32764 numaralı bağlantı noktasında Netgear yönlendirici dinliyor mu?

13

V5.01.01 ürün yazılımı çalıştıran bir Netgear DG834G ürünüm var. LAN tarafından, eğer portu tararsam, tcp portu 32764'ü dinliyor. Bu porta telnet yapmaya çalışmak bana yanıt veriyor MMcS\xff\xff\xff\xff\0\0\0\0(onaltılık, açıkçası).

UPnP'yi devre dışı bıraktım, uzaktan yönetim bağlantı noktası değil ve WAN tarafında açık değil. Netgear'ın belgelerinde hiçbir şey bulamıyorum ve çevrimiçi arama da hiçbir şey bulamıyor. Birkaç kişi fark etmiş gibi görünüyor, ama kimsenin cevabı yok. Ayrıca, bu bağlantı noktasına giden erişimi engelleyen bir güvenlik duvarı kuralı oluşturdum ve hala açık, bu yüzden aslında onu dinleyen yönlendirici.

Herkes bu ne olabilir biliyor mu?

router  port 
Dentrasi
kaynak
Hangi telnet istemcisini kullanıyorsunuz? Putty kullandığım zaman netgear yönlendiricimle elde ettiğim tek şey "MMcSÿÿ" ...
Mokubai
1
Üzerinde çift noktalı bir y olan onaltılık 0xff, benimle aynı şeyi alıyorsunuz.
Dentrasi
Sadece son zamanlarda karşılaştığım için buna eklemek için, şimdi çıktı: SF-Port32764-TCP: V = 5.61TEST4% I =% 7 D =% 5/8% Zaman = 4FA9A45B% P = i686-pc-linux- gnu% r SF: (GenericLines, C, "MMcS \ xff \ xff \ xff \ xff \ 0 \ 0 \ 0 \ 0")% r (Yardım, C, "MMcS \ xff \ xff \ SF: xff \ xff \ 0 \ 0 \ 0 \ 0 ")% r (X11Probe, C," MMcS \ xff \ xff \ xff \ xff \ 0 \ 0 \ 0 \ 0 ")% r (LPDStr SF: ing, C," MMcS \ xff \ xff \ xff \ xff \ 0 \ 0 \ 0 \ 0 ")% r (TerminalServer, C," MMcS \ xff \ xff \ SF: xff \ xff \ 0 \ 0 \ 0 \ 0 "); Bu bağlantı noktasının varsayılan olarak neden açık olduğuna dair daha fazla bilgi güzel olurdu.
3
mpontillo
Bu cihaz size ait olduğundan ve bir LAN'da olduğunuzdan, belki deneyebilirsiniz nmap -sV --version-all the_device_hostname.
user2284570

Yanıtlar:

4

Hmm, garip.

Onaltılık ff = Ondalık 255, bu nedenle aldığınız yanıt mantıksal olarak

MMcS 255.255.255.255 0.0.0.0 (ağ netliği için noktalar eklendi) temelde ağınızdaki bir yayın adresidir. O belirten olabilir herhangi MMK'lerin servisini kullanabilirsiniz ağınızdaki ip, 255.255.255.255 ağ maskesini 0.0.0.0 yani.

MMCS'nin olabileceği , Vista'nın ağ üzerindeki multimedya trafiğinde öncelik elde etmek için kullanabileceği MultiMedia Sınıf Zamanlayıcı gibi bazı şeyler vardır . Bağlantı noktasının neden yalnızca yerel ağınızda açık olduğunu açıklar.

Ayrıca bu sayfanın ilk gönderisinin 5. noktasında biraz bilgi

Cep telefonu şebekeleriyle ilgili bir şey gibi görünen MIP-MANET Hücre Değiştirme ile ilgili bir şey olacağından şüpheliyim . Vay canına MMCS 255.255.255.255 için Google zaman döndürülen bazı garip şeyler var . Gibi bu .

Bu yüzden, büyük olasılıkla Windows MultiMedia Sınıf Zamanlayıcı'nın trafiğe öncelik vermek için yönlendiriciyle konuşmasına izin veren bir bağlantı noktası olduğunu söyleyebilirim, ancak bazı garip korkak cep telefonu ağları olabilir.

