GhostDNS 源代码被泄露
路由器漏洞利用工具套件的兴起
路由器漏洞利用工具套件在网路犯罪分子中变得越来越流行,特别是针对巴西的路由器,因为许多巴西的路由器安全性较差,使用预设和知名的登入凭证。路由器漏洞利用工具套件通常透过恶意广告网站进行分发,这些活动以波浪式进行。
一年前2019年5月,我们的 Avast 网路防护功能阻挡了一个来自档案分享平台 sendspacecom 的 URL。事后发现,我们的一名 Avast 用户在伺服器上上传了一个含有恶意内容的 RAR 档案,并未关闭 Avast 网路防护功能,因为该档案没有设置密码,导致防护功能自动分析,触发了我们对路由器漏洞利用工具套件的检测。我们下载了链接的档案,发现了 GhostDNS 漏洞利用工具套件的完整源代码。
我们下载的档案名为 ‘KL DNSrar’,其结构如下显示。档案名表明其目的它使用 DNS 劫持方法将用户重定向到网络钓鱼网站,在那里利用键盘记录器KL获取用户的凭证或信用卡资讯。网上有视频解释如何执行此类攻击。
GhostDNS 的源代码可以在黑暗网络上购买。2018年,该源代码的售价约450美元。除了任谁都可以购买并在自己的系统上运行的 GhostDNS 源代码外,使用 GhostDNS 窃取的信用卡信息也能以约10至25美元的价格购买,具体取决于信用卡信息的数量。根据我们的研究,这些数据截至2020年4月仍可购买。
源代码结构
下载的 KL DNSrar 档案包含了成功运行 DNS 劫持活动所需的一切,以及窃取受害者的信用卡信息、不同网站的凭证或其他用户输入的信息。除了漏洞利用工具套件源代码外,原始档案还包含几个网络钓鱼网站的源代码稍后将详细说明。
攻击 SOHO 路由器有两种方式。最常见的攻击方式是从内部网络开始,通常是在受害者点击浏览器中的恶意广告链接后启动攻击。另一种感染路由器的方式是透过另一个连接到互联网的设备。在这种情况下,用户不需要点击任何连结,路由器是透过已感染的设备感染的,该设备可以位于世界任何地方。这两种攻击方式都使用 CSRF 请求来改变家用路由器的 DNS 设置。
这两种攻击策略之间的区别显著。当恶意广告活动促进攻击时,攻击者为推动特定数量的人访问其恶意页面付费。一旦点击了恶意链接,攻击即从计算机内部或本地网络内发起。使用该方式成功攻击路由器的机会更高,因为许多路由器仅可从本地网络访问。另一方面,使用像 BRUT 或 masscan 等互联网扫描器搜寻易受攻击的路由器,并从外部进行攻击,对攻击者则具有自身的优势。扫描器可免费使用,攻击者无需支付点击费用,并且可以控制哪些 IP 地址和端口将被扫描并最终被攻击。
这类活动通常以波浪式出现,并针对全球的路由器。尽管大多数攻击都针对巴西的路由器,因为那里有大量的易受攻击的路由器。此类活动成功的原因在于,大多数路由器由于出厂时使用的弱通常是预设凭证而未被加固。根据我们来自所有版本的 Avast WiFi 检查器功能的匿名数据,巴西76的路由器登入凭证皆为弱密码,使其易受攻击。
BRUT
在这一部分,我们将重点分析一个名为 BRUT 的免费互联网扫描器的源代码。BRUT 寻找并攻击具有公共 IP 地址和对互联网开放的 HTTP 端口的路由器。
版本之间的差异我们发现本次活动中使用的 GhostDNS 源代码有五个实现版本。根据档案元数据,最早的实现版本创建于2017年7月。每个版本的恶意脚本行为非常相似,但在实现细节上有所不同。根据对档案的分析,我们可以将所有实现分为两个组别或版本,每个版本针对不同的目标。
A 版: 此实现的源代码针对较少的设备和可能开放的端口,但使用更长的预设凭证清单来手动暴力破解正确的用户名和密码组合。B 版: 此实现针对较多的设备和开放端口,但预设凭证的清单较短。A 版 B 版 IP 地址前缀的数量 3051 78535 目标端口 80 8080 8181 80 8080 8081 8181 8889 9001 9000 2020年5月巴西开放端口的设备数量shodanio 16 M 18 M 2020年5月全球开放端口的设备数量shodanio 885 M 965 M 暴力破解攻击中使用的凭证数量 84 22 目标路由器型号数量 31 37
除了不同的目标外,这两个版本的文件夹结构也略有不同。下图显示了 A 版的源代码在左侧,B 版的源代码在右侧。在 B 版的源代码中,所有漏洞利用工具套件均在 Routerpy 档案中实现。为了更好地了解它们之间的差异,B 版所针对的路由器型号列在下方框内。
在每个包含 B 版源代码的文件夹中,我们发现一个名为 READMMD 的 markdown 文件。这个源代码的作者在命名文件时犯了一个拼写错误,原本应该命名为 READMEMD。在这个文件中,我们只找到 Shodan 搜索引擎的 URL 地址。A 版的源代码则不包含任何 READMEMD 文件。
