เน็ตเราเตอร์ฟังพอร์ต 32764?

13

ฉันมี Netgear DG834G ที่รันเฟิร์มแวร์ V5.01.01 แล้ว จากด้าน LAN ถ้าฉันพอร์ตสแกนมันก็ฟังพอร์ต tcp 32764 การพยายามที่จะ telnet เข้ากับพอร์ตนี้ให้การตอบสนองของฉันMMcS\xff\xff\xff\xff\0\0\0\0(เป็นเลขฐานสิบหกอย่างชัดเจน)

ฉันปิดใช้งาน UPnP แล้วไม่ใช่พอร์ตการจัดการระยะไกลและไม่ได้เปิดอยู่บนฝั่ง WAN ฉันไม่พบสิ่งใดในเอกสารของ Netgear และการค้นหาออนไลน์ไม่พบสิ่งใดเลย ดูเหมือนว่าบางคนจะสังเกตเห็น แต่ไม่มีใครมีคำตอบจริง ๆ ฉันได้สร้างกฎไฟร์วอลล์เพื่อป้องกันการเข้าถึงขาออกไปยังพอร์ตนั้นและมันยังคงเปิดอยู่ดังนั้นจริงๆแล้วมันคือเราเตอร์ที่กำลังฟังอยู่

ไม่มีใครรู้ว่าสิ่งนี้อาจเป็นอย่างไร

router  port 
Dentrasi
แหล่งที่มา
คุณกำลังใช้ไคลเอ็นต์ telnet ใดอยู่ เมื่อฉันใช้ Putty ทั้งหมดที่ฉันได้รับกับเราเตอร์ netgear ของฉันคือ "MMcSÿÿ" ...
Mokubai
1
A ที่มีจุดสองจุดอยู่เหนือคือเลขฐานสิบหก 0xff คุณจะได้เหมือนกับฉัน
Dentrasi
เพียงเพื่อเพิ่มเข้าไปเพราะฉันเจอสิ่งนี้เมื่อเร็ว ๆ นี้นี่คือผลลัพธ์ตอนนี้: SF-Port32764-TCP: V = 5.61TEST4% I = 7% D = 5/8% เวลา = 4FA9A45B% P = i686-pc-linux- gnu% r SF: (GenericLines, C, "MMcS \ xff \ xff \ xff \ xff \ 0 \ 0 \ 0 \ 0 \ 0")% r (ความช่วยเหลือ, C, "MMcS \ xff \ xff \ SF: xff \ xff \ 0 \ 0 \ 0 \ 0 ")% r (X11Probe, C," MMcS \ xff \ xff \ xff \ xff \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 \ 0 "0%) r (LPDStr SF: ing, C," MMcS \ xff \ xff \ xff \ xff \ 0 \ 0 \ 0 \ 0 ")% r (TerminalServer, C," MMcS \ xff \ xff \ SF: xff \ xff \ 0 \ 0 \ 0 \ 0 "); ความเข้าใจเพิ่มเติมเกี่ยวกับสาเหตุที่พอร์ตนี้เปิดโดยค่าเริ่มต้นจะดี
3
mpontillo
ตั้งแต่อุปกรณ์นี้เป็นของคุณและคุณอยู่ใน LAN, nmap -sV --version-all the_device_hostnameบางทีคุณอาจจะลอง
user2284570

คำตอบ:

4

อืมแปลกมาก

Hex ff = ทศนิยม 255 ดังนั้นการตอบสนองที่คุณได้รับนั้นมีเหตุผลเทียบเท่า

MMcS 255.255.255.255 0.0.0.0 (จุดที่เพิ่มสำหรับความคมชัดของเครือข่าย) ซึ่งสำหรับฉันนั้นเป็นที่อยู่ออกอากาศในเครือข่ายของคุณ อาจระบุได้ว่าip ใด ๆบนเครือข่ายของคุณสามารถใช้บริการ MMCS เช่น 255.255.255.255 net mask 0.0.0.0

