MikroTik - BEZPECNOSTNI UPOZORNENI !!! DULEZITE - zablokovane MikroTiky

[Peyrak]

fakt Ti to nehlásí timeout? budou nejspíš změněné porty těch služeb

já do toho lezl přes mac-telnet z vedlejšího mikrotiku

[vojcekp]

fakt Ti to nehlásí timeout? budou nejspíš změněné porty těch služeb

já do toho lezl přes mac-telnet z vedlejšího mikrotiku

V tom scriptu je nastaven port 8291 tzn. Default winboxu. Tudíž pokud by měl jiný port tak by script nevyčetl žádné heslo ale padl by s chybou spojení. Jinak ono to vypíše i přihlašovací údaje které jsou v mkt disable.
Zkusil bych se tam lognout přes telnet nebo ssh... a hlavně že to opravdu zadáváš správně ty přihlašovací údaje. Admin není admin....

[hapi3]

čte to tu vůbec někdo? píše že mu to vypsalo 3 loginy!!!

vypíše to i minulí loginy co byly i když se změnily. Je tam taková historie. POkud helso 10x změníte, starý před změnou tam 9x budou.

Já to spíš typuju na to, že vyčítá jiný RBčko než na který se připojuje. Vždy mi přihlášení po vytahnutí hesla fungovalo.

[Dalibor Toman]

to záleží jestli ti winbox píše špatný heslo nebo connection timeout.

Hlásí špatné heslo jak winbox, tak i přes ssh
Jde nějak pomocí exploitu do mikrotiku zadat svoje vlastní username a heslo ?

uzivatele na zarizeni maji pravdepodobne prideleny rozsahy IPcek ze kterych se mohou pripojit. ZKusil bych to mac-telnetem nebo winbvoxem pres MAC

[mpcz]

Taky si myslím. Už jsem to zažil, že to psalo špatné heslo a bylo správné. Jak píše kolega, zkusil bych to hledat v omezení na IP volajícího. mpcz, 11.sep.2018

[dxtx]

Timeout to opravdu nehlásí...
jak jsem psal zkoušel jsem přes ssh i winbox
Hlásím se do správného mikrotiku - terminal vypíše admin s heslem, které na mikrotiku v minulosti opravdu bylo.
Login zadávám samozřejmě s rozlišením velkých malých písmen, zarazilo mě, že ten admin tam byl 3x
mimo to je tam také nový user od útočníka "system" přihlášení také nefunguje!
Uživatelé na winbox a ssh nemají jiný rozsah, ani žádný povolený ze kterých se mohou připojit, to by se mě snad ssh ani winbox neotevřelo a nepsalo po zadání špatné heslo...
Dnes zkusím ještě telnet a později pošlu screen

[rsaf]

Timeout to opravdu nehlásí...
zarazilo mě, že ten admin tam byl 3x

Po páté - exploit vypíše dalšího usera pokaždé, když se změní heslo. 2x admin bez hesla je tam asi z fabriky, pokud by jsi adminovi 5x změnil heslo, bude tam pravděpodobně dalších 5 adminů se všemi těmi hesly.
Nijak nepoznáš, které je aktuální (asi to poslední), ani nepoznáš jestli ten user je disablovaný nebo smazaný nebo má nastavený ip rozsah. To vše můžou být důvody k tomu, proč se tam nedostaneš


Uživatelé na winbox a ssh nemají jiný rozsah, ani žádný povolený ze kterých se mohou připojit, to by se mě snad ssh ani winbox neotevřelo a nepsalo po zadání špatné heslo...[/quote]
Jak víš co tam útočník nastavil? Pokud má uživatel nastaven rozsah ze kterého se může přihlašovat, vypisuje to opravdu že má špatné heslo

mimo to je tam také nový user od útočníka "system" přihlášení také nefunguje!

Opět, může mít IP range nebo může být disablovaný (to by si ovšem útočník sám sobě zavřel poslední dveře do toho zařízení...)

[dxtx]

Timeout to opravdu nehlásí...
zarazilo mě, že ten admin tam byl 3x

Po páté - exploit vypíše dalšího usera pokaždé, když se změní heslo. 2x admin bez hesla je tam asi z fabriky, pokud by jsi adminovi 5x změnil heslo, bude tam pravděpodobně dalších 5 adminů se všemi těmi hesly.
Nijak nepoznáš, které je aktuální (asi to poslední), ani nepoznáš jestli ten user je disablovaný nebo smazaný nebo má nastavený ip rozsah. To vše můžou být důvody k tomu, proč se tam nedostaneš


Uživatelé na winbox a ssh nemají jiný rozsah, ani žádný povolený ze kterých se mohou připojit, to by se mě snad ssh ani winbox neotevřelo a nepsalo po zadání špatné heslo...

