Mirai(物联网设备默认密码)

10.10.10.48

扫描

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
PORT   STATE SERVICE VERSION
53/tcp open  domain  dnsmasq 2.76
| dns-nsid: 
|_  bind.version: dnsmasq-2.76

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 16.58 seconds
Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-20 11:05 +08
Nmap scan report for 10.10.10.48
Host is up.

PORT   STATE SERVICE VERSION
53/udp open  domain  dnsmasq 2.76
| dns-nsid: 
|_  bind.version: dnsmasq-2.76
  • 开放了什么服务?域名服务
  • 可能有什么漏洞?版本漏洞
  • 检查和结果:
    searchsploit dnsmasq
    小于2.78,有多个dos漏洞的exp。
    暂时无思路

再次扫描

  • nmap -O 10.10.10.48

    1
    2
    3
    22/tcp open  ssh
    53/tcp open  domain
    80/tcp open  http

  • nmap -sV -p 22,80 10.10.10.48

    1
    2
    22/tcp open  ssh     OpenSSH 6.7p1 Debian 5+deb8u3 (protocol 2.0)
    80/tcp open  http    lighttpd 1.4.35

  • 猜测:os: debian linux

  • 可能有什么漏洞?版本漏洞、弱口令

  • 执行的命令:
    searchsploit -m exploits/linux/remote/31396.txt

  • 检查和结果:
    Lighttpd 1.4.x,信息泄露,exploits/linux/remote/31396.txt
    http://10.10.10.48/~nobody/etc/passwd,访问为空白

  • 目录扫描:

10.10.10.48/versions/
OIevRH8M.bin 获得了一个二进制文件

1
2
3
4
5
OIevRH8M.bin: ASCII text, with no line terminators
1547954147,,, 文件内容,疑似口令,用ssh root和pohole登陆,无结果
                尝试登陆后台无结果,爆破500条用户密码无结果
http://10.10.10.48/admin/
获得一个后台

  • 检查web cms
    Pi-hole Version v3.1.4 Web Interface Version v3.1 FTL Version v2.10
    未发现可用exp

  • 用burp scanner扫描一下web漏洞

  • nikto扫描一些中间件
    该服务器是DNS服务器,pi-hole是python写的

第三次扫描

1
2
3
4
5
6
7
8
9
10
22,53,80省略。。。
1636/tcp  open   upnp    Platinum UPnP 1.0.5.13 (UPnP/1.0 DLNADOC/1.50)
32400/tcp open   http    Plex Media Server httpd
| http-auth: 
| HTTP/1.1 401 Unauthorized\x0D
|_  Server returned status 401 but no WWW-Authenticate header.
|_http-cors: HEAD GET POST PUT DELETE OPTIONS
|_http-title: Unauthorized
32469/tcp open   upnp    Platinum UPnP 1.0.5.13 (UPnP/1.0 DLNADOC/1.50)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

  • 检查1636,

  • 检查32400/Plex Media Server,X-Plex-Version=3.9.1

    http://10.10.10.48:32400
    没有检查出具体漏洞

  • 32469/Platinum UPnP
    没有检查出具体漏洞

writeup

经过信息搜集,发现是树莓派设备上安装的服务。用默认密码,ssh登陆。sudo su,即可获得root权限。

在检查root.txt中,发现有个提示

1
2
3
4
Damnit! Sorry man I accidentally deleted your files off the USB stick.
Do you know if there is any way to get them back?

-James

说root.txt被删除了。

用strings命令,可以检查这个分区中所有的字符串。

总结

因为一开始,攻击向量找错了,一直往有漏洞的服务或者弱口令爆破上面去想,所以一直没有收获。

strings这个命令,以前用过,只知道可以检查可执行文件中的字符串。没想到还可以检查硬盘分区中的字符串。。。