Router Netgear mendengarkan pada port 32764?

13

Saya punya Netgear DG834G yang menjalankan firmware V5.01.01. Dari sisi LAN, jika saya port memindai, itu mendengarkan pada port tcp 32764. Mencoba telnet ke port ini memberi saya respons MMcS\xff\xff\xff\xff\0\0\0\0(dalam hex, jelas).

UPnP saya dinonaktifkan, ini bukan port manajemen jarak jauh, dan tidak terbuka di sisi WAN. Saya tidak dapat menemukan apa pun di dokumentasi Netgear, dan pencarian online juga tidak menemukan apa pun. Beberapa orang tampaknya telah memperhatikan, tetapi tidak ada yang benar-benar memiliki jawaban. Saya juga membuat aturan firewall yang memblokir akses keluar ke port itu, dan itu masih terbuka, jadi sebenarnya router yang mendengarkannya.

Adakah yang tahu apa ini?

Dentrasi
sumber
Klien telnet apa yang Anda gunakan? Ketika saya menggunakan Putty, semua yang saya dapatkan dengan router netgear saya adalah "MMcSÿÿ" ...
Mokubai
1
Y dengan titik ganda di atasnya adalah 0xff heksadesimal, Anda mendapatkan yang sama dengan saya.
Dentrasi
Hanya untuk menambahkan ini karena saya menemukan ini baru-baru ini, inilah hasilnya sekarang: SF-Port32764-TCP: V = 5.61TEST4% I = 7% D = 5/8% Waktu = 4FA9A45B% P = i686-pc-linux- gnu% r SF: (GenericLines, C, "MMcS \ xff \ xff \ xff \ xff \ 0 \ 0 \ 0")% r (Bantuan, C, "MMcS \ xff \ xff \ SF: xff \ xff \ 0 \ 0 \ 0 \ 0 ")% r (X11Probe, C," MMcS \ xff \ xff \ xff \ xff \ xff \ 0 \ 0 \ 0 \ 0 ")% r (LPDStr SF: ing, C," MMcS \ xff \ xff \ xff \ xff \ 0 \ 0 \ 0 \ 0 ")% r (TerminalServer, C," MMcS \ xff \ xff \ SF: xff \ xff \ 0 \ 0 \ 0 \ 0 "); Setiap wawasan tentang mengapa port ini terbuka secara default akan lebih baik.
Karena perangkat ini milik Anda dan Anda berada di LAN, Mungkin Anda bisa mencobanya nmap -sV --version-all the_device_hostname.
user2284570

Jawaban:

4

Hmm, aneh.

Hex ff = Desimal 255, jadi secara logis respons yang Anda terima setara dengan

MMcS 255.255.255.255 0.0.0.0 (titik-titik ditambahkan untuk kejelasan jaringan) yang bagi saya pada dasarnya adalah alamat broadcast di jaringan Anda. Bisa jadi menyatakan bahwa ip apa pun di jaringan Anda dapat menggunakan layanan MMCS, yaitu 255.255.255.255 net mask 0.0.0.0.

Ada beberapa hal yang dapat dilakukan MMCS, seperti Penjadwal Kelas MultiMedia yang dapat digunakan Vista untuk mendapatkan prioritas untuk lalu lintas multimedia melalui jaringan. Ini akan menjelaskan mengapa port hanya terbuka di jaringan lokal Anda juga.

Juga sedikit info tentang poin 5 dari posting pertama halaman ini

Saya ragu itu akan ada hubungannya dengan MIP-MANET Sel Switching yang tampaknya ada hubungannya dengan jaringan ponsel. Wow ada beberapa hal aneh yang dikembalikan ketika Anda Google untuk MMCS 255.255.255.255 . Seperti ini .

Jadi saya akan mengatakan itu kemungkinan besar port yang memungkinkan Penjadwal Kelas Windows MultiMedia untuk berbicara dengan router untuk memprioritaskan lalu lintas, tetapi itu bisa menjadi beberapa hal jaringan telepon seluler yang funky dan aneh.

Mokubai
sumber
Posting Anda di backdoor_description.pptx :)
kenorb
@kenorb Saya tidak yakin apakah akan merasa bangga, malu atau sedikit dilanggar ...
Mokubai
Saya pikir bangga bahwa Anda membantu beberapa orang untuk tidak merusak waktu Natal mereka :)
kenorb
17

Sebenarnya, ini tampaknya merupakan perangkat lunak yang disertakan oleh pabrikan seperti yang dijelaskan di sini dan dapat dieksploitasi menggunakan skrip ini .

Sejauh ini orang-orang terkait non-vendor telah melaporkan ada pintu belakang di router berikut: Linksys WAG200G, Linksys WAG320N (Firmware V1.00.12) dan Netgear DM111P. Tetapi tampaknya perangkat berikut (termasuk Anda) juga mungkin hadir, Netgear DG834, DG834G WPNT834 DG934, WG602, router WGR614, Linksys WAG160N dan DGN2000, WAG120N nirkabel-WRVS4400N. Sepertinya pintu belakang ini hadir di perangkat lain juga.

NULLZ
sumber
@ D3C4FF: Hal yang akan paling menarik, akan tahu apa tujuan ip_address dari layanan ini, ketika itu bekerja secara normal. Saya ingin tahu orang mana yang secara otomatis mengumpulkan data.
user2284570
Sebenarnya pertanyaan ini adalah hasil utama bahwa pintu belakang ini dibuat seperti di slide show aslinya: backdoor_description.pptx :)
kenorb
1

Ini adalah port MIPS yang hadir di SerComm yang diproduksi, router dan perangkat gateway rumah (Linksys, Netgear, Cisco) yang digunakan untuk peningkatan firmware.