มีหลายสิ่งที่ MMCS อาจเป็นเช่นMultiMedia Class Schedulerที่ Vista สามารถใช้เพื่อรับลำดับความสำคัญสำหรับการรับส่งข้อมูลมัลติมีเดียผ่านเครือข่าย มันจะอธิบายสาเหตุที่พอร์ตเปิดเฉพาะในเครือข่ายท้องถิ่นของคุณด้วย

นอกจากนี้ยังมีข้อมูลเล็กน้อยเกี่ยวกับจุดที่ 5 ของโพสต์แรกของหน้านี้

ฉันสงสัยว่ามันจะเป็นสิ่งที่ต้องทำกับMIP-MANET Cell Switchingซึ่งดูเหมือนจะเป็นสิ่งที่ต้องทำกับเครือข่ายโทรศัพท์มือถือ ว้าวมีบางสิ่งที่แปลกที่ได้รับการส่งกลับเมื่อคุณ Google เพื่อMMCs 255.255.255.255 เช่นนี้

ดังนั้นฉันคิดว่ามันน่าจะเป็นพอร์ตที่อนุญาตให้ Windows MultiMedia Class Scheduler คุยกับเราเตอร์เพื่อจัดลำดับความสำคัญของทราฟฟิก แต่อาจเป็นเรื่องเครือข่ายโทรศัพท์มือถือที่แปลก ๆ

โมคุบิ
แหล่งที่มา
โพสต์ของคุณอยู่ในbackdoor_description.pptx :)
kenorb
@kenorb ฉันไม่แน่ใจว่าจะรู้สึกภาคภูมิใจละอายใจหรือละเมิดเล็กน้อย ...
Mokubai
ผมคิดว่ามีความภาคภูมิใจที่คุณช่วยบางคนที่จะไม่ทำลายเวลาคริสต์มาสของพวกเขา :)
kenorb
17

จริงๆแล้วสิ่งนี้ดูเหมือนจะเป็นซอฟต์แวร์สำรองข้อมูลที่ผู้ผลิตระบุไว้ที่นี่และใช้ประโยชน์จากการใช้สคริปต์นี้

จนถึงขณะนี้ผู้ที่ไม่เกี่ยวข้องกับผู้ขายได้รายงานว่ามีประตูหลังในเราเตอร์ต่อไปนี้: Linksys WAG200G, Linksys WAG320N (เฟิร์มแวร์ V1.00.12) และ Netgear DM111P แต่ดูเหมือนว่าอุปกรณ์ต่อไปนี้ (รวมอยู่ด้วย) อาจมีอยู่ Netgear DG834, DG834G WPNT834 DG934, WG602, เราเตอร์ WGR614, Linksys WAG160N และ DGN2000, WAG120N wireless-WRVS4400N ดูเหมือนว่าประตูหลังนี้มีอยู่ในอุปกรณ์อื่นเช่นกัน

NULLZ
แหล่งที่มา
ernie
@ D3C4FF: สิ่งที่น่าสนใจที่สุดคือรู้ว่าปลายทางของบริการ ip_address คืออะไรเมื่อทำงานได้ตามปกติ ฉันอยากรู้ว่าใครเป็นคนรวบรวมข้อมูลโดยอัตโนมัติ
user2284570
จริงๆแล้วคำถามนี้เป็นผลลัพธ์หลักที่ประตูหลังนี้ถูกสร้างขึ้นเนื่องจากมันอยู่ในสไลด์โชว์ดั้งเดิม: backdoor_description.pptx :)
kenorb
1

นี่คือพอร์ตMIPSซึ่งมีอยู่ใน SerComm ที่ผลิตเราเตอร์และอุปกรณ์เกตเวย์ภายในบ้าน (Linksys, Netgear, Cisco) ที่ใช้สำหรับอัพเกรดเฟิร์มแวร์

นี่คือการจัดการโดยscfgmgrกระบวนการซึ่งกำลังฟังบนพอร์ต 32764

เมื่อเข้าถึงผ่าน telnet ข้อมูลที่ขึ้นต้นด้วยScMMหรือMMcS(ขึ้นอยู่กับ endianess ของระบบ) ดูเหมือนว่าจะถูกส่งคืน

