一次实战 WIFI 渗透小米4A千兆路由器提权开 telnet

一次WIFI渗透小米4A千兆路由器提权开telnet

到朋友家里，手机信号太差了，于是想连个wifi网络。苦于没有Wi-Fi密码，于是这篇文章便有了着落。

1. 网络嗅探

打开手机 WIFI 发现周围的 WIFI 热点挺多的，用模拟器下载WIFI万能钥匙开始尝试连接 “免费热点” 即用户不小心泄露的Wi-Fi密码。几番下来，连上7、8个热点。

2. 挑选质量信号较好热点

随意挑选信号3格以上热点，使用测速软件 speedtest 进行网速测试，选取百兆网络热点。

3. 尝试登入路由器管理页面

通过查询热点网关信息，获得路由器管理地址，采用弱密码扫描尝试登入。运气好，社工三次成功登入路由器（耗时不到2分钟），显示型号小米4A路由器，大喜，曾经尝试破解过类似路由器。登入之后一番审计，发现官方提供的固件功能较少，WPS功能都无法找到，于是进一步提权。

4. 开放端口扫描

使用 nmap 进行端口扫描，发现开放端口都是一些常见的 80、443、upnp 等常用端口，没有多大用处。

5. 漏洞寻找提权

于是 google 相关 0day 想要提权，发现一个开源项目

OpenWRTInvasion
Root shell exploit for several Xiaomi routers: 4A Gigabit, 4A 100M, 4C, 3Gv2, 4Q, miWifi 3C…

果断上手

git clone https://github.com/zsuroy/OpenWRTInvasion.git
cd OpenWRTInvasion
pip3 install -r requirements.txt # Install requirements
python3 remote_command_execution_vulnerability.py # Run the script

使用该项目尝试破译提示done成功，但经测试发现 telnet 23端口并未打开
![截屏2022-02-21 下午9.23.06.png][2]

查看源码，发现关键字段有一个下载 busybox 上传到路由器部分，直觉告诉我可能是这个没有正确上传导致的。
复制下载地址到我本机下载发现下载了将近一分钟，然而路由器 exploit 的时候总共不到一分钟，盲猜肯定没有传上去，懒得搭建本地 ftp 了，直接下载下来传入到我的远端在线 ftp 修改 busybox 链接，重新 exploit 成功。

![截屏2022-02-21 下午9.04.54.png][3]

6. 关键信息

cat /etc/config/wireless # 获取wifi信息、密码等

7. 后续

到这一步了之后，根权限已经获取了，完全能够做中间人拦截数据包，稍加利用即便wifi密码更改之后也可以通过编写脚本实现实时发送新的密码到我端。
事实告诉我们，大家在使用 WIFI 时还是需要注意一下安全的问题，不要轻易的泄漏密码，定期检查更新。

原文地址：https://suroy.cn/Simple/64.html
原创：@Suroy