Mokubai
kaynak
Yayınınız içindedir backdoor_description.pptx :)
kenorb
@kenorb Gururlu, utanmış ya da biraz ihlal edilmiş olup olmadığından emin değilim ...
Mokubai
Bazı insanların Noel zamanlarını mahvetmemelerine yardımcı olduğunuz için gurur duyuyorum :)
kenorb
17

Aslında, bu, burada açıklandığı gibi üretici tarafından dahil edilen ve bu komut dosyasını kullanarak kullanılabilir bir yazılım arka kapısı gibi görünmektedir .

Şimdiye kadar satıcı olmayan kişiler bu yönlendiricilerde arka kapılar olduğunu bildirmiştir: Linksys WAG200G, Linksys WAG320N (Yazılım V1.00.12) ve Netgear DM111P. Ancak, aşağıdaki cihazlar da (sizinki dahil) mevcut olabilir, Netgear DG834, DG834G WPNT834 DG934, WG602, WGR614 yönlendirici, Linksys WAG160N ve DGN2000, WAG120N kablosuz-WRVS4400N. Bu arka kapının diğer cihazlarda da bulunması muhtemel görünüyor.

NULLZ
kaynak
ernie
@ D3C4FF: En ilginç olan şey, normal çalıştığında servisin hedef ip_adresi'nin ne olduğunu bilmek olacaktır. Hangi kişinin verileri otomatik olarak topladığını merak ediyorum.
user2284570
Aslında bu soru, bu arka kapının orijinal slayt gösterisinde olduğu gibi yaratıldığı ana sonuçtu: backdoor_description.pptx :)
kenorb
1

Bu, ürün yazılımı yükseltmeleri için kullanılan SerComm, yönlendiriciler ve ev ağ geçitleri cihazlarında (Linksys, Netgear, Cisco) bulunan MIPS bağlantı noktasıdır.

Bu, scfgmgr32764 numaralı bağlantı noktasını dinleyen işlem tarafından yönetilir .

Telnet üzerinden erişildiğinde, ScMMveya tarafından ön ekli veriler MMcS(sistemin endianessine bağlı olarak) döndürülmüş gibi görünür.

Başlığı (0xC bayt) ve ardından bir yük ile çok basit bir ikili protokol.

Başlık yapısı:

typedef struct scfgmgr_header_s {
    unsigned long   magic;
    int             cmd;
    unsigned long   len;
} scfgmgr_header;

Bu, Cisco GPL kaynaklarına dayanmaktadır (örneğin, kullanım dışı bırakılan ftp-eng.cisco.com adresindeki wap4410n_v2.0.1.0_gpl.tgz).

Gerçek bilgi için elvanderb'nin açıklamasına ve örnek Python koduna bakın .

Şu anda, cihaza ( arka kapı ) tam erişim sağlayabilen yığın tabanlı tampon taşması ile ünlüdür . Bu, Eloi Vanderbeken tarafından Noel 2013'te keşfedildi , ancak muhtemelen 2008'de Çinli hackerlar tarafından biliniyordu ( cgi dosyası ).

İşte nasıl çalışır.

Yığın tabanlı arabellek taşması:

Yığın tabanlı arabellek taşması

Mesajlar:

Mesajlar

Yani basit taşan mesaj kullanmak birçok ilginç ayrıntı verebilir:

ekran görüntüsü - WiFi kullanıcı adı ve şifresi

Ancak bu, yapılandırmanın sıfırlanmasına neden olabilir, bu yüzden evde yapmayın.

İşte bu port üzerinden yürütülen yönlendirici tarafından gerçekleştirilen birkaç ters komut.

  1. nvram - Döküm yapılandırması.

  2. get var - Yapılandırma var alın

    olası yığın tabanlı arabellek taşması (değişken kullanıcı tarafından kontrol ediliyorsa)

  3. set var - Yapılandırma var

    yığın tabanlı arabellek taşması, çıkış arabellek (boyut ≈ 0x10000) yığın üzerinde.

