Гайд - Получаем SSH доступы к MikroTik'ам. Превращаем его в сервер | End Way - форум программирования и сливов различных скриптов
  • Присоединяйтесь к нам в телеграм канал! EndWay канал | EndSoft канал | EWStudio канал
  • Хочешь поставить скрипт, но не умеешь?
    А может ты хочешь свой уникальный скрипт?

    Тогда добро пожаловать в нашу студию разработки!

    Телеграм бот: EWStudioBot
    Телеграм канал: EWStudio

Гайд Получаем SSH доступы к MikroTik'ам. Превращаем его в сервер

SSH

connection...
Автор темы
31 Май 2023
189
469
63
1715952899820

Всем добрейшего времени суток, друзья! :anime_hi:

Сегодня у нас опять работа с MikroTik'ами, но зато будет очень интересно, ведь мы поговорим о

Получении SSH доступов на MikroTik и эксплоитингу его для получения полного доступа к тому, что находиться у него "под капотом"

Настраивайтесь на чтение, возьмите печенек, да кофеёк.
Желаю приятного прочтения!



1715966429907
Я думаю, что каждый уважающий себя человек не раз нуждался в сервере. Кому-то он нужен был для развёртывания небольшого сайта, кому-то для запуска телеграм бота.

Но суки многоуважаемые администраторы хостинг сервисов любят деньжата и задирают такие ценники даже на самые слабые сервера, что хочется рвать и метать, а не платить :anime_bsaber:

Затем я помозговал и задался вопросом: - "А почему бы не попробовать реализовать такое бесплатно, да ещё на моём любимом MikroTik'e?" :pepeokay

Я уже давно знал, что на стандартном MikroTik'е с Router OS ( операционная система для роутеров MikroTik ) через веб-морду
( панель управления, доступ к которой возможен через браузер, обычно занимает 80 порт) или через WinBox ( аналог веб-морды, только в виде программы ) даже настроить некоторые ограничения в Файрволе трудно, муторно и долго, не говорю уже о чём-то другом.

Поэтому мне понадобилось найти какой-нибудь CVE ( ? ) для jailbreak'a ( получения root доступа к ядру ) нашей магической коробочки MikroTik и написать свой приватный эксплоит для этого CVE.

Поискав примерно 10-15 минут я наткнулся на идеально подходящий CVE-2023-30799 и уже готовый эксплоит на Github, обрадовавшись, ведь мне не придётся писать эксплоит самому, я пошёл проверять его:

Поначалу всё было хорошо, ядро вроде бы перепрошилось, но моя чуйка предвидела что-то нехорошее. Это нехорошее оказалось окирпичивание некоторых моделей MikroTik, что делает использование этого инструмента просто вредным!

Ну тогда и пошла веселуха! Я просмотрел исходный код ранее просмотренного эксплоита, понял как происходит подмена файлов, данных и в общем и целом как происходит jailbreak, чтобы написать свой приватный эксплоит, чтобы потом он попал в руки форумчан.

После 5-ёх дней разработки и тестов проект был доделан. Это было крутым и полезным опытом для меня. Теперь я смог проводить jailbreak любого MikroTik'а, версии от 6.27 до 6.49.6 с возможностью дополнения в базу более новых версий прошивок.

Вот так продуктивно моя неделя была проведена, надеюсь вы тоже не скучали


1715970107386
Как и в предыдущих статьях о работе с MikroTik'ами, мы будем использовать тот же метод фарма доступов к панели управления MikroTik'ов. Как обычно заходим на shodan.io и в поисковое меню вбиваем MikroTik:

1715971338821


Нас интересует только вот эта информация слева:
( Подчеркнул и выделил рыжим всё что нам нужно )

1715971645538



Отсюда узнаём, что:
1. Большинство устройств находиться в Бразилии ( именно её мы и будем сканировать позже, но вы можете выбрать иную )
2. Самый частый порт, на котором расположен MikroTik - 8291.

Теперь скачиваем с этого сайта файл BR.cidr ( если вы ранее выбрали другую страну, то скачайте соответсвенный файл с адресами этой страны ). Удаляем из него первую строчку, чтобы остались только адреса, примерно так:

1715972267265

Затем качаем Masscan, дополнительно нужно поставить Npcap. Закидываем ранее подготовленный BR.cidr и Masscan в один каталог ( директорию, папку, называйте как хотите ).
Затем запускаем там же командную строку и пишем в неё:
Код:
Masscan32.exe -p8291 -iL BR.cidr > BR-check.txt --rate 1000000

Или если вы используете Linux, как я, то ставим Wine и прописываем в терминал:
Код:
wine Masscan32.exe -p8291 -iL BR.cidr > BR-check.txt --rate 1000000

1715973412140

Процесс прошел, ожидаем примерно 2 часа ( зависит от кол-ва адресов в файле ) и открываем получившийся BR-check.txt любым удобным текстовым редактором. Убираем всё лишнее, примерно так:
( можно воспользоваться функцией Заменить в редакторе ):

1715973499254

На этом подготовка завершена. Переходим к сканированию!


