти прошивку и ее исходный код. Опыт установки сторонней прошивки TomatoUSB build by Shibby. Советую попробовать прошивку от Padavan ни на что другое не. Последние версии прошивок, собранные Padavanом, можно скачать тут. Прошивки для роутеров Asus RTN14URTN56URTN65U. К счастью, Asus RT AC6. U лицензирован под GPL, и не составляет труда найти исходный код прошивки в интернете. Версия, используемая в CTF, старая, от 2. Чтобы проанализировать прошивку получше, мы возьмем прошивку и исходники версий от v. Asus RT AC6. 6u v. Asus RT AC6. 6u v. BvpPQ.png' alt='Прошивка От Padavan Asus Rt Ac87u' title='Прошивка От Padavan Asus Rt Ac87u' />Первым делом, нужно найти прошивку и ее исходный код. К счастью, Asus RTAC66U лицензирован под GPL, и не составляет труда. Asus RT AC6. 6u v. Asus RT AC6. 6u v. Множество обновлений прошивки было выпущено между этими двумя версиями, поэтому мы посмотрим историю их изменений www. NetworkingRTAC6. UHelp. Desk. Можно соединить несколько разных уязвимостей, чтобы набрать побольше очков. Если производитель пропатчил уязвимость без сообщения о ней, а вы смогли ее проэксплуатировать, то она все еще будет считаться 0 day уязвимостью давайте не будем обсуждать терминологию. Итак, у нас есть исходный код, настало время распаковать и исследовать его. CTF Field Guide от Trail of Bits содержит хорошие ресурсы по аудиту исходного кода. Можно использовать утилиты, вроде Beyond Compare, Araxis Merge и Win. Merge под Windows, или Meld, если вы используете Linux. Будем работать с директорией. Сравним две версии через Meld У этого роутера уже есть много обнаруженных уязвимостей. Если вы хотите найти 0 day, вам нужно убедиться, что уязвимость не нашли до вас и, поверьте, это самая сложная часть. В качестве примера. У вас отнимут некоторое количество очков, если ваши эксплоиты требуют особой конфигурации системы или специальной информации. Так что, если вы хотите набрать много очков, вам стоит нацеливаться на стандартную конфигурацию сервисов и процессов. Во вкладке Приложения USB в RT AC6. U можно настроить некоторые сервисы, вроде FTP, DLNA, NFS и Samba. Mini. DLNA тоже отличная цель. В нем можно легко найти уязвимости, используя исследование. Zachary Cutlipа, т. В Binwalk есть своя опция для проведения fuzzy hashing между файлами и директориями. Большинство производителей вроде Asus не открывают целиком весь код. Вероятно, вам придется реверсить драйверы и бинарники, чтобы найти хорошую уязвимость. Бинарник с именем ACSD наиболее интересен из за того, что его убрали из новых версий прошивки v. Jacob Holcomb. Бинарники для MIPS Little Endian. Также, важно разузнать побольше о файловой системе. В Open. WRT Wiki есть замечательная статья про разметку флеш памяти. Играем В Баскетбол Прямо На Рабочем Столе Офисные Игры. MTD в Linux дает доступ к флеш устройствам и позволяет создавать полноценные файловые системы на них. Можно зайти по ssh на устройство и посмотреть разметку Раздел NVRAM очень ценен для нас, в нем хранятся все настройки устройства. Вы можем посмотреть его содержание просто сдампив нужны раздел mtd. Pmon еще один интересный раздел. Он содержит данные, сжатые LZMA, которые использует загрузчик для восстановления прошивки при неудачном обновлении. Взлом. Время начать чего нибудь взламывать. Нам нужны утилиты вроде gdb, gdbserver и strace для начала отладки бинарников. Мы можем их либо кросс компилировать, либо настроить OptwareEntware и установить собранные пакеты. Wanduck GPL. Он запускается по умолчанию, и поднимет псевдо HTTP сервер на порту 1. Этот HTTP сервер перенаправляет каждый запрос на главный интерфейс и, по какой то причине, отбрасывает все запросы, которые заканчиваются на. Если вы используете IDA Pro, откройте бинарник и установите тип процессора