咳咳…这绝对的老古董了。我这里的版本是Tianyi_V1.0.Y6,网上用backupsettings.conf的方法已经完全失效了(下载后打开是This page is not supported...似曾相识啊),我这里通过自带的ftp找到了telnet开关,再通过内置shell的漏洞实现逃逸,拿到完整shell。
首先,需要拿到光猫的用户密码(在光猫侧面贴纸上),一般是五位。登录成功后打开http://192.168.1.1/enableTelnet.cgi这个界面,你应该能看到一排输入框和telnet使能按钮…先别激动!这个页面的js被注释了,我们需要右键查看源码,然后按f12打开控制台,把缺失的js补回来(这里我是用手机+eruda实现的,就贴一张隐藏的js吧,控制台操作请自行百度)
如图,从<!-- hide开始到后头的done hiding -->,我们只要之间的部分(从var xxx到eval(code)}),输入进控制台并运行
接下来在页面上修改账号密码端口…别忘记把使能勾上!最后,回到控制台,输入applyClick(),回车后页面刷新代表telnet成功打开!
接下来,使用telnet工具连接光猫,输入设置的账号密码…然后…不是bash?
输入help,发现命令寥寥无几…按照电信ping命令从来不修漏洞的原则,输入ping 127.0.0.1&&ash (别打错了),果然成功进入bash并且为root权限!现在拿个nc反弹shell或者传一个telnetd上去就能用了(系统架构mips)
今天先写到这,明天再续…