记一次从邻居无线路由渗透到邻居PC

起因：因为房东的网太垃圾 决定自己动手丰衣足食蹭邻居的网 结果发现一个信号超好的无线路由
0x01踩点

无意中发现TP-LINK_28C0这个无线信号特别的好 看起来就肯定知道是隔壁邻居的

抓了一下包 处于11信道 开了wps但是新版的tplink貌似防pin 所以枚举pin失败 只好抓包破解不料这密码果然吊

0x02 内网漫游
 
路由没有任何过滤 所以就这样华丽的连上了路由 简单用fing扫了一下内网 发现1.100是一台PC机 网关是1.1 有一台IPHONE 暂时不想理 主要还是针对着1.100这个PC机来搞

我首先习惯性的登上了192.168.1.1试了几次密码 发现不是默认的 试了4~5次没猜出来就不敢往下试了 因为新版的tp-link登陆次数过多会被ban 然后心想着把路由权限搞下来就行  nmap扫了一下PC机的端口

然后开了metasploit识别了一下SMB 是一台win7
 
 win7可不好搞啊 一般来说是个正常的人都会装个360 而且都会把补丁给打上 所以不指望有什么溢出了 
 到这里只能玩中间人了

用ettercap进行了arp欺骗 再用wireshark抓包 一堆的oicq在传输

这样就自然的得到了他的QQ号了 （后来我也不确定那是不是他本人的QQ 因为我有一次又抓到了他登陆淘宝和微博的账号 微博用的是Q号注册的 淘宝的ID和QQ的ID一模一样 之后我也已附近认识的人为借口加了那个wireshark里面抓到的Q号问他是不是住在我旁边 他说不是 是住在学校 或者是其他的蹭网者？这就有点诡异了）

 

不一会儿发现ettercap欺骗到了他网上登陆的一个账号和密码 密码未被加密 是一个图书馆网站 

 之后用他这个密码去尝试了一下路由的账号密码 结果就撞进去了

 

路由的TPLINK ID就是他用手机注册的 所以也得到了他的手机号 （隐私问题不放图了）
之后怕被发现就清了路由日志 之后又拦截到了他上网的部分图片 根据右边的图片 得知他应该是个大学或者本科生 而且是理科生 半夜都在努力看学习的东西

 

 

 然后我正想尝试smb爆破他的时候发现1.100这个主机已经下线了 估计已经睡了 也难怪那时候已经12点了
------------------------------------------------------------------------------------------------------------------------------------------------------------
接着到了第二天晚上9点的时候 发现他又上线了 这次我试着用beef+dns欺骗来勾他的浏览器 为了防止被发现是入侵行为 我就只是单纯的写了个含有xss的hook连接 链接就是beef的 然后打开之后被浏览器解析了就是正常的空白页面 但是里面却插着一条beef的xss语句 
之后用了ettercap进行dns欺骗之后 把他上的网站全都重定向到我本地apache的IP这里来 之后他上知乎被重定向到我这里 自然而言浏览器就被我勾到了 

 

原本我是打算控制他的浏览器让他访问我msf生成后门的页面 但是我手速显然不够他快 他的状况就是 打开网页是空白的就立马关闭 然后打开了网页空白又立马关掉 这样一下上线一下下线beef根本没法机会发指令
然后大概的知道他上网的时间都是在晚上7点～12点 怕他发现所以今天就没有继续搞了然后就收工了
-----------------------------------------------------------------------------------------------------------------------------------------------------
第三天 我叫好基友H4ck0ne帮我写了一个跳转界面 内容是 尊敬的TPLINK用户 您的路由固件版本过低请升级您的固件 5秒后自动跳转下载固件地址 （当然 下载的地址是我msf的后门）配合dns欺骗之后让他访问什么网站都以为是他路由的问题 

可以看到他访问 163 还有其他的网站了 但是也没见他下载我的后门 当然有些地址 有部分地址是我测试欺骗自己访问的 之后msf那边迟迟没有动静 然后抓到了他上360同城帮的图片 估计是询问为什么上不了网 然后发现了自己的dns欺骗重定向的地址果然出了问题 导致目标上不了网

 之后重新改了以下ettercap的配置文件和重启了一下apache就正常了 但是重定向他他依然没下载我的后门 msf那边也一点动静都没有 那时候已经又折腾了几个小时了 怕太反常所以又没搞了 等着明天再想另一个思路拿他的电脑  其实初期的拿下他路由权限目标已经达成了 但是人就是贪 ～

（未完待续...........）

  

 

--------------------------------------------------------事情隔了几个星期后---------------------------------------------------

 

已经好几个星期都没有更新过文章了 因为我这几个星期实在想不出有什么办法可以拿下邻居的PC 但是折腾了一下还是拿下了 

看过很多文章 都是dns欺骗把别人重定向到木马地址然后下载 我尝试了好几天 根本没用 邻居也不会下载 估计是意识高 接着就说说我一个改良版的思路拿下他的PC （看到一篇国外文章有所启发）

0x01
我用的思路是dns欺骗+hta后门 用到的工具是netool 下载地址：https://sourceforge.net/projects/netoolsh/
下载完直接./netool运行就可以了

0x02
用到的是netool里面的hta攻击 虽然说setoolkit里面也有hta攻击 但是要自己手动dns欺骗比较不方便 （而我也老是忘记开启apache服务 导致他重定向到我的ip而出现断网的情况 ）
打开netool 选择8 

之后选择4 

选择powershell.hta  

之后他会询问你输入你自己的lhost和lport 这个相当于是metasploit的reverse_tcp的lhost和lport一样 
到了这里连按两下回车就是ettercap 对网关下所有的用户进行dns欺骗 当然你也可以自己制定目标 第一个填网关第二个填目标地址

 
接着就是修改ettercap的dns配置了

保存退出之后metasploit就会自动监听这时候他访问什么网站都会重定向到我的hta下载页面来 而这个hta他点了他就完了 hta后缀的后门基于powershell powershell大家都懂bypass各种杀软 UAC 然后我也没管了 挂着去做别的事情

0x03
等我做完事情回来以后发现已经返回一个meterpreter了 不容易不容易

 之后开vnc 看了一下他的电脑桌面 果然是本科生+学霸 聊天都是英语

看到我上次用wireshark抓到的QQ和他的QQ是一样的 上次他说住在学校 而现在真相大白他的确住在我家附近 所以。他骗我

接着我也没去多搞 毕竟别人也不容易 就这样把session给K掉了 。。。