Exploit ezxcess.antlabs.com

这几天在新加坡参加 HITB，比起各类料理，更让我敢兴趣的是它的酒店 WiFi。去了三家酒店，WiFi 用的都是统一套认证系统，是 AntLabs 的 IG3100 的设备。连接到 WiFi 后会弹出一个地址为 ezxcess.antlabs.com 的认证页面：

这个地址一般来说都是解析到 traceroute 第二跳的 IP 段的最后一位地址为 2 的主机上，比如 traceroute 的结果为 10.10.1.1，那么会解析到 10.10.1.2。
秉持着我到一个酒店日一个的精神，我对于这套系统进行了一个深入的测试，最后通过串联了 4 个漏洞拿到系统的 root 权限。

1. Backdoor Accounts

通过 Google，我找到了这个系统测两个默认口令。一个是 telnet 的帐号，帐号密码为 console / admin，另外一个是 ftp 的帐号，帐号密码为 ftponly / antlabs。很幸运，遇到的大部分酒店这两个帐号都没有禁用。
登录进去后，发现帐号在一个受限的 shell 下，看了看 shell 自带的命令，和 Linux 自带的一些命令差不多，甚至可以用一些命令查看到沙盒之外的信息，比如 ps -ef：

利用 netstat -l 发现这个系统存在一个 MySQL，但是仅监听在 127.0.0.1。同时还发现了 6000 端口是一个 SSH 服务端口。

利用 SSH，我可以建立一个端口转发，将仅监听在 127.0.0.1 的 3306 端口转发到我的 MacBook 上，然后进行连接操作。
更多内容已被隐藏
主题内容你需要付费可见 (点击购买) 售价：5 金币