1. 簡介

隨著物聯網和家庭網絡的普及，路由器成為攻擊者的主要目標之一。許多用戶未能適當配置路由器，導致設備容易受到攻擊。本篇文章將探討如何利用路由器的配置漏洞進行滲透測試，以提升網絡安全意識。

2. 常見的配置漏洞

2.1 默認憑據

許多路由器在出廠時使用默認帳號和密碼，如admin:admin或admin:password。若用戶未更改這些憑據，攻擊者可以輕鬆登入管理介面。

檢查方法：

curl -u admin:admin http://<router-ip>/

是一個用於測試路由器管理界面是否仍然使用默認帳號密碼的指令。它的作用是：

curl：這是一個命令行工具，用於發送HTTP請求。

-u admin:admin：這個選項指定了用戶名和密碼（在這裡是默認的 admin:admin）。

http://<router-ip>/：這是目標路由器的管理頁面URL（<router-ip> 需要替換為實際的IP地址，例如 192.168.1.1）。

解釋用途：

如果路由器仍然使用默認憑據，這條命令會成功登入，並返回管理界面的HTML代碼。

如果憑據已被更改，則會返回401（未授權）錯誤。

風險：

許多用戶沒有修改默認密碼，這使得攻擊者可以通過簡單的測試獲取管理權限。

一旦攻擊者登入，他們可以更改路由器設置（如DNS劫持）、監控網絡流量，甚至植入後門。

如何防範？

更改默認帳號密碼，使用強密碼來防止暴力破解。

限制管理界面訪問，確保只有內部網絡的特定設備可以訪問管理頁面。

啟用HTTPS管理，防止憑據在傳輸過程中被攔截。

2.2 未加密的管理界面

部分路由器允許HTTP而非HTTPS進行管理，導致憑據容易被竊聽。

檢查方法：

nmap -p 80,443 <router-ip>

是使用 nmap 掃描目標路由器（<router-ip>）的80 和 443 端口，以檢測其是否開放。這兩個端口的作用是：

80（HTTP）：用於未加密的網頁管理界面。

443（HTTPS）：用於加密的管理界面。

解析用途：

如果僅開放 80 端口：表示管理界面未加密，攻擊者可以使用**中間人攻擊（MITM）**竊取登入憑據。

如果 443 端口開放：表示路由器支援加密管理，但仍需確認是否強制使用 HTTPS。

防範措施：

確保 HTTPS 啟用，並在管理界面強制使用 HTTPS。

關閉不必要的管理端口，如不需要遠程管理，則應封閉外網訪問 HTTP/HTTPS 端口。

這樣可以減少憑據被攔截的風險，提高路由器的安全性！若僅開放80端口，則管理界面可能未加密。

2.3 過時的韌體

攻擊者可利用已知的漏洞攻擊過時的韌體，如CVE中的已公開漏洞。

檢查方法：

nmap --script vuln <router-ip>

是利用 Nmap 探測目標路由器 (<router-ip>) 是否存在已知的安全漏洞。

解析

nmap：這是一個強大的網絡掃描工具，用於發現網絡設備和其開放的端口。

--script vuln：這個參數會啟動 vuln 類型的腳本，這些腳本會檢測目標是否存在已知的漏洞，例如：

過時的韌體漏洞

默認憑據

命令注入

其他 CVE（已知安全漏洞）

用途

此命令常用於滲透測試和漏洞評估，以識別設備是否受到常見攻擊的影響。

如果目標設備的韌體沒有及時更新，該命令可能會發現可被利用的安全漏洞。

防禦措施

定期更新韌體，修復已知漏洞。

限制管理端口的訪問，只允許可信的IP進行管理。

關閉不必要的服務，減少潛在的攻擊面。

這條命令對於安全測試非常有用，但請確保在合法範圍內使用，例如測試自己的設備或獲得授權後進行測試！

3. 攻擊方法

3.1 利用默認憑據

若路由器仍使用默認憑據，攻擊者可直接登入管理界面，修改DNS設置，進行中間人攻擊。

