Bộ định tuyến Netgear nghe trên cổng 32764?

Tôi đã có Netgear DG834G chạy firmware V5.01.01. Từ phía mạng LAN, nếu tôi quét cổng, nó sẽ nghe trên cổng tcp 32764. Cố gắng telnet vào cổng này cho tôi phản hồi MMcS\xff\xff\xff\xff\0\0\0\0(rõ ràng là hex).

Tôi đã tắt UPnP, nó không phải là một cổng quản lý từ xa và nó không mở ở phía mạng WAN. Tôi không thể tìm thấy bất cứ điều gì trong tài liệu của Netgear và tìm kiếm trực tuyến cũng không tìm thấy gì. Một vài người dường như đã nhận thấy, nhưng không ai thực sự có câu trả lời. Tôi cũng đã tạo một quy tắc tường lửa chặn truy cập ra bên ngoài vào cổng đó và nó vẫn mở, vì vậy thực sự đó là bộ định tuyến đang lắng nghe trên đó.

Có ai biết cái này có thể là gì không?

Hừm, lạ quá.

Hex ff = Số thập phân 255, vì vậy về mặt logic, phản hồi bạn nhận được tương đương với

MMcS 255.255.255.255 0.0.0.0 (các dấu chấm được thêm vào để rõ ràng về mạng) mà theo tôi về cơ bản là một địa chỉ quảng bá trên mạng của bạn. Có thể nói rằng bất kỳ ip nào trên mạng của bạn đều có thể sử dụng dịch vụ MMCS, tức là mặt nạ mạng 255.255.255.255 0.0.0.0.

Có một số thứ mà MMCS có thể là, chẳng hạn như Bộ lập lịch lớp MultiMedia mà Vista có thể sử dụng để được ưu tiên cho lưu lượng đa phương tiện qua mạng. Nó sẽ giải thích tại sao cổng chỉ mở trên mạng cục bộ của bạn.

Ngoài ra một chút thông tin về điểm 5 của bài đăng đầu tiên của trang này

Tôi nghi ngờ nó sẽ là một cái gì đó để làm với MIP-MANET Cell Switching dường như là một cái gì đó để làm với các mạng điện thoại di động. Ồ, có một số thứ kỳ lạ được trả lại khi bạn Google cho MMCS 255.255.255.255 . Như thế này .

Vì vậy, tôi muốn nói rằng đó rất có thể là một cổng cho phép Bộ lập lịch lớp Windows MultiMedia nói chuyện với bộ định tuyến để ưu tiên lưu lượng, nhưng nó có thể là một số thứ mạng điện thoại di động kỳ lạ.

Trên thực tế, đây dường như là một cửa hậu phần mềm được bao gồm bởi nhà sản xuất như được mô tả ở đây và có thể khai thác bằng cách sử dụng tập lệnh này .

Cho đến nay, những người không liên quan đến nhà cung cấp đã báo cáo rằng có các cửa sau trong các bộ định tuyến sau: Linksys WAG200G, Linksys WAG320N (Firmware v1.00.12) và Netgear DM111P. Nhưng có vẻ như các thiết bị sau (bao gồm của bạn) cũng có thể có mặt, Netgear DG834, DG834G WPNT834 DG934, WG602, bộ định tuyến WGR614, Linksys WAG160N và DGN2000, WAG120N không dây-WRVS4400N. Có vẻ như cửa sau này cũng có mặt trong các thiết bị khác.

Đây là cổng MIPS hiện diện trong các thiết bị, bộ định tuyến và cổng thiết bị gia đình (Linksys, Netgear, Cisco) được sử dụng để nâng cấp firmware.

Điều này được quản lý bởi scfgmgrquá trình đang lắng nghe trên cổng 32764.

Khi được truy cập qua telnet, dữ liệu có tiền tố bởi ScMMhoặc MMcS(tùy thuộc vào endianess của hệ thống) dường như được trả về.

Đó là giao thức nhị phân rất đơn giản với tiêu đề (0xC byte) theo sau là một tải trọng.

Cấu trúc tiêu đề:

typedef struct scfgmgr_header_s {
    unsigned long   magic;
    int             cmd;
    unsigned long   len;
} scfgmgr_header;

Điều này dựa trên các nguồn GPL của Cisco (ví dụ wap4410n_v2.0.1.0_gpl.tgz tại ftp-eng.cisco.com đã ngừng hoạt động).

Để biết thông tin thực tế, xem mô tả của elvanderb và mã Python mẫu .

Hiện tại nó nổi tiếng với lỗi tràn bộ đệm dựa trên heap có thể cung cấp cho bạn toàn quyền truy cập vào thiết bị ( một cửa hậu ). Điều này đã được phát hiện bởi Eloi Vanderbeken vào Giáng sinh 2013, tuy nhiên có lẽ nó đã được tin tặc Trung Quốc biết đến vào năm 2008 ( tập tin cgi ).

Đây là cách làm việc.

Tràn bộ đệm dựa trên Heap:

Tin nhắn:

Vì vậy, sử dụng tin nhắn tràn đơn giản có thể cung cấp rất nhiều chi tiết thú vị:

Tuy nhiên, điều này có thể khiến cấu hình được đặt lại, vì vậy đừng làm điều đó ở nhà.