มันเป็นโปรโตคอลไบนารีง่าย ๆ ที่มีส่วนหัว (0xC ไบต์) ตามด้วย payload

โครงสร้างส่วนหัว:

typedef struct scfgmgr_header_s {
    unsigned long   magic;
    int             cmd;
    unsigned long   len;
} scfgmgr_header;

สิ่งนี้ขึ้นอยู่กับแหล่งที่มาของ Cisco GPL (เช่น wap4410n_v2.0.1.0_gpl.tgz ที่ decommissioned ftp-eng.cisco.com)

สำหรับข้อมูลที่เกิดขึ้นจริงให้ดูคำอธิบาย elvanderb และรหัสหลามตัวอย่าง

ปัจจุบันมีชื่อเสียงในเรื่องบัฟเฟอร์ล้นล้นซึ่งสามารถให้คุณเข้าถึงอุปกรณ์ได้อย่างสมบูรณ์ ( แบ็คดอร์ ) สิ่งนี้ถูกค้นพบโดยEloi Vanderbekenในวันคริสต์มาสปี 2013 อย่างไรก็ตามอาจเป็นที่รู้จักกันว่าแฮ็กเกอร์จีนกลับมาในปี 2008 ( ไฟล์ cgi )

นี่คือวิธีการทำงาน

บัฟเฟอร์ล้นมากเกินไป:

กองบัฟเฟอร์ล้นตาม

ข้อความ:

ข้อความ

ดังนั้นการใช้ข้อความล้นง่ายสามารถให้รายละเอียดที่น่าสนใจมากมาย:

สกรีนช็อต - ชื่อผู้ใช้และรหัสผ่าน WiFi

อย่างไรก็ตามอาจทำให้การกำหนดค่าถูกรีเซ็ตดังนั้นอย่าทำที่บ้าน

ต่อไปนี้เป็นคำสั่งที่ตรงกันข้ามที่ดำเนินการโดยเราเตอร์ที่ดำเนินการผ่านพอร์ตนี้

  1. nvram - การกำหนดค่าการถ่ายโอนข้อมูล

  2. get var - รับการกำหนดค่าต่างๆ

    สแตกบัฟเฟอร์ที่มากเกินไป (หากตัวแปรถูกควบคุมโดยผู้ใช้)

  3. set var - ตั้งค่าการกำหนดค่า var

    บัฟเฟอร์ล้นตามสแต็กบัฟเฟอร์เอาต์พุต (ขนาด≈ 0x10000) อยู่บนสแต็ก

  4. commit nvram - อ่าน nvram / dev / mtdblock / 3 จาก / tmp / nvram และตรวจสอบ CRC

    ตั้งค่า nvram (/ dev / mtdblock / 3) จาก / tmp / nvram; ตรวจสอบ CRC

  5. ตั้งค่าโหมดบริดจ์เปิด (ไม่แน่ใจฉันไม่มีเวลาทดสอบ)

    nvram_set(“wan_mode”, bridgedonly)
nvram_set(“wan_encap”, 0)
nvram_set(“wan_vpi”, 8)
nvram_set(“wan_vci”, 81)
system(“/usr/bin/killall br2684ctl”)
system(“/usr/bin/killall udhcpd”)
system(“/usr/bin/killall -9 atm_monitor”)
system(“/usr/sbin/rc wan stop >/dev/null 2>&1”)
system(“/usr/sbin/atm_monitor&”)

  6. แสดงความเร็วอินเทอร์เน็ตที่วัดได้ (ดาวน์โหลด / อัพโหลด)

  7. cmd (ใช่มันเป็นเปลือก…)

    • คำสั่งพิเศษ:

      • ออกจาก, ลาออก, เลิก -> ออกจาก ... (มีชีวิต = 0)
      • cd: เปลี่ยนไดเรกทอรี (WTF นิดหน่อย)

    • คำสั่งอื่น ๆ :

      • ล้นจำนวนเต็มในการจัดการ stdout (?) ไม่ใช้ประโยชน์ แต่ยัง ...
      • บัฟเฟอร์ล้นบนเอาต์พุต cmd (บัฟเฟอร์เดียวกันอีกครั้ง) ...

