Router Netgear mendengarkan pada port 32764?

Saya punya Netgear DG834G yang menjalankan firmware V5.01.01. Dari sisi LAN, jika saya port memindai, itu mendengarkan pada port tcp 32764. Mencoba telnet ke port ini memberi saya respons MMcS\xff\xff\xff\xff\0\0\0\0(dalam hex, jelas).

UPnP saya dinonaktifkan, ini bukan port manajemen jarak jauh, dan tidak terbuka di sisi WAN. Saya tidak dapat menemukan apa pun di dokumentasi Netgear, dan pencarian online juga tidak menemukan apa pun. Beberapa orang tampaknya telah memperhatikan, tetapi tidak ada yang benar-benar memiliki jawaban. Saya juga membuat aturan firewall yang memblokir akses keluar ke port itu, dan itu masih terbuka, jadi sebenarnya router yang mendengarkannya.

Adakah yang tahu apa ini?

Hmm, aneh.

Hex ff = Desimal 255, jadi secara logis respons yang Anda terima setara dengan

MMcS 255.255.255.255 0.0.0.0 (titik-titik ditambahkan untuk kejelasan jaringan) yang bagi saya pada dasarnya adalah alamat broadcast di jaringan Anda. Bisa jadi menyatakan bahwa ip apa pun di jaringan Anda dapat menggunakan layanan MMCS, yaitu 255.255.255.255 net mask 0.0.0.0.

Ada beberapa hal yang dapat dilakukan MMCS, seperti Penjadwal Kelas MultiMedia yang dapat digunakan Vista untuk mendapatkan prioritas untuk lalu lintas multimedia melalui jaringan. Ini akan menjelaskan mengapa port hanya terbuka di jaringan lokal Anda juga.

Juga sedikit info tentang poin 5 dari posting pertama halaman ini

Saya ragu itu akan ada hubungannya dengan MIP-MANET Sel Switching yang tampaknya ada hubungannya dengan jaringan ponsel. Wow ada beberapa hal aneh yang dikembalikan ketika Anda Google untuk MMCS 255.255.255.255 . Seperti ini .

Jadi saya akan mengatakan itu kemungkinan besar port yang memungkinkan Penjadwal Kelas Windows MultiMedia untuk berbicara dengan router untuk memprioritaskan lalu lintas, tetapi itu bisa menjadi beberapa hal jaringan telepon seluler yang funky dan aneh.

Sebenarnya, ini tampaknya merupakan perangkat lunak yang disertakan oleh pabrikan seperti yang dijelaskan di sini dan dapat dieksploitasi menggunakan skrip ini .

Sejauh ini orang-orang terkait non-vendor telah melaporkan ada pintu belakang di router berikut: Linksys WAG200G, Linksys WAG320N (Firmware V1.00.12) dan Netgear DM111P. Tetapi tampaknya perangkat berikut (termasuk Anda) juga mungkin hadir, Netgear DG834, DG834G WPNT834 DG934, WG602, router WGR614, Linksys WAG160N dan DGN2000, WAG120N nirkabel-WRVS4400N. Sepertinya pintu belakang ini hadir di perangkat lain juga.

Ini adalah port MIPS yang hadir di SerComm yang diproduksi, router dan perangkat gateway rumah (Linksys, Netgear, Cisco) yang digunakan untuk peningkatan firmware.

Ini dikelola oleh scfgmgrproses yang mendengarkan pada port 32764.

Ketika diakses melalui telnet, data diawali oleh ScMMatau MMcS(tergantung pada endianess sistem) tampaknya dikembalikan.

Ini protokol biner yang sangat sederhana dengan header (0xC byte) diikuti oleh payload.

Struktur header:

typedef struct scfgmgr_header_s {
    unsigned long   magic;
    int             cmd;
    unsigned long   len;
} scfgmgr_header;

Ini didasarkan pada sumber-sumber Cisco GPL (mis. Wap4410n_v2.0.1.0_gpl.tgz di decommissioned ftp-eng.cisco.com).

Untuk info aktual, lihat deskripsi elvanderb dan contoh kode Python .

Saat ini terkenal dengan buffer overflow berbasis tumpukan yang dapat memberi Anda akses penuh ke perangkat ( pintu belakang ). Ini ditemukan oleh Eloi Vanderbeken pada Natal 2013, namun mungkin diketahui oleh peretas Cina pada 2008 ( file cgi ).

Inilah cara kerjanya.

Heap buffer overflow berbasis:

Pesan:

Jadi, menggunakan pesan luapan sederhana dapat memberikan banyak detail menarik:

Namun ini dapat menyebabkan konfigurasi diatur ulang, jadi jangan lakukan di rumah.

