Witam,
postaram się streścić maksymalnie. Otóż wpadł mi w ręce telefon IP firmy Yealink (model T28p), jest to dobrej klasy telefon VoIP z dwoma gniazdami ethernet itp.. Niby nic ciekawego, ale: Konfiguracja telefonu odbywa się za pomocą WWW i jak się okazało serwerem http po stronie telefonu jest mini_httpd. Więc postanowiłem przeskanować porty TCP telefonu (po ówczesnym prawdzeniu ssh - oczywiście wyłączone
) oraz przeprowadzić "OS Detection" nmap'em i moim oczom ukazało się to:
lin1:/# nmap -O 10.0.0.163
Starting Nmap 4.62 ( Nmap - Free Security Scanner For Network Exploration & Security Audits. ) at 2011-04-26 09:50 CEST
Interesting ports on 10.0.0.163:
Not shown: 1712 closed ports
PORT STATE SERVICE
80/tcp open http
443/tcp open https
12345/tcp open netbus
MAC Address: --:--:--:--:--:-- (Xiamen Yealink Network Technology Co.)
Device type: general purpose
Running: Linux 2.6.X
OS details: Linux 2.6.11 - 2.6.20
Uptime: 0.004 days (since Tue Apr 26 09:45:28 2011)
Network Distance: 1 hop
Ciekawe, nie? Domyślam się, że w telefonie siedzi choćby Debian, zapewne na jakimś ARM'owym SOC 300MHz i 256k RAM/ROM. Jednak genialne było by przejęcie kontroli nad systemem, może nawet odpalenie serwera ssh. Pytanie tylko jak? Sam nie jestem hakerem, ba daleko mi do tego, ale popróbowałem trochę i napisałem na szybko klienta łączącego się po TCP 12345 (port otwarty wg. nmap). Łączenie, wysyłanie ciągu "Hello" i czekanie na odpowiedź. Wygląda to tak:
Nie wiem czy to jest istotne, ale telefon odsyła mi następujące dane:
1. Moja wiadomość
2. Ciąg 65 znaków w kolejności: 2 znaki #0, 1 znak #1, 54 znaki #0, 1 znak #1, 7 znaków #0 (# - oznacza zapis bajtowy)
Coś wam to mówi może? Jakiś znany protokół komunikacji? A może z innej strony, jakiś atak na mini_httpd umożliwiający wykonanie jakiegoś skryptu konsolowego? Za cokolwiek będę wdzięczny
Pozdrawiam!
Laptop MSI CR500 - nie akceptuje linuksa (6)
ePBF & Observability meetup in Warsaw (0)