  8. เขียนไฟล์

    • ชื่อไฟล์ในส่วนของข้อมูล
    • root dir = / tmp
    • การสำรวจเส้นทางไดเรกทอรีอาจเป็นไปได้ (ไม่ได้ทดสอบ แต่เป็นการเปิด (sprintf (“ / tmp /% s”, payload)) …)

  9. เวอร์ชันส่งคืน

  10. ip เราเตอร์โมเด็มส่งคืน

    • nvram_get (“lan_ipaddr”)

  11. เรียกคืนการตั้งค่าเริ่มต้น

    • nvram_set (“ restore_default”, 1)
    • nvram_commit

  12. อ่าน / dev / mtdblock / 0 [-4: -2]

    • ไม่รู้ว่ามันคืออะไรฉันไม่มีเวลาที่จะทดสอบ

  13. dump nvram บนดิสก์ (/ tmp / nvram) และกระทำ

ที่มา: (สไลด์โชว์) Linksys บันทึกคริสต์มาสของฉันได้อย่างไร!

ปกติที่ชนิดของพอร์ตควรจะเป็นอย่างเป็นทางการโดยIANA

นี่คือสิ่งที่unSpawnตอบกลับใน LinuxQuestions ในปี 2550 ที่เกี่ยวข้องกับพอร์ตนี้:

หากเป็นพอร์ต IANA ที่ได้รับมอบหมายอย่างเป็นทางการ (ที่มีตัวเลขระหว่าง 0 ถึงประมาณ 30,000) หมายเลขนั้นควรสอดคล้องกับบริการใน / etc / services ('getent services portnumber') ไฟล์บริการของเครื่องสแกนเช่น Nmap หรือออนไลน์ ฐานข้อมูลเช่น ISC ของ Sans

/proc/sys/net/ipv4/ip_local_port_range sysctlโปรดทราบว่าการใช้งานพอร์ตชั่วคราวสามารถกำหนดค่าการใช้ในประเทศ ค่าเริ่มต้นเก่าคือ 1024-5000 สำหรับเซิร์ฟเวอร์มีการใช้ค่า 32768-61000 และบางแอปพลิเคชันต้องการบางอย่างเช่น 1025-65535

นอกจากนี้โปรดทราบว่าสิ่งเหล่านี้เป็นการแมปแบบตัวเลขต่อบริการแบบสแตติกและในขณะที่อินสแตนซ์ / etc / services จะพูดว่าTCP/22จับคู่ SSH ที่ไม่จำเป็นต้องเป็นกรณีในสถานการณ์เฉพาะ

อื่นถ้ามันเป็นท่าที่คุณไม่ทราบว่ากระบวนการไม่ผูกกับมันแล้วถ้าคุณมีการเข้าถึงไปยังโฮสต์คุณสามารถสอบปากคำโดยใช้netstat -anp, หรือlsof -w -n -i protocol:portnumber fuser -n protocol portnumberนี่เป็นวิธีที่แม่นยำที่สุด

มิฉะนั้นถ้าคุณไม่มีสิทธิ์เข้าถึงโฮสต์คุณสามารถสอบปากคำได้โดยยกตัวอย่างเช่น telnet'ting นี่ไม่ใช่วิธีที่ถูกต้องและในกรณีของโฮสต์ที่ถูกบุกรุกคุณอาจแจ้งเตือนผู้บุกรุกว่าคุณอยู่ในเคสของเธอ

ดูสิ่งนี้ด้วย:

kenorb
แหล่งที่มา
โดยการใช้ไซต์ของเรา หมายความว่าคุณได้อ่านและทำความเข้าใจนโยบายคุกกี้และนโยบายความเป็นส่วนตัวของเราแล้ว
Licensed under cc by-sa 3.0 with attribution required.