Ach ja Ach ja
Man Chillt morgens vorm PC man schaut sich die neusten News und Informiert man sich über die neusten Hacker News und was haut einem da der Boden komplett weg?
Richtig wieder nur Müll vom Hersteller D-Link viele haben D-Link Produkte im Haushalt bzw. am Netzwerk dran und da frage ich mich Leute bei was für ein Anbieter seid ihr eigentlich das die euch so schlecht beraten haben? D-Link haben immer mal wieder auf sich aufmerksam gemacht dass die Produkte von den Sicherheitslücken haben usw.
Aber was nun Raus gekommen ist, ist der Oberknaller angeblich soll diese Lücke schon vor 3 Jahren bekannt gewesen sein in einem Russischen Hacker Bord.
Aber nun wissen sie alle na Mahlzeit,
Der Router hat eine Firmware Update Funktion wie jeder Andere Router auch aber die Abfrage in dieser Funktion ist unsicher hier mal einige Zitate aus einem Hacker Forum.
Basierend auf der obigen Auflistung Saiten, ist die / bin / Stege binäre eine modifizierte Version des thttpd, die den Verwaltungsakt Schnittstelle für den Router zur Verfügung stellt. Es scheint durch Alphanetworks (a modifiziert wurden Spin-off von D-Link). Sie waren sogar nachdenklich genug, um viele ihrer benutzerdefinierte Funktion Namen mit der Zeichenfolge "alpha" vorgesetzt:
Die alpha_auth_check Funktion klingt interessant!
Diese Funktion wird von ein paar verschiedenen Orten, vor allem aus alpha_httpd_parse_request genannt:
Wir können sehen, dass alpha_auth_check ein Argument (was auch immer wird in Register $ s2 gespeichert) geleitet wird, und wenn alpha_auth_check gibt -1 (0xFFFFFFFF), springt der Code am Ende der alpha_httpd_parse_request, sonst wird es weiterhin die Anfrage verarbeitet.
Einige weitere Prüfung der Verwendung von Register $ s2 vor dem alpha_auth_check Anruf zeigt an, dass es ein Zeiger auf eine Datenstruktur, die char * Zeiger auf verschiedene Teile des empfangenen HTTP-Anforderung, wie HTTP-Header und die angeforderte URL enthält, ist:
alpha_auth_check selbst ist eine ziemlich einfache Funktion. Es macht ein paar strstr die strcmp und die gegen einige Hinweise in der http_request_t Struktur, ruft dann check_login, die eigentlich die Authentifizierung zu überprüfen hat. Wenn die Anrufe zu einem der strstr der / die strcmp oder check_login gelingt, gibt es 1, sonst, leitet es den Browser auf die Login-Seite und gibt -1:
Dies ist die Durchführung einer strcmp zwischen der Zeichenfolge Zeiger bei Offset 0xD0 im http_request_t Struktur und die Zeichenfolge "xmlset_roodkcableoj28840ybtide", wenn die Zeichenfolge richtig eingegeben, wird die Funktion check_login Aufruf übersprungen und alpha_auth_check gibt 1 (Authentifizierung OK).
Also was heißt das alles nun auf Deutsch?
Ganz einfach wenn jemand den Router mit einem User Agend xmlset_roodkcableoj28840ybtide
Den Router anwählt bumm ist er drin und das nicht nur im Router nein sondern auch im Netzwerk
Und was sagt da die Firewall oder das Antiviren Programm richtig nix XD
PS: nehmen wir den code mal unter die Lupe
xmlset_roodkcableoj28840ybtide
drehen ihn mal um
editby04882joelbackdoor_teslmx
Trennen wir ihn mal etwas
Edit by 04882 joel backdoor _teslmx
Klasse Leute D-Link Hersteller sind einfach zu doof um Wahr zu sein XDDDD