3.2 CSRF（跨站請求偽造）

部分路由器的管理介面沒有適當的CSRF防護，攻擊者可誘導用戶點擊惡意連結，使其無意間修改路由器設定。

示例惡意請求：

<img src="http://<router-ip>/change_setting?wifi_password=hacked" />

是一個跨站請求偽造（CSRF）攻擊的示例。當受害者瀏覽包含這段代碼的惡意網站時，瀏覽器會自動向目標路由器的管理界面發送請求，試圖將WiFi密碼更改為 "hacked"。如果受害者已登入路由器管理界面且該界面沒有適當的CSRF保護，這個請求就會成功執行。

攻擊原理

無需用戶互動：瀏覽器會自動加載 <img> 標籤的 src，從而向目標地址發送 GET 請求。

利用受害者的會話：如果受害者已登入管理界面，請求將會攜帶其會話Cookie或認證信息，使系統誤認為是合法用戶操作。

隱蔽性強：這種攻擊不會在用戶界面顯示異常行為，可能發生在用戶無察覺的情況下。

防禦措施

啟用CSRF保護（如 CSRF Token），確保每個請求都需要隨機驗證碼。

限制管理界面訪問，僅允許內部IP或特定設備訪問。

使用 POST 而非 GET 來執行設置變更，並要求額外身份驗證。

這類攻擊經常被用於竄改DNS設置、修改WiFi密碼等，危害極大，因此強烈建議採取適當的防護措施。

3.3 遠程代碼執行（RCE）

某些路由器存在遠程命令執行漏洞，攻擊者可在路由器上執行任意指令。

示例漏洞利用：

curl -X POST -d cmd=cat /etc/passwd http://<router-ip>/cgi-bin/execute

是一種遠程代碼執行（RCE）攻擊的示例，目標是透過不安全的 CGI（Common Gateway Interface）端點在路由器上執行任意指令。

解析

curl：一個命令行工具，用於發送HTTP請求。

-X POST：指定使用 POST 方法發送請求。

-d cmd=cat /etc/passwd：

-d（data）：向伺服器發送的數據。

cmd=cat /etc/passwd：表示執行 cat /etc/passwd 命令，試圖讀取系統中的密碼文件。

http://<router-ip>/cgi-bin/execute：

這是一個假設的 URL，表示該路由器存在可執行命令的 CGI 端點。

攻擊原理

如果 cgi-bin/execute 端點存在漏洞，且沒有適當的輸入驗證，攻擊者可以透過 cmd 參數執行任意系統命令。

cat /etc/passwd 是 Linux 系統中的一條指令，通常用於顯示用戶列表，可能包含敏感信息（如用戶名和加密密碼）。

風險

洩露敏感信息：攻擊者可以獲取系統內部帳號信息，進一步進行暴力破解。

完全掌控設備：如果可以執行更高權限的命令，攻擊者可能獲得設備的完整控制權，甚至修改網絡配置、安裝後門或發動進一步攻擊。

防禦措施

禁用不必要的 CGI 端點，確保 /cgi-bin/ 內的腳本不會執行不受控的命令。

輸入過濾與驗證，限制 cmd 參數僅允許特定的指令。

最小化權限，確保 Web 伺服器運行在最低權限用戶下，避免影響整個系統。

定期更新韌體，修補已知漏洞，防止利用已公開的漏洞進行攻擊。

這是一個經典的命令注入攻擊示例，對於安全測試和防禦來說，了解這類攻擊方式至關重要！

4. 防禦措施

1. 更改默認帳號密碼，使用強密碼。

2. 禁用遠端管理功能，限制管理介面訪問權限。

3. 啟用HTTPS，防止憑據被竊取。

4. 定期更新韌體，修補已知漏洞。

5. 啟用防火牆，封鎖不必要的端口。

5. 結論

本文介紹了路由器常見的配置漏洞及其攻擊方式，希望能幫助使用者提升安全意識。透過適當的安全配置，可大幅降低攻擊風險，保護個人及企業的網絡安全。