Jak víš co tam útočník nastavil? Pokud má uživatel nastaven rozsah ze kterého se může přihlašovat, vypisuje to opravdu že má špatné heslo

mimo to je tam také nový user od útočníka "system" přihlášení také nefunguje!

Opět, může mít IP range nebo může být disablovaný (to by si ovšem útočník sám sobě zavřel poslední dveře do toho zařízení...)[/quote]

Ok, díky za info...
jelikož limitaci ip adres na usera nepoužívám je pro mě novinka, že při povoleném rozsahu vypisuje nesprávné jméno a heslo

[kodlkal]

Připoj se tam přes winbox, ale přes MAC adresu MT z LAN!

Timeout to opravdu nehlásí...
zarazilo mě, že ten admin tam byl 3x

Po páté - exploit vypíše dalšího usera pokaždé, když se změní heslo. 2x admin bez hesla je tam asi z fabriky, pokud by jsi adminovi 5x změnil heslo, bude tam pravděpodobně dalších 5 adminů se všemi těmi hesly.
Nijak nepoznáš, které je aktuální (asi to poslední), ani nepoznáš jestli ten user je disablovaný nebo smazaný nebo má nastavený ip rozsah. To vše můžou být důvody k tomu, proč se tam nedostaneš


Uživatelé na winbox a ssh nemají jiný rozsah, ani žádný povolený ze kterých se mohou připojit, to by se mě snad ssh ani winbox neotevřelo a nepsalo po zadání špatné heslo...

Jak víš co tam útočník nastavil? Pokud má uživatel nastaven rozsah ze kterého se může přihlašovat, vypisuje to opravdu že má špatné heslo

mimo to je tam také nový user od útočníka "system" přihlášení také nefunguje!

Opět, může mít IP range nebo může být disablovaný (to by si ovšem útočník sám sobě zavřel poslední dveře do toho zařízení...)

Ok, díky za info...
jelikož limitaci ip adres na usera nepoužívám je pro mě novinka, že při povoleném rozsahu vypisuje nesprávné jméno a heslo [/quote]

[ludvik]

Limitace winboxu v ip/services samozřejmě špatné heslo nebo jméno nehlásí. Ale timeout, resp. čeká a čeká a čeká ...

[Dalibor Toman]

Limitace winboxu v ip/services samozřejmě špatné heslo nebo jméno nehlásí. Ale timeout, resp. čeká a čeká a čeká ...

jenze rec je o nastaveni IP rozsahu primo na usera ne na jednotlive sluzby

a co se tyka toho timeoutu na sluzbu, tak bych spis cekal, ze to spojeni chcipne hned, protoze v te chvili nema sluzba zadnou jinou moznost nez ukoncit TCP spojeni a o tom bude protistrana informovana strandardnimi mechanismy TCP/IP stacku

[ludvik]

Už jsem se v těch vnořených a leckdy neukončených citacích ztratil. Faktže se to chová jinak - limitace usera a limitace služby. Na usera to špatné jméno/heslo nahlásí. Na službu se ovšem divím také, čekal bych reject.

[rsaf]

Tak u služby jsem ten rozsah nikdy nenastavoval když to řeším input firewallem. U usera je to jiná, občas mám potřebu některému uživateli povolit třeba jen přihlášení z LAN.

[djradiator]

Zdravím,
ak by niekto potreboval, tak som vytvoril Windows Appku ktorá nahrádza Python script pre zobrazenie hesiel (https://github.com/BasuCert/WinboxPoC):
https://github.com/msterusky/WinboxExploit/releases

Je to čisto jednorázová verzia (neplánujem ďalšie verzie ani rozšírenia), ale možno niekomu pomôže.
Appka obsahuje iba implementáciu cez IP (Python verzia obsahuje aj mac-winbox).

Good Luck,
M.

[keksik]

Nechapem co tu vsetci riesite.
Tak vam treba

staci toto a je klud -:-)

;;; Zakaz vsetko na MK chain=input action=drop in-interface=ether1-WAN log=no log-prefix=""

co chcete povolit zvonka date pred hore pravidlo

a pre istotu este
;;; Blokuje pristup na port Winboxu zvonka do LAN
chain=forward action=drop protocol=tcp in-interface=ether1-WAN
dst-port=8291 log=no log-prefix=""