AX3600 SSH的现状和一些困境

LonGDikE

高渐离 发表于 2020-5-18 13:18
不是这一行啊。。要的是
"EAP: trimming really long peer name down"

我看了RM2100固件中的pppd，也没有"EAP: trimming really long peer name down"...

高渐离

LonGDikE 发表于 2020-5-22 22:24
我看了RM2100固件中的pppd，也没有"EAP: trimming really long peer name down"...

那也许可以，你看看libc，使用的是不是有溢出保护的版本，如果不是的话还有戏。。。但是这个payload超出我的水平了，不会写pie的版本

LonGDikE

高渐离 发表于 2020-5-23 12:35
那也许可以，你看看libc，使用的是不是有溢出保护的版本，如果不是的话还有戏。。。但是这个payload超出 ...

我更不懂了呀。。。
上次有人说有web注入漏洞，也没见放出来。。。。

高渐离

LonGDikE 发表于 2020-5-23 12:50
我更不懂了呀。。。
上次有人说有web注入漏洞，也没见放出来。。。。

那肯定是假的，现在还有所谓大侠做出固件，拿张截图招摇撞骗。做出来固件又能咋样，刷不进去还是白搭

LonGDikE

高渐离 发表于 2020-5-24 16:10
那肯定是假的，现在还有所谓大侠做出固件，拿张截图招摇撞骗。做出来固件又能咋样，刷不进去还是白搭

1. function _cmdformat(str)
   
2.     if isStrNil(str) then
   
3.         return ""
   
4.     else
   
5.         -- string.gsub, will return a pair of values, the modified string and the number of substitutions made
   
6.         local newStr = str:gsub("\", "\\\"):gsub("`", "\\`"):gsub(""", "\\""):gsub("%$", "\\$")
   
7.         return newStr
   
8.     end
   
9. end

复制代码

大神看看上面的过滤还有漏洞没？

LonGDikE

高渐离 发表于 2020-5-24 16:10
那肯定是假的，现在还有所谓大侠做出固件，拿张截图招摇撞骗。做出来固件又能咋样，刷不进去还是白搭

我觉得我已经找到注入漏洞了

LonGDikE

高渐离 发表于 2020-5-24 16:10
那肯定是假的，现在还有所谓大侠做出固件，拿张截图招摇撞骗。做出来固件又能咋样，刷不进去还是白搭

我已经开启SSH了，目前还差root密码，不是太熟，我看一下怎么弄

网崇

ssh有贴可开启了，大神应该研究下一步操作了。

高渐离

LonGDikE 发表于 2020-5-26 11:41
我已经开启SSH了，目前还差root密码，不是太熟，我看一下怎么弄

woc，厉害啊。我根本就没想到还会有web注入漏洞这种。。root密码可以试试直接改shadow，另外更新之后保留的方法你有研究过吗？

LonGDikE

高渐离 发表于 2020-5-28 21:48
woc，厉害啊。我根本就没想到还会有web注入漏洞这种。。root密码可以试试直接改shadow，另外更新之后保留 ...

你是说更新固件？我觉得只能通过修改官方固件的方法了（替换公钥），要研究一下ubi解包和打包

高渐离

LonGDikE 发表于 2020-5-28 22:48
你是说更新固件？我觉得只能通过修改官方固件的方法了（替换公钥），要研究一下ubi解包和打包

不用，我有个好思路，想想以前的开启ssh的方法，是通过刷入一个固件还记得吗？咱们试试修改校验的函数把那个刷进去

LonGDikE

高渐离 发表于 2020-5-28 23:13
不用，我有个好思路，想想以前的开启ssh的方法，是通过刷入一个固件还记得吗？咱们试试修改校验的函数把 ...

这个思路感觉是行不通的

zsneoks

LonGDikE 发表于 2020-5-28 23:39
这个思路感觉是行不通的

看了下系统里这个脚本应该是用来刷固件的

1. /bin/flash.sh

复制代码

其中校验镜像的部分如下

1. 
   
2. upgrade_param_check $1
   
3. 
   
4. # image verification...
   
5. klogger -n "Verify Image: $1..."
   
6. mkxqimage -v "$1"
   
7. if [ "$?" = "0" ]; then
   
8.         klogger "Checksum O.K."
   
9.         uploadUpgrade
   
10. else
    
11.         msg="Check Failed!!!"
    
12.         hndmsg
    
13. fi
    
14. 
    
15. board_start_upgrade_led
    
16. 
    
17. # stop services
    
18. board_prepare_upgrade
    
19. 
    
20. # prepare to extract file
    
21. filename=`basename $1`
    
22. upgrade_prepare_dir $1
    
23. cd /tmp/system_upgrade
    
24. 
    
25. # start board-specific upgrading...
    
26. klogger "Begin Upgrading and Rebooting..."
    
27. board_system_upgrade $filename $2 $3
    
28. 
    
29. # some board may reset after system upgrade and not reach here
    
30. # clean up
    
31. cd /
    
32. cap=700
    
33. curcap=`du -sk /tmp/system_upgrade/|awk '{print $1}'`
    
34. if [[ $curcap -gt $cap ]] ; then
    
35.         upkernel=true
    
36. fi
    
37. 
    
38. rm -rf /tmp/system_upgrade
    

复制代码

把这里校验镜像的地方注释了不就行了么。你们做个直接开通ssh的固件。

高渐离

zsneoks 发表于 2020-5-29 00:23
看了下系统里这个脚本应该是用来刷固件的

其中校验镜像的部分如下

先不忙，风险太高了，万一刷进去砖了救都救不了

LonGDikE

zsneoks 发表于 2020-5-29 00:23
看了下系统里这个脚本应该是用来刷固件的

其中校验镜像的部分如下

先有鸡还是先有蛋的问题，既然能改里面的文件了，就说明已经获取shell了，再搞开通ssh的固件有啥用