Уязвимость Яндекс.Метро (Баян и копипаста)

Тема в разделе "Взлом и уязвимости", создана пользователем Claudius, 9 янв 2017.

  1. Claudius

    Claudius

    Сообщения:
    97
    Баллы:
    6
    Возможность определения физического местоположения пользователя может быть порой весьма полезна, если вы сотрудник министерства правды, коллектор или просто криминальный элемент.

    Для этого необходимо с помощью известной XSS или CSRF уязвимости в прошивке домашнего роутера определить MAC адрес маршрутизатора пользователя (он же и будет BSSID Wi-Fi сети). Если у вас есть прямой доступ к ПК пользователя, то достаточно просмотреть ARP кэш на ПК с помощью команды «arp -a». Обычно первой строчкой в кэше идет MAC адрес шлюза по-умолчанию, который и будет искомым BSSID.
    Полученный BSSID можно вставить в запрос, который отсылает Яндекс.Метро:
    [​IMG]
    После чего мы получим вот такой ответ:
    [​IMG]

    В ответном пакете указаны координаты запрошенной wi-fi точки доступа, бережно собранные и сохранённые Яндексом. Можно вбить их в Google Maps и найти нужный вам дом. Координаты не всегда точные, но как отправная точка для поисков сгодятся.
    Теперь один из способов вычисления МАС-адреса:
    Польский security-эксперт Michał Sajdak из компании Securitum нашел очень интересный бэкдор в роутерах TP-LINK. Эксплуатация бэкдора довольна проста, и её суть показана на следующей иллюстрации:
    [​IMG]
    Инструкция:
    1. Пользователь выполняет HTTP-запрос:
      http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html
    2. Роутер подключается к IP-адресу, сделавшему данный запрос, и пробует найти TFTP-сервер.
    3. В случае если TFTP-сервер найден, роутер скачивает файл «nart.out»
    4. Скачанный файл запускается с привилегиями root-пользователя
    Скорее всего данный бэкдор может быть использован только внутри сети.
    Бэкдор содержат следующие модели роутеров: TL-WDR4300, TL-WR743ND (v1.2 v2.0). Однако данный список может быть не полным.
    UPDATE от меня:
    Помимо URL, который указан выше, в прошивке для TL-WDR4300 содержатся еще два:
    [​IMG]
    Обработка HTTP-запроса к /userRpm/DebugResultRpm.htm:
    [​IMG]
    Как мы видим у скрипта есть три параметра:
    /userRpm/DebugResultRpm.htm?cmd=CMD&wan_bpa_usr=osteam&passwd=5up
    Если при запросе к этому URL комманда действительно выполняется, то это дает возможность произвести красивую CSRF-атаку (например сменить роутинг или изменить hosts-файл).
    Нужны добровольцы с TP-Link, которые могли бы проверить этот URL.
    Если откопаю другие способы вычисления МАС (а их много) - выложу в ветку.
    Claudius, 9 янв 2017
    #1

Поделиться этой страницей