一段時(shí)間以前一位從事信息安全的朋友請(qǐng)我做一件奇怪的事情。讓我黑掉他的路由器。我們可以叫他bill，出于保護(hù)隱私的原因，其它的名字和地點(diǎn)都會(huì)有所改變。但是供應(yīng)商的名字會(huì)被保留。

　　入侵一個(gè)大公司很容易(也許吧)。他們的信息資源可能分布在全球各地，盡管他們會(huì)投資各種各樣的防護(hù)技術(shù)，但這也僅僅是讓我們很難追蹤他們所有的東西而已。他們得日復(fù)一日的為所有資產(chǎn)嚴(yán)格地執(zhí)行掃描-修補(bǔ)-重啟流程，不容有失。

　　但是入侵個(gè)人則很困難。的確，黑帽技術(shù)在非對(duì)稱的信息安全性方面有它的優(yōu)勢(shì)。有時(shí)只需要一個(gè)bug（就可以成功黑掉大公司）。但是與大公司相比，個(gè)體目標(biāo)暴露的攻擊區(qū)域是非常的小的。此外，很多人都相信大型供應(yīng)商提供的信息，以及云供應(yīng)商通常會(huì)做保護(hù)人們免受攻擊這樣高尚的事情。

　　我從最基本的偵察開(kāi)始。我喜歡使用Maltego，再附加上像checkusernames.com、knowem.com、piple search這樣的網(wǎng)站，以及其他工具來(lái)計(jì)算在線狀態(tài)。同樣還有一些比較經(jīng)典的網(wǎng)站如Google+，F(xiàn)acebook以及Linkedin。我們可以使用Facebook上的一些假資料來(lái)做這樣的工作。你需要為你的目標(biāo)準(zhǔn)備好的誘餌信息，這樣可以通過(guò)社交引擎提取額外的信息。

　　而在線狀態(tài)方面，密碼重置問(wèn)題是非常好的“低垂的果實(shí)(唾手可得的東西)”。我見(jiàn)過(guò)有些web郵箱賬戶詢問(wèn)的信息是可以直接從目標(biāo)的Facebook資料里面找到的。我確信大多數(shù)人甚至都不會(huì)意識(shí)到這一點(diǎn)，他們可能在五年前寫的這些重置問(wèn)題（而現(xiàn)在早忘了）。然而現(xiàn)在這些東西在這里都不管用了。要知道我的目標(biāo)是個(gè)搞信息安全的書(shū)呆子，而他正期待著我。

　　是時(shí)候跟他決斗了。首先，我檢查了他是否有在他的家庭網(wǎng)絡(luò)連接上托管任何東西。他可能以前做過(guò)但沒(méi)有注意。很多的應(yīng)用和設(shè)備使用UPnP在消費(fèi)級(jí)的防火墻上面打孔。有時(shí)候我們只需要一個(gè)NAS或媒體服務(wù)器來(lái)開(kāi)啟一個(gè)后門即可。為了找到他的家庭IP地址，我使用了一個(gè)Skype解析器，比如resolvme.org。它非常棒。我掃描了他的ip地址(以及一些鄰居的ip)來(lái)看是否可以找到一些服務(wù)。雖然沒(méi)有骰子…但我確信他認(rèn)為我會(huì)這樣做。

　　好吧，接下來(lái)，821.11。無(wú)線網(wǎng)絡(luò)是一個(gè)非常棒的攻擊媒介。我有兩塊Radeon 6990′s的顯卡在i7平臺(tái)上，通過(guò)WPA哈希值咬合在一起。我使用一個(gè)馬爾科夫預(yù)測(cè)字表生成器來(lái)為oclHashcat提供預(yù)測(cè)值。它在8小時(shí)內(nèi)能達(dá)到80%的平均破解率。

　　所以我從bill的地址著手（用各種Alfa wifi卡）。實(shí)際上我也是知道Bill的地址的，可能我之前已經(jīng)通過(guò)偵察或社交引擎得到了這些信息。這可不是什么秘密。在我成功的捕捉到一個(gè)WPA握手之后，我運(yùn)行了一周的破解器，還是不行。也許對(duì)大多數(shù)人來(lái)說(shuō)這是有用的，但Bill是個(gè)從事信息安全的家伙。他的WPA的key很可能大于32個(gè)字符長(zhǎng)度。

　　此時(shí)你可能會(huì)想為什么我沒(méi)有利用java 0-day漏洞對(duì)他魚(yú)叉式釣魚(yú)然后享受我的勝利啤酒。答案很簡(jiǎn)單——我知道我的目標(biāo)。他精于掃描-修復(fù)-重復(fù)的咒語(yǔ)。我要手上真有一個(gè)瀏覽器0-day漏洞，上周就贏了。

