Mirai（物联网设备默认密码）

10.10.10.48

扫描

1 2 3 4 5 6 7 8 9 10 11 12 13 14 15

PORT STATE SERVICE VERSION 53/tcp open domain dnsmasq 2.76 | dns-nsid: |_ bind.version: dnsmasq-2.76 Service detection performed. Please report any incorrect results at https://nmap.org/submit/ . Nmap done: 1 IP address (1 host up) scanned in 16.58 seconds Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-20 11:05 +08 Nmap scan report for 10.10.10.48 Host is up. PORT STATE SERVICE VERSION 53/udp open domain dnsmasq 2.76 | dns-nsid: |_ bind.version: dnsmasq-2.76

• 开放了什么服务？域名服务
• 可能有什么漏洞？版本漏洞
• 检查和结果： searchsploit dnsmasq 小于2.78，有多个dos漏洞的exp。 暂时无思路

再次扫描

• nmap -O 10.10.10.48

  1 2 3

  22/tcp open ssh 53/tcp open domain 80/tcp open http

• nmap -sV -p 22,80 10.10.10.48

  1 2	22/tcp open ssh OpenSSH 6.7p1 Debian 5+deb8u3 (protocol 2.0) 80/tcp open http lighttpd 1.4.35

• 猜测：os: debian linux
• 可能有什么漏洞？版本漏洞、弱口令
• 执行的命令： searchsploit -m exploits/linux/remote/31396.txt

• 检查和结果： Lighttpd 1.4.x，信息泄露，exploits/linux/remote/31396.txt http://10.10.10.48/~nobody/etc/passwd，访问为空白

• 目录扫描： 10.10.10.48/versions/ OIevRH8M.bin 获得了一个二进制文件

  1 2 3 4 5

  OIevRH8M.bin: ASCII text, with no line terminators 1547954147,,, 文件内容,疑似口令，用ssh root和pohole登陆，无结果 尝试登陆后台无结果，爆破500条用户密码无结果 http://10.10.10.48/admin/ 获得一个后台

• 检查web cms Pi-hole Version v3.1.4 Web Interface Version v3.1 FTL Version v2.10 未发现可用exp

• 用burp scanner扫描一下web漏洞
• nikto扫描一些中间件 该服务器是DNS服务器，pi-hole是python写的

第三次扫描

1 2 3 4 5 6 7 8 9 10

22,53,80省略。。。 1636/tcp open upnp Platinum UPnP 1.0.5.13 (UPnP/1.0 DLNADOC/1.50) 32400/tcp open http Plex Media Server httpd | http-auth: | HTTP/1.1 401 Unauthorized\x0D |_ Server returned status 401 but no WWW-Authenticate header. |_http-cors: HEAD GET POST PUT DELETE OPTIONS |_http-title: Unauthorized 32469/tcp open upnp Platinum UPnP 1.0.5.13 (UPnP/1.0 DLNADOC/1.50) Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel

• 检查1636，

• 检查32400/Plex Media Server，X-Plex-Version=3.9.1 http://10.10.10.48:32400 没有检查出具体漏洞

• 32469/Platinum UPnP 没有检查出具体漏洞

---

writeup

经过信息搜集，发现是树莓派设备上安装的服务。用默认密码，ssh登陆。sudo su，即可获得root权限。

在检查root.txt中，发现有个提示

1 2 3 4

Damnit! Sorry man I accidentally deleted your files off the USB stick. Do you know if there is any way to get them back? -James

说root.txt被删除了。

用strings命令，可以检查这个分区中所有的字符串。

总结

因为一开始，攻击向量找错了，一直往有漏洞的服务或者弱口令爆破上面去想，所以一直没有收获。

strings这个命令，以前用过，只知道可以检查可执行文件中的字符串。没想到还可以检查硬盘分区中的字符串。。。