Berikut adalah beberapa perintah terbalik yang dilakukan oleh router yang dieksekusi melalui port ini.

1. nvram - Konfigurasi Dump.

2. get var - Dapatkan konfigurasi var

   kemungkinan stack overflow buffer overflow (jika variabel dikontrol oleh pengguna)

3. set var - Atur konfigurasi var

   stack berdasarkan buffer overflow, buffer output (ukuran ≈ 0x10000) ada di stack.

4. commit nvram - Baca nvram / dev / mtdblock / 3 dari / tmp / nvram dan periksa CRC

   atur nvram (/ dev / mtdblock / 3) dari / tmp / nvram; periksa CRC

5. Setel mode jembatan AKTIF (tidak yakin, saya tidak punya waktu untuk mengujinya)

   nvram_set(“wan_mode”, bridgedonly)
   nvram_set(“wan_encap”, 0)
   nvram_set(“wan_vpi”, 8)
   nvram_set(“wan_vci”, 81)
   system(“/usr/bin/killall br2684ctl”)
   system(“/usr/bin/killall udhcpd”)
   system(“/usr/bin/killall -9 atm_monitor”)
   system(“/usr/sbin/rc wan stop >/dev/null 2>&1”)
   system(“/usr/sbin/atm_monitor&”)
   

6. Tampilkan kecepatan internet terukur (unduh / unggah)

7. cmd (ya, itu shell ...)

   • perintah khusus:

     • keluar, selamat tinggal, keluar -> keluar ... (hidup = 0)
     • cd: ubah direktori (sedikit WTF)

   • perintah lain:

     • integer overflow dalam penanganan stdout (?) tidak dapat dieksploitasi tetapi masih ...
     • buffer overflow pada output cmd (buffer yang sama lagi) ...

8. menulis file

   • nama file dalam payload
   • dir root = / tmp
   • direktori traversal mungkin dilakukan (tidak diuji tetapi terbuka (sprintf ("/ tmp /% s", payload)) ...)

9. versi kembali

10. mengembalikan ip router modem

    • nvram_get (“lan_ipaddr”)

11. mengembalikan pengaturan default

    • nvram_set ("restore_default", 1)
    • nvram_commit

12. baca / dev / mtdblock / 0 [-4: -2]

    • Entah apa itu, saya tidak punya waktu untuk mengujinya

13. dump nvram pada disk (/ tmp / nvram) dan komit

Sumber: (tayangan slide) Bagaimana Linksys menyelamatkan Natal saya!

Biasanya port semacam itu harus secara resmi oleh IANA .

Inilah yang dibalas unSpawn di LinuxQuestions pada 2007 terkait dengan port ini:

Jika ini adalah port yang ditugaskan secara resmi IANA (dengan angka antara 0 dan sekitar 30000) maka jumlahnya harus sesuai dengan layanan di / etc / services ('getent services portnumber'), file layanan pemindai seperti Nmap atau online database seperti Sans 'ISC.

Perhatikan bahwa penggunaan port sesaat dapat dikonfigurasi secara lokal menggunakan /proc/sys/net/ipv4/ip_local_port_range sysctl. Default lama adalah 1024-5000, untuk server nilai 32768-61000 digunakan dan beberapa aplikasi menginginkan sesuatu seperti 1025-65535.

Juga perhatikan ini adalah pemetaan angka-ke-layanan statis dan sementara misalnya / etc / services akan mengatakan TCP/22cocok dengan SSH yang tidak harus menjadi kasus dalam situasi tertentu,

Lain jika itu adalah port yang Anda tidak tahu proses mana yang mengikatnya maka jika Anda memiliki akses ke host Anda dapat menginterogasinya menggunakan netstat -anp, lsof -w -n -i protocol:portnumberatau fuser -n protocol portnumber. Ini adalah metode yang paling akurat,

Jika Anda tidak memiliki akses ke host, Anda dapat menginterogasinya misalnya dengan telnet'ting. Ini bukan metode yang akurat dan dalam kasus tuan rumah yang dikompromikan, Anda dapat memberi tahu pengganggu yang berada dalam kasusnya.

Lihat juga:

• (GitHub) Pintu belakang untuk Linksys WAG200G (TCP / 32764).
• (GitHub) Honeypot untuk Router Backdoor (TCP-32764)
• (slide show) Bagaimana Linksys menyelamatkan Natal saya!
• Peningkatan firmware WAG200G (FR) di forum Linksys
• TCP-32764 di wikidevi
• Saya ingin tahu tentang eksploitasi "SerComm Device Remote Code Execution" di Rapid7
• Google: "0x53634d4d" untuk detail lebih lanjut.