  4. commit nvram - / tmp / nvram'dan nvram / dev / mtdblock / 3'ü okuyun ve CRC'yi kontrol edin

    / tmp / nvram'dan nvram (/ dev / mtdblock / 3) ayarlayın; CRC'yi kontrol et

  5. Köprü modunu AÇIK olarak ayarlayın (emin değilim, test edecek zamanım yoktu)

    nvram_set(“wan_mode”, bridgedonly)
nvram_set(“wan_encap”, 0)
nvram_set(“wan_vpi”, 8)
nvram_set(“wan_vci”, 81)
system(“/usr/bin/killall br2684ctl”)
system(“/usr/bin/killall udhcpd”)
system(“/usr/bin/killall -9 atm_monitor”)
system(“/usr/sbin/rc wan stop >/dev/null 2>&1”)
system(“/usr/sbin/atm_monitor&”)

  6. Ölçülen internet hızını göster (indirme / yükleme)

  7. cmd (evet, bu bir kabuk…)

    • özel komutlar:

      • çıkış, güle güle, çık -> çık ... (canlı = 0)
      • cd: dizini değiştir (biraz WTF)

    • diğer komutlar:

      • stdout işleme (?) tamsayı taşması istismar değil ama yine de ...
      • cmd çıktısında arabellek taşması (yine aynı arabellek)…

  8. dosya yaz

    • yükte dosya adı
    • kök dizin = / tmp
    • dizin geçişi mümkün olabilir (test edilmedi ancak açık (sprintf (“/ tmp /% s”, faydalı yük))…)

  9. dönüş versiyonu

  10. modem yönlendirici ip döndür

    • nvram_get ( “lan_ipaddr”)

  11. ayarları varsayılan duruma getirmek

    • nvram_set (“restore_default”, 1)
    • nvram_commit

  12. / dev / mtdblock / 0 oku [-4: -2]

    • ne olduğunu bilmiyorum, test edecek zamanım yoktu

  13. diskte nvram dökümü (/ tmp / nvram) ve kaydetme

Kaynak: (slayt gösterisi) Linksys Noelimi nasıl kurtardı!

Normalde bu tür limanlar resmi olarak IANA tarafından yapılmalıdır .

Bu nedir unSpawn bu limana ilişkin 2007 yılında LinuxQuestions de cevap verdi:

Resmi olarak IANA tarafından atanan bir bağlantı noktasıysa (0 ile yaklaşık 30000 arasında bir sayı ile), numarası / etc / services ('getent services portnumber') içindeki bir hizmete, Nmap veya çevrimiçi gibi bir tarayıcının hizmet dosyasına karşılık gelmelidir. Sans 'ISC gibi bir veritabanı.

Geçici bağlantı noktası kullanımının yerel olarak /proc/sys/net/ipv4/ip_local_port_range sysctl. Eski bir varsayılan 1024-5000, sunucular için 32768-61000 değeri kullanılır ve bazı uygulamalar 1025-65535 gibi bir şey ister.

Ayrıca bunların statik sayıdan hizmete eşlemeler olduğunu ve örneğin / etc / services, TCP/22belirli bir durumda olması gerekmeyen SSH ile eşleştiğini söylerken ,

Eğer bunu kullanarak sorgulayabilirsiniz ana bilgisayara erişiminiz varsa o zaman buna bağlamak yaptığı işlem bilmiyorum hangi bir liman var else if netstat -anp, lsof -w -n -i protocol:portnumberya fuser -n protocol portnumber. Bu en doğru yöntem,

Başka bir sunucuya erişiminiz yoksa, örneğin telnet ile bağlanarak onu sorgulayabilirsiniz. Bu doğru bir yöntem değildir ve güvenliği ihlal edilmiş bir ana bilgisayar söz konusu olduğunda davetsiz misafirinizi uyarabilirsiniz.

Ayrıca bakınız:

kenorb
kaynak
Sitemizi kullandığınızda şunları okuyup anladığınızı kabul etmiş olursunuz: Çerez Politikası ve Gizlilik Politikası.
Licensed under cc by-sa 3.0 with attribution required.