本地虚拟机搭建ubuntu 16.04

ubuntu iso下载地址：http://mirrors.aliyun.com/ubuntu-releases/

安装完，给root用户新增个密码

切换到root用户

修改阿里云镜像：

打开文件不要做任何操作，直接输入 ggdG 清空当前文件内容，注意 G 是大写

然后粘贴以下内容

更新镜像源(注意不同版本的镜像源是不一样的)

安装python3.7

因为ubuntu 16.04带的python是3.5的，而 Binwalk 要求3.6以上。

修改apt指定的python3

update-alternatives命令可以修改系统默认命令的软链指向，通过以下命令，可以切换Python3的指向

查看一下是否安装成功：

检测版本：

python3 -V

安装binwalk（也可翻到后文直接使用自动化工具《自动安装binwalk》）

安装unzip

解压缩固件

如上图，可以看到成功解包

DIR-645信息泄露

比如，这里是DIR645的固件包，我们直接去看web目录下的 getcfg.php文件

查看源码我们能看到/htdocs/webinc/getcfg/DEVICE.ACCOUNT.xml.php存在用户名及密码的泄漏

直接撸一个poc

使用zoomeye在互联网爬的IP，一个漏洞都没有，哈哈哈尴尬。

当然，毕竟是虚拟环境，很多情况下会遇到各种各样的问题，所以有条件的还是买真机来调试吧【想领取网络安全资料的朋友才能点】

0 条评论