　　在我參觀了Bill的地盤后，帶了一點(diǎn)有用的信息離開(kāi)了。他的無(wú)線路由器的MAC地址(BSSID)：06:A1:51:E3:15:E3。由于我有OUI(MAC的前3個(gè)字節(jié))，我知道這是Netgear的路由器。我當(dāng)然也知道Netgear的路由器有一些問(wèn)題，但Bill運(yùn)行的是最新的固件?？蛇@并不意味著所有的漏洞都在這個(gè)固件中被修復(fù)了。想要確定唯一的辦法就是自己買一個(gè)Netgear路由器并親自測(cè)試它。

　　要獲取準(zhǔn)確的型號(hào)也許不可能（反正從遠(yuǎn)程是不行）。消費(fèi)者設(shè)備可能在不同型號(hào)間有許多變體，因?yàn)閰⒖计脚_(tái)來(lái)自于Soc供應(yīng)商，比如Broadcom和Atheros。我知道Bill有點(diǎn)簡(jiǎn)樸，所以我選了WNDR3400v3——入門級(jí)的產(chǎn)品。

　　在了解了一些該設(shè)備的一些弱點(diǎn)后，我做了兩個(gè)Metasploit模塊。在第一個(gè)模塊，我用一個(gè)CSRF漏洞發(fā)送post請(qǐng)求到UPnP接口并打了個(gè)孔來(lái)訪問(wèn)路由器自身的遠(yuǎn)程連接服務(wù)。這個(gè)問(wèn)題在很多其他設(shè)備上都存在，而且非常值得重視。

　　如果你能通過(guò)CSRF欺騙UPnP請(qǐng)求，你可以將整個(gè)網(wǎng)絡(luò)鬧的天翻地覆。

　　這是非常關(guān)鍵的一點(diǎn)。我開(kāi)啟了一個(gè)單獨(dú)的端口。你可以從受害者的瀏覽器上使用Ajax請(qǐng)求為每一個(gè)子網(wǎng)中的IP配置NAT入口，從而有效的禁用防火墻。當(dāng)然對(duì)于UPnP的NAT入口數(shù)量有很多硬限制，但是大多數(shù)設(shè)備都會(huì)允許有足夠的入口來(lái)為100臺(tái)左右的主機(jī)映射一些關(guān)鍵端口。

　　為了引誘Bill走到我設(shè)的陷阱上，我給他發(fā)送了一封內(nèi)置鏈接的郵件。Cobalt Strike有個(gè)工具可以拷貝一封已存在的郵件（標(biāo)題和所有），所以就很簡(jiǎn)單了。我需要做的僅僅是修改這個(gè)鏈接。那么什么郵件是每個(gè)人都會(huì)點(diǎn)的呢？哪怕是個(gè)從事信息安全的家伙？——邀請(qǐng)。

　　編輯：有些讀者可能會(huì)懷疑為什么Bill會(huì)喜歡這個(gè)。哪怕簡(jiǎn)單的檢查下發(fā)件人域或是鏈接都會(huì)發(fā)現(xiàn)有問(wèn)題。一個(gè)好的借口是成功的關(guān)鍵所在。至于借口的背景，我們看這篇文章。在這種情況下，邀請(qǐng)似乎從那個(gè)下午他與某個(gè)人的會(huì)議就發(fā)出了。好吧，是還有很多非正式的工作面談，我想這是個(gè)確認(rèn)偏差——他愿意相信自己得到了這個(gè)工作。

　　在我發(fā)送這封郵件之前，我需要一個(gè)跟蹤負(fù)載。默認(rèn)情況下telnet端口在Netgear路由器上是開(kāi)啟的，但是服務(wù)沒(méi)有響應(yīng)。你必須連接到端口并發(fā)送一個(gè)特殊的解鎖碼。事實(shí)上存在對(duì)這個(gè)漏洞的公開(kāi)利用，但我還是寫了另一個(gè)MSF模塊，因?yàn)槲蚁矚g我的Ruby（以及Metasploit）。

　　Bill點(diǎn)擊了這個(gè)鏈接。在我看到回調(diào)時(shí)，我觸發(fā)了第二個(gè)模塊然后通過(guò)telnet登陸到了路由器。在我獲得路由器的root訪問(wèn)權(quán)限后，我立即更改了DNS設(shè)置讓其指向一個(gè)由我控制的DNS服務(wù)器。

　　控制DNS是一件非常過(guò)癮的事情，它有效的為你提供所需要的中間人攻擊。有很多的MITM攻擊載體，但我還是喜歡Evilgrade——因?yàn)槠潆[秘性。Evilgrade已經(jīng)問(wèn)世很多年了，但仍然很棒（有一些必要的修改）。在Bill決定升級(jí)notepad++到新版本之前我等了大概一周的時(shí)間。當(dāng)他做時(shí)，他送了一個(gè)有后門的版本，這也在他的電腦上給我提供了一個(gè)Meterpreter shell。我立即發(fā)了封帶有截圖和擊鍵記錄的郵件，幾分鐘后他拔去了電腦的插頭。

　　最后，我得到了6瓶裝的Ruby啤酒的獎(jiǎng)勵(lì)。我愛(ài)我的Ruby！

　　原文鏈接： disconnected   翻譯： 伯樂(lè)在線 - deathmonkey