在我们下载的 RAR 压缩档中,我们发现了两个实现的算法,其中一个实现扩展了另一个版本。A 版的源代码似乎是较旧的版本,攻击者更专注于正确设计攻击。这可以通过针对的 IP 地址和端口数量的显著降低以及较少的路由器型号目标来得出结论。在这个版本成功后,攻击者创建了新的源代码版本,针对的 IP 地址和端口数量显著增加,以及更多的路由器型号。凭证组合数量较少,可能是因为大多数用户从未更改其 SOHO 路由器的预设凭证,因此使用较少的凭证进行攻击足够有效。
安装
恶意源代码是通过一个简单的 shell 脚本进行分发的,名为 ‘installsh’,该脚本在两个版本的源代码中均可找到。在执行此脚本后,它会下载运行感染所需的所有依赖项。感染的源代码从两个不同的地方下载,具体取决于源代码的版本要么从源代码中硬编码的 IP 地址的伺服器上下载,要么从 Dropbox 上下载。使用 Dropbox 共享恶意脚本仅在代码的后期版本中开始。下载的源代码以 ZIP 档案的形式存储在主机设备的 ‘/scan’ 文件夹中。
互联网扫描器
为了找到新的攻击路由器,GhostDNS 套件扫描互联网连接的其他设备。在源代码中,我们发现了一个待扫描的 IP 地址前缀清单。每个前缀指定了一个子网,网络掩码为 16,因此对于每个前缀,会扫描所有 65536 个 IP 地址。随机从预定义清单中选择扫描的子网前缀。
所选的前缀随后被记录到控制台,如下图所示。每当脚本找到一个新的开放 HTTP 端口的设备时,它会将 IP 地址、端口和凭证记录到命令行和日志档案中。
A 版的两个实现会打印出一个横幅,通知攻击者恶意 CSRF 请求已被执行。在创建此横幅时,攻击者犯了一个拼写错误,原本应显示正确的名称 ‘GHOST DNS’,但脚本显示为 ‘GOST DNS’。其余打印到控制台的信息是葡萄牙语。
BRUT 扫描器专注于源代码中硬编码的预定 HTTP 端口。对于每个前缀,扫描器尝试按顺序连接给定范围内的所有 65536 个 IP 地址。对于每个 IP 地址,该扫描器会尝试连接一组预定的端口。
我们分析了给定 IP 地址前缀的列表,以确定哪些国家受到了扫描。在这两个列表中,共有69个目标国家,且两个版本针对的国家设置完全相同。
两个版本之间的差异在于每个国家中不同 IP 地址的分布以及每个版本中的总 IP 地址数量。下图显示了前 10 个目标国家的 IP 地址分布,这些国家分别是巴西、 美国、墨西哥、哥伦比亚、阿根廷、智利、 加拿大、委内瑞拉、澳大利亚、哥斯达黎加、 德国。
尽管两个列表中大多数 IP 地址前缀在巴西注册,但算法仍然检查每个扫描到的 IP 地址的地理位置。攻击仅继续针对位于巴西的 IP 地址。
除了针对连接到互联网的设备外,GhostDNS 还针对连接到同一私有网络的设备。在 IP 地址前缀列表中包含了一个私有网络 19216800/16,该网络是大多数路由器的内部网络的预设设置。大多数与互联网连接的设备在内部网络的一个路由器背后隐藏。因此,扫描内部网络使攻击者有机会感染更多潜在设备。
在 B 版源代码中,有指定的子网 IP 地址应被忽略,该子网是 14310600/16,属于巴西坎皮纳斯公立大学Universidade Estadual de Campinas,该大学是 分布式蜜罐项目 (Distributed Honeypots Project) 的成员,专注于分析针对互联网设备的威胁。该大学与巴西 安全事件研究、响应与处理中心 (CERT) 共同负责维护 蜜罐。为了尽可能避免被察觉,扫描器会跳过此已知的 IP 地址范围。
获取访问权限
在先前的一篇 博客文章 中,我们分析了在野外的 GhostDNS 活动。如同我们提到的,routerEK 使用 CSRF 请求来改变路由器的 DNS 设置。在我们现在描述的实现中,GhostDNS 脚本使用硬编码的凭证列表,向以下目标发送 HTTP 请求:
http[]//ipporthttp[]//user@ipport
为了获取对设备的访问权限,脚本进行 CSRF 暴力破解攻击,使用一组预设或容易猜测的凭证。我们在源代码中发现了两个凭证列表。其中一个包含22个凭证,适用于较大规模的 IP 地址前缀,而另一个则包含84个凭证,适用于较小规模的前缀。
在所有凭证组合中,只有九个能在两个凭证列表中找到。在这些共同凭证中,我们发现了 Cisco 设备的预设用户名和密码ciscocisco、Ubiquiti 设备ubntubnt,以及变体的 ‘admin’ 作为用户名或密码。两个列表还包含了 ‘deadcorp2017’ 作为受感染路由器的新密码。换句话说,每次运行 GhostDNS 漏洞利用工具套件都能获得在之前活动中已被感染路由器的访问权限。
除了共同凭证,B 版源代码中还包括了更多容易猜测的凭证,例如何 admin123456。源码的作者也添加了一些更复杂的密码,例如 ‘krug3rpicao’ 或 ‘s1m23 l’。这些密码为何会被添加至列表尚不清楚。
梯子npv加速另一方面,A 版源代码中还包含了巴西 ISP 的一些著名预设凭证,如 TIM 巴西的 (T1m4dmT1m4dm) 或 VIVO 的 (admingvt12345)。某种路由器的预设凭证也可以在下方图片中的列表中找到,例如 ZyXel (adminzyxel)。某些 Linux 发行版的预设凭证 (roottoor) 也可以在列表中找到。最后但同样重要的是,过去类似攻击中使用的凭证也出现在列表中,例如 admindn5ch4ng3。完整的凭证列表可以在 IoC 部分找到。
此外,当发送 HTTP 请求时,B 版的源代码会从十个预定用户代理中随机选择。此功能未包含在 A 版源代码中,因此可能是源代码的一个改进,旨在长时间保持隐蔽。
当将正确的信息组合发送至目标设备时,设备会以 HTTP 200 发送响应,并带有设备的相关信息横幅。根据目标设备的名称,GhostDNS 算法使用非常简单的指纹识别技术来选择将在 DNS 劫持攻击中使用的正确 routerEK 版本。
以下图片显示了一个针对 FiberHome Modem Router HG110 的 HTTP 指纹识别示例。 此漏洞 自2013年以来便存在,旨在改变 DNS 设置然后在没有任何身份验证的情况下重启目标设备。
并非所有响应 HTTP 200 的设备都是路由器。有些设备被故意忽略,例如 IP 摄像头、数字视频录影机、伺服器等,因为它们不具备 DNS 伺服器功能。
对于成功的登入,受感染路由器的信息会存储在硬碟上的日志文件中,而在某版源代码中,登入信息还会通过域名 ‘deadfilmesorg’ 分享至外部伺服器。该域名在2017年活动期间短暂有效,现已不再运行。
攻击链接续进行,CSRF 劫持每个目标路由器的 DNS 设置。DNS 设置被配置为使用预定义的恶意 DNS 伺服器,将用户重定向至钓鱼网页。在我们下载的 GhostDNS 源代码中,发现了三种不同的恶意 DNS 设置。IP 地址的配置完全取决于攻击者。由于此次活动的源代码在2017年创建,这些恶意 DNS 伺服器在2020年不再有效也就不足为奇。
DNS 设置
DNS1 = 162254204[]26DNS2 = 162254204[]30DNS1 = 19855124[]146DNS1 = 18570186[]4DNS2 = 18570186[]7
为了创建恶意 DNS 伺服器,此压缩档中包含了 SimpleDNS Plus 应用程序的安装文件,并附带破解工具,这是一个功能强大的 Windows 操作系统的 DNS 伺服器。压缩档中包含的版本 52 的 SimpleDNS Plus,由于是2009年发布的首个与 Windows 7 兼容的版本。
该压缩档还包含可导入的 DNS 设置至 DNS 工具中。我们总共找到了65个不同的 DNS 设置,所有域名解析到同一个 IP 地址 16711419[]55。我们安装了 SimpleDNS Plus 工具并将所有 DNS 设置导入其中。以下图片显示了三个不同的 DNS 记录。
接下来,GhostDNS 将用户的路由器凭证更改为预设的凭证。在两个版本的源代码中,仅将密码更改为 ‘deadcorp2017’。在两个案例中,攻击者将用户名和密码均更改为 ‘deadcorp2017’。在另一个案例中,用户名和密码均更改为 ‘Snowden’。
/ deadcorp2017deadcorp2017 / deadcorp2017Snowden / Snowden从此以后,每当用户连接到目标域名,恶意 DNS 将其重定向到一个钓鱼伺服器,在此伺服器上存放著请求的网页的恶意副本。这些网页通常与真实服务的网页相似,但这些钓鱼网页的目的在于获取用户的资料。在此案例中,目标服务为银行机构及 Netflix。关于 DNS 劫持的更多信息以及攻击者如何通过安装恶意 DNS 伺服器来盈利的情况,我们的 先前博客文章 中均有详述。
RouterEK
另一种攻击路由器的方式是通过木马广告重定向从本地网络进行攻击。当用户点击恶意链接时,便无意中从内部网络攻击路由器。
扫描的 IP 地址数量远低于我们在上述 BRUT 文件夹中发现的列表。该扫描器针对五个内部 IP 地址、两个注册于巴西互联网服务提供商的公共 IP 地址以及用户查看恶意广告网页的 IP 地址。此脚本仅针对两个 HTTP 端口:80 和 8080。
然后,该脚本寻找 IP 地址和端口的组合,并显示活跃设备。所有扫描的 IP 地址和端口的组合都在简单的网页在一个列表中显示,并显示每个组合的反应。
对于作出回应的每个设备,该脚本产生一个用 BASE64 编码的 iframe。这些 iframe 代表简单的网页,具有将 HTTP 请求更改为 WebSocket 请求的功能。这些请求用于将路由器的 DNS 设置更改为预定的 IP 地址。有59个不同的请求,所有请求都硬编码在源代码中,每个用户名和密码组合都包含在内。创建的 iframe 然后附加到网页主体的末尾。
在请求中使用的凭证数量只有八个用户名和密码对,明显低于我们在 BRUT 文件夹中发现的凭证数量,但仍包含巴西最常用的预设路由器登入凭证。
adminadminadminadmin12345admin123456admingvt12345rootrootadminvivo12345AdminAdmin当受害者被重定向至包含漏洞利用工具的登陆页面时,该脚本根据 PHP SERVER 变数确定伺服器的 IP 地址和客户端所点击的 URL。所有这些信息,包括当前的日期和时间,然后被记录到以客户端IP地址命名的日志文件中。我们在源代码中找到的这种日志文件的例子如下所示。
当攻击从网络浏览器发起时,如本例所示,攻击者会重点关注攻击的时间复杂度,以便不被用户注意。因此,该攻击的目标 IP 地址和端口数量较少,凭证列表较短。
在过去两年中,我们见过多个针对巴西的 GhostDNS 活动,几个示例可参见以下图片。
早期版本经常通过遭到破坏的网站透过恶意广告分发。2019年,几个团体转向使用 Jelastic 平台、AWS 或其他易于部署的托管服务。获得的源代码在主文件夹中包含了野外见到的首个版本,根据 TrendMicro,它被描述为版本 1,并以 apiipaddressphp 作为登陆脚本。
钓鱼伺服器与网页
在下载的 ‘KL DNS’ 文件夹中,除了 GhostDNS 源代码外,还有钓鱼网页的源代码。在我们下载的文件中发现了几个钓鱼网站。攻击者主要针对巴西最大的银行和 Netflix:
Banco BradescoItauCaixaSantanderMercadoPagoCrediCardNetflix在分析源代码时,我们注意到一些其他域名也已做好准备,但钓鱼页面尚未或尚未实现。这一组网页包括更多巴西的大型银行、托管域名、新闻网站和旅行公司:
Flytour ViagensBanco do BrasilCartao UNISicoobBanco OriginalCitiBankLocawebMisterMoneyBrasilUOLPayPalLATAM PassSerasa ExperianSicrediSwitchFlyUmbler这些钓鱼网页的目的是收集用户数据,主要是在线银行网站的登入凭证和信用卡号码。当钓鱼伺服器窃取用户信息时,会通过电子邮件将其发送给攻击者。我们发现了两种不同的电子邮件地址配置用来向攻击者发送电子邮件,但内容保持不变用户数据。列表中提到的第一个配置用于发送从 Santander 银行钓鱼网站窃取的数据,第二个配置则用于共享从所有其他钓鱼网页收集的数据。
发件人邮箱 autenticadead[at]gmailcom,收件人邮箱 jokersdead69[at]gmailcom发件人邮箱 dnsautenticador[at]gmailcom,收件人邮箱 caixadeinfor2018[at]gmailcom源代码的作者使用了带有 SMTP 身份验证的 PHPMailer 库来发送电子邮件,因此发件人的邮件密码也包含在源代码中。
额外信息:Project RouterScan
在我们的研究中,我们发现了一个可能是 BRUT 扫描器的继任者,即由 Stas’M Corp 创建的 RouterScan。这个自动化的网络扫描器可以直接从开发者那里下载,已经可以下载到版本 260 Beta。一个修改过的 RouterScan v253 可以在 torrent 网络或文件分享平台如 4sharedcom 中找到。此版本还包含了针对最常见路由器的几个漏洞利用。
RouterScan v253RouterScan 工具包含了一个预设或易于猜测的凭证列表。在版本 253 中,对于基本身份验证有125种不同的凭证,对于摘要身份验证有113种凭证。在我们从 torrent 下载的源文件中,我们还发现了31个 Pascal 档案,包含针对超过100种不同路由器的漏洞利用。例如,以下显示的是利用 ROM0 备份泄漏漏洞的函数 (CVE20144019):
以下显示了 RouterScan 的一个设置示例。攻击者可以输入任何范围的 IP 地址和要扫描的端口。可选择六个扫描模组,针对各种服务,如 SQLite Manager、phpMyAdmin 等。
受影响的路由器列表:
档案名称 受影响的供应商 参考资料 ExploitASUSErrPagepas ASUS U2C https//sintonenfi/advisories/asusrouterauthbypasstxt ExploitASUSQISpas ASUS https//cvemitreorg/cgibin/cvenamecginame=CVE201818291 ExploitASUSwebdavpas ASUS https//wwwsnightwatchcybersecuritycom/2017/05/09/multiplevulnerabilitiesinasusrouters/ ExploitASUSWPSpas ASUS https//forumantichatru/threads/409897/page2#post3723404 ExploitBoaASUSpas ASUS ExploitBoaRalinkpas Upvel Sitecom ZTE https//mediumcom/@huszty/reverseengineeringmyfibertothehomegpondevice83527ceeddde ExploitDLinkAlphaDIpas DLink Planex http//wwwdevttys0com/2013/10/reverseengineeringadlinkbackdoor/ ExploitDLinkCOMMpas DLink http//wwws3cur1tyde/m1adv2013003 ExploitDLinkDAPWizardpas DLink ExploitDLinkDIConfigpas DLink ExploitDLinkDIR300pas DLink https//packetstormsecuritycom/files/124247/DLinkDIRXXXRemoteRootAccesshtml ExploitDLinkDLB6031pas DLink http//stascorpcom/forum/15861 ExploitDLinkSOAPpas DLink http//wwwdevttys0com/2015/04/hackingthedlinkdir890l/ ExploitECIBFOCuSpas ECI https//vulnerscom/securityvulns/SECURITYVULNSDOC9286utmsource=securityvulnsamputmmedium=redirect ExploitMicroDSLBackuppas https//nvdnistgov/vuln/detail/CVE20148357 ExploitMicroDSLpsiBackuppas ZTE https//wwwexploitdbcom/exploits/18061 ExploitMicroDSLpwdAdminpas COMTREND Sagemcom ZTE https//wwwexploitdbcom/exploits/16275https//wwwexploitdbcom/exploits/18101/https//wwwexploitdbcom/exploits/37801/ ExploitMicroDSLpwdSupportpas COMTREND Sagemcom ZTE https//wwwexploitdbcom/exploits/16275https//wwwexploitdbcom/exploits/18101/https//wwwexploitdbcom/exploits/37801/ ExploitNETGEARBRSFirstSetuppas Lenovo NETGEAR https//seclistsorg/fulldisclosure/2015/Oct/29 ExploitNETGEARUPnPSOAPpas NETGEAR https//cxsecuritycom/issue/WLB2015020059 ExploitRom0pas ZyXEL TPLink https//packetstormsecuritycom/files/127049/ZTETPLinkZynOSHuaweirom0ConfigurationDecompressorhtml ExploitRTL8196EConfigpas eCos ExploitSmartBoxpas ExploitThomsonTechnicolorpas Thomson Technicolor https//securiteamcom/securitynews/5XP380ADFA/ ExploitTPLINKConfigpas TPLink https//cxsecuritycom/issue/WLB2019020113 ExploitTPLINKEncConfigpas https//fidusinfoseccom/tplinkremotecodeexecutioncve201713772/ ExploitTPLINKTraversalpas TPLink https//wwwsecurityfocuscom/archive/1/524548 ExploitTRENDnetMyCGIpas TRENDnet https//cvemitreorg/cgibin/cvenamecginame=CVE20134508 ExploitWebCMpas https//xakepru/2010/08/24/53057/ ExploitZTETelnetRootpas ZTE https//habrcom/en/post/188454/ ExploitZTETelnetRootFixpas ZTE https//habrcom/en/post/188454/