4
Сразу же скачиваем RouterScan и запускаем его, нас встретит такой интерфейс:
( Или если вы используете Linux, как я, то используем для запуска Wine )

1715974043978


Здесь нам нужно заполнить поля Scan Ports и IP ranges, поясняю, что это такое:
Это те порты адресов, которые будет проверять Router Scan на наличие роутеров и уязвимостей в них
Это список ip адресов, которые будет проверять Router Scan на наличие роутеров и уязвимостей в них

Теперь заполняем:
Вписываем 80, 8080, 443, 8291, нажимая на плюсик. Пример правильно заполненного поля:
Frame 6
Вписываем туда все адреса из ранее заготовленного BR-check.txt. Нажмите на E, чтобы начать добавлять адреса. Пример правильно заполненного поля:
Frame 7

После этого нажимаем на заветную кнопку Start Scan и переходим во вкладку Good Result:

( Goods results далее будет называться "гудами" )

Frame 8

Ну всё, процесс пошёл. Ожидаем некоторое время. Спустя это некоторое время мы увидим таблицу, состоящую только из действующих адресов MikroTik'ов и прочих роутеров. Выглядит всё это дело примерно так:

( замажу адреса, ибо ip'шники из позапрошлой статьи какой-то гадина ушатал и теперь на них не зайти )

Frame 12
Total found - сколько всего подгружено ip адресов;
Good found - сколько всего "гудов";
Work Time - потраченное время на работу;
Total time - предположительное время работы, обычно совпадает с work time.

Как видим из 169 тысяч адресов, "гудов" нашлось только 114 :brff

Находим поле Search и туда вписываем MikroTik, ставим галочку в окошке All и жмём на Search all:

Frame 13

Теперь нажимаем на любой понравившийся левой кнопкой мыши, копируем из столбца Authorization соответствующие логин и пароль от выбранного MikroTik'а и жмём Enter.
( если пароль = <empty> значит его нету, т.е его вводить не нужно)

У нас открывается окно в браузере с простецкой страницей авторизации, вводим туда ранее скопированные логин и пароль, пример:

Frame 14

Жмём Login, нас встречает панель первичных настроек, они нас не интересуют, пропускаем их, нажав на WebFig:

Frame 15

После нажатия на WebFig нас перекинет на главную панель управления, она нам и понадобиться:

Image 23

В первую очередь нам нужно поглядеть какой у нас уровень прав.
Всего их бывает 4 типа: full, admin, write, read.

Мы ищем учётную запись с правами full или admin, иные нам не подходят.

Чтобы узнать какие права у нашей учётки мы тыкаем слева на System -> Users и ищем в открывшемся окошке логин, под которым вы заходили, к примеру у меня это admin:

Frame 16

Как видим мне повезло, учётка имеет права доступа группы full. Если ваша учётная запись имеет уровень ниже admin, то у вас есть 2 пути:
1. Сбрутить другие учётки на этом MikroTik'e, которые состоят в группе full или admin;
2. Попробовать войти в другой MikroTik из вкладки гудов и рекурсивно проделать те же шаги снова.


Этап сканирования завершён. Теперь можем приступать к эскплоитингу


1715975771787
Что нужно для эксплоитинга? Прямые ручки и работающий эксплоит. Вторым обеспечиваю я, с первым разбирайтесь сами :opop

Скачиваем мой эксплойт тут

Разархивируем любым удобным архиватором и заходим в каталог с эксплойтом. Открываем терминал, пишем туда:
Код:
python3 -m venv venv
source venv/bin/activate
( Или можете воспользоваться редактором кода с поддержкой виртуального окружения Python )

Затем через pip3 скачиваем библиотеки:
pycryptodome
requests
donna25519
pynacl

Дожидаемся установки всех библиотек и запускаем в директории с эксплойтом терминал и пишем в него:
Код:
python3 exploit.py -H <айпи-микротика> -u <пользователь> -p <пароль>

Ожидаем минутку и видим примерно такое:

1716022301490

Всё шикарно. Эксплойт загрузился в память устройства и теперь отлично функционирует. Теперь мы можем пользоваться MIkroTik'ом, как настоящей linux системой, но сперва нужно к его командной строке подключиться.

Чтобы подключиться к root консоли ( это которую эксплойт сделал за нас ) мы скачиваем netcat
( На kali он уже установлен из коробки ) и пишем в терминал следующее:
Код:
nc <айпи-микротика> 1337

Ну и всё. Теперь мы имеем полный доступ к ядру, терминалу MikroTik'а и можем осуществлять небольшие-средние задачи: от теста телеграм бота до запуска различных бинарников ( .bin ). Думаю, кто умеет работать с linux найдёт здесь уйму возможностей


1716023768433
Вот мы и подошли к завершению темы. Надеюсь, что после прочтения данной темы у вас получиться повторить шаги, описанные в ней.

Буду очень рад вопросам и пожеланиям.

UPD: Дорогие читатели, я создал свой блог в телеграме. В нём будут постится мои статьи, софт, гайды, инструменты, практические кейсы и иной эксклюзивный контент. Всех желающих приглашаю - @ssh_lab

Автор: SSH
Специально для endway.su
 

Вложения

  • 1715971181902.png
    1715971181902.png
    97.8 KB · Просмотры: 57
  • 1715973720564.png
    1715973720564.png
    293.4 KB · Просмотры: 53
Последнее редактирование:
Like
  • 13
Реакции: 12 users

Banjiro_me

Сеньор
727
18 Май 2023
49
64
18
Если бы еще прикрепил вариант автоматизации всего этого действа, цены бы не было, а так хорошая статья, крайне приятно оформлена. +реп
 
Like
  • 1
Реакции: 1 user

SSH

connection...
Автор темы
31 Май 2023
189
469
63
Banjiro_me, в принципе можно подобное воплотить. у mikrotik'ов есть api, через которое можно обращаться к ним и чекать юзер-групп. попробую, спасибо за идею!
 

NiggaByte+REP

so black
hehe
8 Янв 2023
1,180
2,931
113
интересное чтиво, спасибо за статью

я ж правильно понимаю что это грубо говоря автофарм доступов к роутерам если дописать под свои нужды? можно жеш ботнет из этих роутеров сделать или прокси ?
 
Последнее редактирование:
Like
  • 1
Реакции: 1 user
Активность:
Пока что здесь никого нет