7:36
5/2/2015

Ciekawe narzędzie, które wykonuje te kroki:

1. Odnajduje lokalny adres IP “ofiary” za pomocą JavaScriptu (odpowiednią technikę opisywaliśmy tutaj)
2. Domyśla się, jaki może być adres IP routera (zazwyczaj w tej samej podsieci)
3. Podstawiając żądanie w formie HTTP Basic Authentication (np. <img src=http://admin:admin@192.168.0.1>) próbuje zalogować się na router.
4. Zmienia DNS na fałszywe
5. …
6. PROFIT!

Nie tylko TP-Linki można w ten sposób podejść…

Przeczytaj także:

Ten wpis pochodzi z naszego linkbloga *ptr, dlatego nie widać go na głównej.
*ptr możesz czytać przez RSS albo przez sidebar po prawej stronie serwisu.

7 komentarzy

Dodaj komentarz
  1. Co robić, jak żyć? RequestPolicy?

    • Zmienić hasło.

    • NoScript > Options > Advances > ABE

      Zaptaszkowac enable ABE
      Zaptaszkowac WAN IP

      # Prevent Internet sites from requesting LAN resources.

      https://noscript.net/abe/

      Pozdrawiam.

      Andrzej

    • Zainstalować OpenWRT na routerze, skonfigurować, wyłączyć dostęp przez webUI, wyłączyć dostęp po ssh z hasłem, logować się tylko kluczem.

    • A nie wystarczy zmienić hasło na ruter z domyślnego na jakieś trudniejsze? Biorąc pod uwagę, że wiele ruterów ma dziury związane z dostępem z WANu do panelu mimo wyłączenia tego w konfiguracji (a pewnie jeszcze więcej ma inne tego typu dziury, tylko jeszcze nie zostały publicznie ujawnione) to chyba warto to zrobić na 1 miejscu… Nie mówiąc już o kimś, kto wykorzystał powierzenie mu dostępu do sieci.

      A taki skrypt nie wywoła pełnego brute-force, sprawdzi tylko domyślne hasła, bo nawet prosty atak słownikowy spowodowałby wyraźne spowolnienie przeglądarki, które zasugeruje nam potrzebę zamknięcia zamulającej strony WWW.

  2. Osobna podsieć, z której jest widoczna konfiguracja routera.

  3. Witam.
    Sprawdziłem skrypt działa na modelu TL-WR340G/TL-WR340GD

Twój komentarz

Zamieszczając komentarz akceptujesz regulamin dodawania komentarzy. Przez moderację nie przejdą: wycieczki osobiste, komentarze nie na temat, wulgaryzmy.

RSS dla komentarzy: