Разбираем четвёртую задачку из нашего соревнования CTF. Задание называется router, 122 балла за флаг. Я бы отнёс данную задачу к разделу admin, мне кажется она больше на системное администрирование, нежели на web-разработку.
Ссылки
Решение
Задачка на слабый пароль.
Слабый пароль — пароль, который можно тем или иным способом угадать, узнать, подобрать.
Переходим по ссылке, смотрим на страничку.
Это страничка логина. Куда логинимся? Явно на ZYXEL PRESTIGE 900 - роутер какой-то. Название задачки тоже router. Логинимся под кем-нибудь - не пускает. А под кем нужно логиниться? На многих устройствах есть логин и пароль по умолчанию. Спрашиваем гугл "ZYXEL PRESTIGE 900 пароль по умолчанию".
Первая же ссылка даёт результат:
- Username: webadmin
- Password: 1234
Пробуем залогиниться с этими логином и паролем.
И... нас пускает!
Флаг уже виден, это:
evoctf{router_password_is_sooo_weak}
Безопасность
- Читайте документацию на новые устройства.
- Меняйте пароли по умолчанию.
- Не открывайте доступ к своим роутерам и прочим устройствам в интернет без строгой необходимости.
- Ограничивайте доступ к оборудованию определёнными IP адресами.