Netgear router escutando na porta 32764?

Navegue suas respostas
13

Eu tenho um Netgear DG834G rodando o firmware V5.01.01. Do lado da LAN, se eu fizer a varredura da porta, ele está escutando na porta tcp 32764. Tentar fazer telnet nesta porta me dá a resposta MMcS\xff\xff\xff\xff%code%%code%%code%%code% (em hexadecimal, obviamente).

Eu tenho o UPnP desativado, não é uma porta de gerenciamento remoto e não está aberto no lado da WAN. Não consigo encontrar nada na documentação da Netgear, e pesquisar on-line também não encontra nada. Algumas pessoas parecem ter notado, mas ninguém realmente tem uma resposta. Eu também criei uma regra de firewall bloqueando o acesso de saída a essa porta, e ela ainda está aberta, então, na verdade, é o roteador que está ouvindo nela.

Alguém sabe o que isso poderia ser?

    
por Dentrasi 22.07.2010 / 22:42

3 respostas

4

Hmm, estranho.

Hex ff = Decimal 255, então logicamente a resposta que você está recebendo é equivalente a

MMcS 255.255.255.255 0.0.0.0 (pontos adicionados para clareza de rede) que para mim é basicamente um endereço de broadcast na sua rede. Pode estar afirmando que qualquer ip da sua rede pode usar o serviço MMCS, ou seja, 255.255.255.255 máscara de rede 0.0.0.0.

Existe uma série de coisas que a MMCS poderia ser, como o MultiMedia Class Scheduler que o Vista pode usar para obter prioridade para tráfego multimídia na rede. Isso explicaria por que a porta só está aberta na sua rede local também.

Também um pouco de informação sobre o ponto 5 da primeira postagem de esta página

Eu duvido que tenha algo a ver com MIP-MANET Cell Switching , que parece ter algo a ver com redes de telefonia celular. Uau, há algumas coisas estranhas que são retornadas quando você faz o Google por MMCS 255.255.255.255 . este .

Então, eu diria que é provavelmente uma porta que permite que o Windows MultiMedia Class Scheduler converse com o roteador para priorizar o tráfego, mas pode ser uma coisa estranha da rede de telefonia móvel.

    
por 23.07.2010 / 00:02
17

Na verdade, isso parece ser uma porta traseira de software incluída pelo fabricante, conforme descrito aqui e explorável usando este script .

Até agora, pessoas relacionadas a não-fornecedores relataram que há portas de proteção nos seguintes roteadores: Linksys WAG200G, Linksys WAG320N (Firmware V1.00.12) e Netgear DM111P. Mas parece que os seguintes dispositivos (incluindo o seu) também podem estar presentes, Netgear DG834, DG834G WPNT834 DG934, WG602, roteador WGR614, Linksys WAG160N e DGN2000, WAG120N sem fio-WRVS4400N. Parece provável que esta porta dos fundos também esteja presente em outros dispositivos.

    
por 02.01.2014 / 03:41
1

Esta é a porta MIPS que está presente nos dispositivos fabricados, roteadores e gateways domésticos SerComm (Linksys, Netgear, Cisco) usado para atualizações de firmware.

Isso é gerenciado pelo processo scfgmgr , que está escutando na porta 32764.

Quando acessado via telnet, os dados prefixados por ScMM ou MMcS (dependendo da condição do usuário) parecem ser retornados.

É um protocolo binário muito simples com cabeçalho (0xC bytes) seguido por uma carga útil.

Estrutura do cabeçalho: 

typedef struct scfgmgr_header_s {
    unsigned long   magic;
    int             cmd;
    unsigned long   len;
} scfgmgr_header;

Isso é baseado em fontes Cisco GPL (por exemplo, wap4410n_v2.0.1.0_gpl.tgz no ftp-eng.cisco.com desativado).

Para informações reais, consulte a descrição do elvanderb e o código Python de amostra .

Atualmente ele é famoso pelo estouro de buffer baseado em heap que pode fornecer acesso total ao dispositivo ( backdoor ). Isso foi descoberto por Eloi Vanderbeken no Natal de 2013, no entanto, provavelmente foi conhecido pelos hackers chineses em 2008 ( Eloi Vanderbeken "http://hi.baidu.com/cygnusnow/item/3fd853ade9f08f9e151073a1"> arquivo cgi ).

Veja como funciona.

Estouro de buffer com base em heap:

Mensagens:

Portanto, o uso de mensagens simples de transbordamento pode fornecer muitos detalhes interessantes:

Noentanto,issopodefazercomqueaconfiguraçãosejaredefinida,porisso,nãofaçaissoemcasa.

Aquiestãoalgunscomandosreversosexecutadospeloroteadorexecutadopormeiodessaporta.

  1. nvram-Configuraçãodedespejo.

  2. getvar-obterconfiguraçãovar

    possívelestourodebufferbaseadoempilha(seavariávelforcontroladapelousuário)

  3. setvar-Definirconfiguraçãovar

    estourodebufferbaseadoempilha,bufferdesaída(tamanho≈0x10000)estánapilha.

  4. commitnvram-Leianvram/dev/mtdblock/3apartirde/tmp/nvrameverifiqueoCRC

    definenvram(/dev/mtdblock/3)apartirde/tmp/nvram;verifiqueoCRC

  5. Ativaromododeponte(nãotenhocerteza,nãotivetempoparatestá-lo)

    nvram_set(“wan_mode”,bridgedonly)nvram_set(“wan_encap”,0)nvram_set(“wan_vpi”,8)nvram_set(“wan_vci”,81)system(“/usr/bin/killallbr2684ctl”)system(“/usr/bin/killalludhcpd”)system(“/usr/bin/killall-9atm_monitor”)system(“/usr/sbin/rcwanstop>/dev/null2>&1”)system(“/usr/sbin/atm_monitor&”)

  6. Mostrarvelocidadedeinternetmedida(download/upload)

  7. cmd(sim,éumshell…)

    • comandosespeciais:

      • exit,bye,quit->sair...(vivo=0)
      • cd:alteraodiretório(umpoucodeWTF)

    • outroscomandos:

      • sobrecargadenúmerointeironoprocessamentodestdout(?)nãoexplorávelmasaindaassim...
      • estourodebuffernasaídadocmd(mesmobuffernovamente)…

  8. escreverarquivo

    • nomedoarquivonacargaútil
    • rootdir=/tmp
      • O
    • cruzamentodediretóriopodeserpossível(nãotestado,maséaberto(sprintf(“/tmp/%s”,cargaútil))…)

  9. retornaraversão

  10. retorneoroteadordomodemip

    • nvram_get(“lan_ipaddr”)

  11. restaurarasconfiguraçõespadrão

    • nvram_set(“restore_default”,1)
    • nvram_commit

  12. leia/dev/mtdblock/0[-4:-2]

    • nãoseioqueé,eunãotivetempoparatestá-lo

  13. despejenvramnodisco(/tmp/nvram)econfirme

Fonte: (apresentação de slides) Como a Linksys salvou meu Natal!

Normalmente, esse tipo de porta deve ser oficialmente IANA .

Isto é o que unSpawn respondeu no LinuxQuestions em 2007 relacionado a esta porta:

If it's an officially IANA-assigned port (with a number between 0 and roughly 30000) then its number should correspond with a service in /etc/services ('getent services portnumber'), the services file of a scanner like Nmap or an online database like Sans' ISC.

Note that ephemeral port usage can be configured locally using the /proc/sys/net/ipv4/ip_local_port_range sysctl. An old default was 1024-5000, for servers a value of 32768-61000 is used and some applications want something like 1025-65535.

Also note these are static number-to-service mappings and while for instance /etc/services will say TCP/22 matches SSH that doesn't have to be the case in a particular situation,

Else if it's a port of which you don't know which process did bind to it then if you have access to the host you can interrogate it using netstat -anp, lsof -w -n -i protocol:portnumber or fuser -n protocol portnumber. This is the most accurate method,

Else if you do not have access to the host you could interrogate it by for instance telnet'ting to it. This is not an accurate method and in the case of a compromised host you may alert the intruder you're on her case.

Veja também:

por 07.03.2015 / 13:17

Tags

Impedir que o "Lembrete" do Outlook seja exibido O servidor OpenSSH se recusa a aceitar autenticação de chave