RouterScan v260 BetaRouterScan 的新版本 (v260 Beta) 工具包含了一个更新的凭证列表。对于基本身份验证,有201种凭证,对于摘要身份验证,有191种。除了这些列表之外,我们发现了一个184个形式验证的凭证列表和90个 WLAN 密码的列表。
直接从开发者下载的 RouterScan 不包含任何下载自 torrent 网络的版本 253 中的漏洞利用。
结论
利用 CSRF 攻击是一种常见的劫持 DNS 设置并将用户重定向至钓鱼网站的方式。这类攻击在巴西非常流行,那里的攻击者利用此攻击向用户获取敏感信息,如巴西一些大型银行的用户登入凭证及信用卡号码。
Avast 的网络防护功能有助于保护用户及其路由器不被感染。如果在用户尝试访问的网站中发现任何恶意脚本,网络防护功能将阻挡该 URL 并通知用户。除了保护无辜的用户不被感染外,Avast 的网络防护功能还可以显示恶意活动,如这一案例,黑客忘记关闭网络防护而访问包含 GhostDNS 源代码的文件。正是由于这次疏忽,我们得以检测、下载和分析其内容。借由我们下载的源代码,我们能够全面了解 GhostDNS 的运作方式,从而改进 Avast 防病毒产品的检测功能,以保护用户。
如果您想要获得有关我们分析的更多信息,或只是想与我们讨论我们的发现,请随时在 Twitter 上联系我们 @AvastThreatLabs。
附录:密码列表
adminrootACESSO@@ACESSO##POINT#@admin2admin2adminAdminadmin1admin123admin1234admin123456admin1234567890admin@!JHGFJH15adminadminAdminadminAdminAdminadminadsladminbigb0ssadminbuildc0deadminbulld0ggadminbullyd0ggadmindeadcorp2017admindeadcp2017admindeus1010admindn5ch4ng3admindnschangeadminGidlinux2019admingpnet321admingvt12345admininternetadminK3LLY2016adminkrug3rpicaoadminm3g4m4lnadminm3g4m4nadminmegamanadminmegaman2adminmundoadminp4dr40adminpassthehashadminpasswordadminpubl1c0adminroteadoradmins1m23ladminsaho4001admintheb0ssadminthed0ggadminuhuwCorpadminVoltage2016adminzyxelciscociscodeadcorp2017deadcorp2017jordamjdmadminmegamanmegamanmegamanmegaman2provedorMACAXEIRAprovedorSIERRABRAVOrootroot123root44acesso22point2014rootadminrootbigb0ssrootbuildc0derootbulld0ggrootbullyd0ggrootdeus1010rootGidlinux2019rootK3LLY2016rootm3g4m4lnrootm3g4m4nrootrootroottheb0ssrootthed0ggroottoorrootVoltage2016supermegamansupersupersupportbigb0sssupportbuildc0desupportbulld0ggsupportbullyd0ggsupportdeus1010supportGidlinux2019supportK3LLY2016supportm3g4m4lnsupportm3g4m4nsupporttheb0sssupportthed0ggsupportVoltage2016T1m4dmT1m4dm@T1m@dml1v@T1m4dmT1m4dmT1m4dmT1m@dml1vubntubntuserusermegamanuseruser标记为 csrf、dns 劫持、漏洞利用、ghostdns、钓鱼、路由器
