Discussione Mikrotik Webfig hack, quali opzioni?

Stato
Discussione chiusa ad ulteriori risposte.
Ordina per data Ordina commenti per reazioni
D

Dante Alighieri

Utente Iron
15 Giugno 2020
7
2
0
10
Ultima modifica:
Sono alle prese con questo switch Mikrotik (RouterOS ver. 6.42.11) su cui vorrei provare a recuperare la password ma soprattutto studiare come funzionano certe cose, dato che con la password non ci farei di fatto nulla.

Ecco ciò che ho provato finora:

- Attacco a dizionario con MKBRUTUS (https://github.com/mkbrutusproject/MKBRUTUS) senza concludere nulla.
- Script di nmap creato appositamente (https://nmap.org/nsedoc/scripts/mikrotik-routeros-brute.html)
che prende di mira la porta 8728. Lo script sembra andare avanti all'infinito senza concludere nulla.
- Provati vari exploit da exploitdb, ma sembra che questa 6.42.11 sia invulnerabile.
- Provato a restare in ascolto con wireshark e arp poison con ettercap dato che la pagina di login è una http e non https, ma sembra che webfig cripta anche le connessioni non https, dunque nulla di fatto.

Adesso vi chiedo,
quali opzioni mi restano a parte quella del tasto reset?

Ho un sacco di porte aperte (http, 8728, e naturalmente Winbox, SSH e FTP)...
 
Scrivi il post in maniera seria e corretta, altrimenti dovrò trattarti come Filippo Argenti trattò Dante.

Modifica il topic che hai scritto prima e inserisci la domanda, sarebbe meglio
Messaggio unito automaticamente:

sotto il topic che hai scritto c'è un link grigio "segnala" accanto un'altro con scritto "modifica" clicca lì
 
  • Mi piace
Reazioni: One01
Ultima modifica:
Per la versione 6.42.11 non ci sono CVE attivi al momento, a parte qualcuno che richiede gia' l'autenticazione (CVE-2019-3943 poc), se non va il bruteforce o non lo inventi tu l'exploit puoi solo premere il tasto reset
 
nmap non e' mai solo show, piuttosto potrebbe non funzionare se lo script e' per una versione diversa dell'API di Mikrotik. Verifica tu stesso, controlla le diff che gentilmente ti offrono gli sviluppatori di Mikrotik ed in caso cambia qualcosa che impatta la compatibilita' modifica lo script nse.
 
allora, ho controllato e differenze sembra non ce ne siano. Piuttosto mi sono accorto che tutto quello che fa nmap è un banalissimo attacco a dizionario con una lista interna peraltro piuttosto scarna. Risultato: tempo perso.
Se qualcuno avesse in mente altre soluzioni me lo faccia sapere: mi sembra molto strano che questi switch siano assolutamente inviolabili
 
Cavolo Nmap non serve per effettuare gli attacchi, bensì per ottenere informazioni (information gathering) e tra l' altro é la prima fase di un pentesting, nmap é un port scanner ecc..
 
astronomista ha detto:
Cavolo Nmap non serve per effettuare gli attacchi, bensì per ottenere informazioni (information gathering) e tra l' altro é la prima fase di un pentesting, nmap é un port scanner ecc..
Clicca per espandere...
E invece ti sbagli, o per lo meno in parte. Con lo scripting engine di nmap (anche detto NSE) si possono creare degli script in Lua che oltre a effetuare le varie enumerazioni, possono eseguire anche attacchi Brute Force, null authentication ed altri tipi di "attacchi" alle misconfigurazioni (vedi ad esempio gli script nmap per testare se una macchine è vulnerabile a DoublePulsar piuttosto che altri exploit noti per SMB)
 
Forse non mi sono spiegato bene, io intendo dire che ci sono dei tool più appropriati per questo mestiere gratuiti e disponibili da github
 
Allora, ho provato a rilanciare lo script nmap in modalità debug e ad un certo punto mi esce "challenge found f7bb2881acacfd554a1c39041b349d50" posso provare a dare in pasto questa stringa a qualche servizio online tipo hash crack? il problema è che non so che algoritmo usa. Qualcuno ha un'idea?
 
Dante Alighieri ha detto:
Allora, ho provato a rilanciare lo script nmap in modalità debug e ad un certo punto mi esce "challenge found f7bb2881acacfd554a1c39041b349d50" posso provare a dare in pasto questa stringa a qualche servizio online tipo hash crack? il problema è che non so che algoritmo usa. Qualcuno ha un'idea?
Clicca per espandere...

Quella challenge serve solo a microtik per evitare un replay-attack, guarda lo script:

Codice: 
        stdnse.debug1("Challenge value found:%s", ret)
        local md5str = "\0" .. password .. stdnse.fromhex(ret) --appends pwd and challenge
        local chksum = stdnse.tohex(openssl.md5(md5str))

Lo usa come sale crittografico unito alla password: per fare il login tramite API serve fare MD5(password + challenge), cosi' che anche intercettando un hash non lo si potra' riutilizzare, cambiando sempre la challenge (e' generata random ad ogni richiesta).
 
Stato
Discussione chiusa ad ulteriori risposte.
Top Bottom
Indietro