в mipsrl. Найдите функцию handle. Отладчик остановится на заданной точке останова и вы сможете посмотреть регистры и память. Если вы хотите найти другие цели для исследования, поищите их в директории prebuilt внутри GPL. Некоторые интересные бинарники acsdprebuiltacsdwebdav. Если вы разреверсите APK, или используете перехватывающий прокси, вы сможете получить первичный HTTP запрос приложения Заметили странный параметр ddns Задачка на криптографию переводчик так не считает. Криптография. POST запрос пытается зарегистрировать новый Dynamic DNS адрес устройству, используя сервис asuscomm. Если мы поищем эту строку в исходниках RT AC6. U, то с легкостью найдем функцию, которая генерирует адрес DDNS var is. MD5. DDNSName function. Просто сгенерируем список всех возможных MAC адресов и переберем DNS имена трюкомmubixа. Если вам слишком лениво запускать команду, вы можете поискать asuscomm. Shodan. Ai. Cloud по умолчанию работает на портах 8. Сам факт, что любой человек может с легкостью получить список роутеров, у которых запущен этот сервис, должен вызывать беспокойство, верноДругой интересной криптографической разминкой может быть разбор алгоритма для генерации WPS PIN а устройства. Вы можете получить текущий PIN и secret. Поищите эти значения в исходном коде и используйте полученную информацию для написания кейгена и не забудьте добавить чиптюн с pouet. Вы также можете проверить энтропию ключей, сгенерированных на устройстве. Гляньте слайды Fast Internet wide Scanning and its Security Applications, чтобы почерпнуть пару идей. Веб. Есть так много техник для тестирования веб проникновений, что я сфокусируют только на паре из них. У интерфейса роутера нет никакой защиты от CSRF. Также есть традиционный инжект в ping команде и куча векторов XSS. HTTP демон основан на microhttpd. Тут есть базовая защита от выхода из директории в httpd. Мы можем бесстыдно стащить идеюhackerfantastic и протестировать потенциальные обходы защиты include lt stdio. Настройки, бывает, сохраняются через функцию nvram. Если роутер не экранирует данные, которые получает с NVRAM, то можно сделать что то вроде NVRAM инъекции 0. A, 0. D и reboot всегда будут вашими помощниками в этом деле. Ai. Cloud очень уязвимый сервис, который можно легко проэксплуатировать. Как только вы активируете его в настройках, на роутере запускается lighttpd на порту 8. Прикол в том, что диалог ввода логина и пароля можно обойти, добавив smb к URL читайте исходникиЯ написал небольшой скрипт для эксплуатации этого бага в Ai. Cloud на RT AC6. U v. Он получает все файлы и пути на роутере, в том числе и с USB устройств. Beautiful. Soup. def list. По этому пути находятся все компоненты и скрипты, которые используются в веб интерфейсе. Бонус. Почему бы не попробовать открыть крышку роутера, не повредив гарантийную пломбу Для этого вам понадобятся советы от ребят из DEFCON Tamber Evident Village. Другое вроде заключения. Взлом Asus RT AC6. U отличное упражнение для новичков во взломе роутеров. Вы могли и не заметить, но мы протестировали каждый пункт из OWASP Internet of Things Top 1. Ходят слухи, что этот роутер будет в составе базовой части OWASP Io. T Webgoat и Damn Vulnerable Embedded Linux. Вот еще парочка подходов, которые вам могут дать дополнительные очки в соревновании Перезапись кода загрузчика и создание dual boot с backdoor. Добавление backdoor в прошивку таким образом, чтобы он не удалялся при обновлении прошивки. Окирпичивание роутера удаленно. Перепрограммирование LED на игру в PONG. Есть еще куча вещей, о которых я хочу написать, но придержу их для следующих постов. Если вы намерены участвовать в SOHOpelessly. Broken CTF и нашли эту статью полезной, вы можете в любое время пнуть меня и попить со мной кофе во время DEFCONBsides.