Mirai(物联网设备默认密码)

10.10.10.48

扫描

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
PORT   STATE SERVICE VERSION
53/tcp open  domain  dnsmasq 2.76
| dns-nsid: 
|_  bind.version: dnsmasq-2.76

Service detection performed. Please report any incorrect results at https://nmap.org/submit/ .
Nmap done: 1 IP address (1 host up) scanned in 16.58 seconds
Starting Nmap 7.70 ( https://nmap.org ) at 2019-01-20 11:05 +08
Nmap scan report for 10.10.10.48
Host is up.

PORT   STATE SERVICE VERSION
53/udp open  domain  dnsmasq 2.76
| dns-nsid: 
|_  bind.version: dnsmasq-2.76
  • 开放了什么服务?域名服务
  • 可能有什么漏洞?版本漏洞
  • 检查和结果: searchsploit dnsmasq 小于2.78,有多个dos漏洞的exp。 暂时无思路

再次扫描

  • nmap -O 10.10.10.48
    1
    2
    3
    22/tcp open  ssh
    53/tcp open  domain
    80/tcp open  http
    
  • nmap -sV -p 22,80 10.10.10.48
    1
    2
    22/tcp open  ssh     OpenSSH 6.7p1 Debian 5+deb8u3 (protocol 2.0)
    80/tcp open  http    lighttpd 1.4.35
    
  • 猜测:os: debian linux
  • 可能有什么漏洞?版本漏洞、弱口令
  • 执行的命令: searchsploit -m exploits/linux/remote/31396.txt
  • 检查和结果: Lighttpd 1.4.x,信息泄露,exploits/linux/remote/31396.txt http://10.10.10.48/~nobody/etc/passwd,访问为空白

  • 目录扫描: 10.10.10.48/versions/ OIevRH8M.bin 获得了一个二进制文件
    1
    2
    3
    4
    5
    OIevRH8M.bin: ASCII text, with no line terminators
    1547954147,,, 文件内容,疑似口令,用ssh root和pohole登陆,无结果
                  尝试登陆后台无结果,爆破500条用户密码无结果
    http://10.10.10.48/admin/
    获得一个后台
    
  • 检查web cms Pi-hole Version v3.1.4 Web Interface Version v3.1 FTL Version v2.10 未发现可用exp

  • 用burp scanner扫描一下web漏洞
  • nikto扫描一些中间件 该服务器是DNS服务器,pi-hole是python写的

第三次扫描

1
2
3
4
5
6
7
8
9
10
22,53,80省略。。。
1636/tcp  open   upnp    Platinum UPnP 1.0.5.13 (UPnP/1.0 DLNADOC/1.50)
32400/tcp open   http    Plex Media Server httpd
| http-auth: 
| HTTP/1.1 401 Unauthorized\x0D
|_  Server returned status 401 but no WWW-Authenticate header.
|_http-cors: HEAD GET POST PUT DELETE OPTIONS
|_http-title: Unauthorized
32469/tcp open   upnp    Platinum UPnP 1.0.5.13 (UPnP/1.0 DLNADOC/1.50)
Service Info: OS: Linux; CPE: cpe:/o:linux:linux_kernel
  • 检查1636,
  • 检查32400/Plex Media Server,X-Plex-Version=3.9.1 4 http://10.10.10.48:32400 没有检查出具体漏洞

  • 32469/Platinum UPnP 没有检查出具体漏洞

writeup

5

经过信息搜集,发现是树莓派设备上安装的服务。用默认密码,ssh登陆。sudo su,即可获得root权限。

在检查root.txt中,发现有个提示

1
2
3
4
Damnit! Sorry man I accidentally deleted your files off the USB stick.
Do you know if there is any way to get them back?

-James

说root.txt被删除了。

用strings命令,可以检查这个分区中所有的字符串。

总结

因为一开始,攻击向量找错了,一直往有漏洞的服务或者弱口令爆破上面去想,所以一直没有收获。

strings这个命令,以前用过,只知道可以检查可执行文件中的字符串。没想到还可以检查硬盘分区中的字符串。。。