Ini dikelola oleh scfgmgrproses yang mendengarkan pada port 32764.

Ketika diakses melalui telnet, data diawali oleh ScMMatau MMcS(tergantung pada endianess sistem) tampaknya dikembalikan.

Ini protokol biner yang sangat sederhana dengan header (0xC byte) diikuti oleh payload.

Struktur header:

typedef struct scfgmgr_header_s {
    unsigned long   magic;
    int             cmd;
    unsigned long   len;
} scfgmgr_header;

Ini didasarkan pada sumber-sumber Cisco GPL (mis. Wap4410n_v2.0.1.0_gpl.tgz di decommissioned ftp-eng.cisco.com).

Untuk info aktual, lihat deskripsi elvanderb dan contoh kode Python .


Saat ini terkenal dengan buffer overflow berbasis tumpukan yang dapat memberi Anda akses penuh ke perangkat ( pintu belakang ). Ini ditemukan oleh Eloi Vanderbeken pada Natal 2013, namun mungkin diketahui oleh peretas Cina pada 2008 ( file cgi ).

Inilah cara kerjanya.

Heap buffer overflow berbasis:

Heap buffer overflow

Pesan:

Pesan

Jadi, menggunakan pesan luapan sederhana dapat memberikan banyak detail menarik:

tangkapan layar - nama pengguna dan kata sandi WiFi

Namun ini dapat menyebabkan konfigurasi diatur ulang, jadi jangan lakukan di rumah.

Berikut adalah beberapa perintah terbalik yang dilakukan oleh router yang dieksekusi melalui port ini.

  1. nvram - Konfigurasi Dump.

  2. get var - Dapatkan konfigurasi var

    kemungkinan stack overflow buffer overflow (jika variabel dikontrol oleh pengguna)

  3. set var - Atur konfigurasi var

    stack berdasarkan buffer overflow, buffer output (ukuran ≈ 0x10000) ada di stack.

  4. commit nvram - Baca nvram / dev / mtdblock / 3 dari / tmp / nvram dan periksa CRC

    atur nvram (/ dev / mtdblock / 3) dari / tmp / nvram; periksa CRC

  5. Setel mode jembatan AKTIF (tidak yakin, saya tidak punya waktu untuk mengujinya)

    nvram_set(“wan_mode”, bridgedonly)
    nvram_set(“wan_encap”, 0)
    nvram_set(“wan_vpi”, 8)
    nvram_set(“wan_vci”, 81)
    system(“/usr/bin/killall br2684ctl”)
    system(“/usr/bin/killall udhcpd”)
    system(“/usr/bin/killall -9 atm_monitor”)
    system(“/usr/sbin/rc wan stop >/dev/null 2>&1”)
    system(“/usr/sbin/atm_monitor&”)
    
  6. Tampilkan kecepatan internet terukur (unduh / unggah)

  7. cmd (ya, itu shell ...)

    • perintah khusus:

      • keluar, selamat tinggal, keluar -> keluar ... (hidup = 0)
      • cd: ubah direktori (sedikit WTF)
    • perintah lain:

      • integer overflow dalam penanganan stdout (?) tidak dapat dieksploitasi tetapi masih ...
      • buffer overflow pada output cmd (buffer yang sama lagi) ...
  8. menulis file

    • nama file dalam payload
    • dir root = / tmp
    • direktori traversal mungkin dilakukan (tidak diuji tetapi terbuka (sprintf ("/ tmp /% s", payload)) ...)
  9. versi kembali

  10. mengembalikan ip router modem

    • nvram_get (“lan_ipaddr”)
  11. mengembalikan pengaturan default

    • nvram_set ("restore_default", 1)
    • nvram_commit
  12. baca / dev / mtdblock / 0 [-4: -2]

    • Entah apa itu, saya tidak punya waktu untuk mengujinya
  13. dump nvram pada disk (/ tmp / nvram) dan komit

Sumber: (tayangan slide) Bagaimana Linksys menyelamatkan Natal saya!


Biasanya port semacam itu harus secara resmi oleh IANA .

Inilah yang dibalas unSpawn di LinuxQuestions pada 2007 terkait dengan port ini:

Jika ini adalah port yang ditugaskan secara resmi IANA (dengan angka antara 0 dan sekitar 30000) maka jumlahnya harus sesuai dengan layanan di / etc / services ('getent services portnumber'), file layanan pemindai seperti Nmap atau online database seperti Sans 'ISC.

Perhatikan bahwa penggunaan port sesaat dapat dikonfigurasi secara lokal menggunakan /proc/sys/net/ipv4/ip_local_port_range sysctl. Default lama adalah 1024-5000, untuk server nilai 32768-61000 digunakan dan beberapa aplikasi menginginkan sesuatu seperti 1025-65535.

Juga perhatikan ini adalah pemetaan angka-ke-layanan statis dan sementara misalnya / etc / services akan mengatakan TCP/22cocok dengan SSH yang tidak harus menjadi kasus dalam situasi tertentu,

Lain jika itu adalah port yang Anda tidak tahu proses mana yang mengikatnya maka jika Anda memiliki akses ke host Anda dapat menginterogasinya menggunakan netstat -anp, lsof -w -n -i protocol:portnumberatau fuser -n protocol portnumber. Ini adalah metode yang paling akurat,

Jika Anda tidak memiliki akses ke host, Anda dapat menginterogasinya misalnya dengan telnet'ting. Ini bukan metode yang akurat dan dalam kasus tuan rumah yang dikompromikan, Anda dapat memberi tahu pengganggu yang berada dalam kasusnya.

Lihat juga:

kenorb
sumber