Dưới đây là một số lệnh đảo ngược được thực hiện bởi bộ định tuyến được thực hiện thông qua cổng này.

1. nvram - Cấu hình kết xuất.

2. get var - Nhận cấu hình var

   tràn bộ đệm dựa trên ngăn xếp có thể (nếu biến được kiểm soát bởi người dùng)

3. set var - Đặt cấu hình var

   tràn bộ đệm dựa trên ngăn xếp, bộ đệm đầu ra (kích thước ≈ 0x10000) nằm trên ngăn xếp.

4. commit nvram - Đọc nvram / dev / mtdblock / 3 từ / tmp / nvram và kiểm tra CRC

   đặt nvram (/ dev / mtdblock / 3) từ / tmp / nvram; kiểm tra CRC

5. Đặt chế độ cầu BẬT (không chắc chắn, tôi không có thời gian để kiểm tra)

   nvram_set(“wan_mode”, bridgedonly)
   nvram_set(“wan_encap”, 0)
   nvram_set(“wan_vpi”, 8)
   nvram_set(“wan_vci”, 81)
   system(“/usr/bin/killall br2684ctl”)
   system(“/usr/bin/killall udhcpd”)
   system(“/usr/bin/killall -9 atm_monitor”)
   system(“/usr/sbin/rc wan stop >/dev/null 2>&1”)
   system(“/usr/sbin/atm_monitor&”)
   

6. Hiển thị tốc độ internet được đo (tải xuống / tải lên)

7. cmd (vâng, đó là một vỏ Shell)

   • lệnh đặc biệt:

     • thoát, tạm biệt, thoát -> thoát ... (còn sống = 0)
     • cd: thay đổi thư mục (một chút WTF)

   • các lệnh khác:

     • tràn số nguyên trong xử lý xuất chuẩn (?) không thể khai thác nhưng vẫn ...
     • tràn bộ đệm trên đầu ra cmd (lại cùng bộ đệm)

8. viết tập tin

   • tên tệp trong tải trọng
   • thư mục gốc = / tmp
   • truyền tải thư mục có thể có thể (không được kiểm tra nhưng đó là một mở (sprintf (khác / tmp /% s tựa, tải trọng))

9. phiên bản trở lại

10. trả lại modem bộ định tuyến ip

    • nvram_get (Hồi lan_ipaddr ')

11. khôi phục lại các thiết lập mặc định

    • nvram_set (Phục hồi lại_default, 1)
    • nvram_commit

12. đọc / dev / mtdblock / 0 [-4: -2]

    • dunno nó là gì, tôi không có thời gian để kiểm tra nó

13. đổ nvram trên đĩa (/ tmp / nvram) và cam kết

Nguồn: (trình chiếu) Làm thế nào Linksys đã cứu Giáng sinh của tôi!

Thông thường loại cổng đó phải được chính thức bởi IANA .

Đây là những gì unSpawn đã trả lời tại LinuxQuestions năm 2007 liên quan đến cổng này:

Nếu đó là một cổng được gán chính thức của IANA (có số từ 0 đến khoảng 30000) thì số của nó sẽ tương ứng với một dịch vụ trong / etc / services ('dịch vụ nhận được portnumber'), tệp dịch vụ của máy quét như Nmap hoặc trực tuyến cơ sở dữ liệu như Sans 'ISC.

Lưu ý rằng việc sử dụng cổng phù du có thể được cấu hình cục bộ bằng cách sử dụng /proc/sys/net/ipv4/ip_local_port_range sysctl. Một mặc định cũ là 1024-5000, đối với các máy chủ, giá trị 32768-61000 được sử dụng và một số ứng dụng muốn một cái gì đó như 1025-65535.

Cũng lưu ý đây là các ánh xạ số-dịch vụ tĩnh và trong khi, ví dụ / etc / services sẽ nói TCP/22khớp với SSH mà không phải là trường hợp cụ thể trong một tình huống cụ thể,

Khác nếu đó là một cổng mà bạn không biết quá trình nào đã liên kết với nó thì nếu bạn có quyền truy cập vào máy chủ, bạn có thể thẩm vấn nó bằng cách sử dụng netstat -anp, lsof -w -n -i protocol:portnumberhoặc fuser -n protocol portnumber. Đây là phương pháp chính xác nhất,

Khác nếu bạn không có quyền truy cập vào máy chủ, bạn có thể thẩm vấn nó bằng cách ví dụ như telnet không đến nó. Đây không phải là một phương pháp chính xác và trong trường hợp máy chủ bị xâm nhập, bạn có thể cảnh báo kẻ xâm nhập vào trường hợp của cô ấy.

Xem thêm:

• (GitHub) Cửa hậu cho Linksys WAG200G (TCP / 32764).
• (GitHub) Honeypot cho Backlink Bộ định tuyến (TCP-32764)
• (trình chiếu) Làm thế nào Linksys đã cứu Giáng sinh của tôi!
• Nâng cấp firmware WAG200G (FR) tại diễn đàn Linksys
• TCP-32764 tại wikidevi
• Tôi muốn biết về khai thác "Thực thi mã từ xa thiết bị SerComm" tại Rapid7
• Google: "0x53634d4d" để biết thêm chi tiết.