Как увидеть пароль (или хэш для дальнейшего изучения), под которым пытаются логиниться на мой микротик?

Question

[brar]

login failure for user admin from bla-bla-bla via winbox

В настройках топиков (system - logging) не нашел ничего, чтобы можно было добавть для дебага).

Answer 1

[Denis]

Через логи скорее всего никак, но можно через встроенный снифер, tools->packet sniffer, задаем порт 8291, если нужно, настраиваем стримминг и/или другие параметры (напр ip/mac атакующего) и вперед.

Comments

[poisons]

И куда вперед?)
Note, that in newest Winbox versions, "Secure mode" is ON by default, and can't be turned off anymore.
В чистом виде передается только имя пользователя. Легко ищется wireshark, прям вот сейчас ради хохмы проверил. А вот пароль в чистом виде не идет, понятное дело что расковырять можно все, начать реверсить winbox и вполне вероятно что там ипользуется некоторое хеширование на основании модели/серийника самой железки и все это реверсится.

Интереснее того, если пихают кривое имя пользователя, то удаленная система сразу схлопывает соединение, что черевато перебором. Ну тут уж хер этих прибалтов знает)) Может так нужно.
И еще интересное наблюдение - сообщение в винбокс возвращает роутер.

[Denis]

poisons, ясен пень, что передавать пасс в плейн техт в 2к20 станет только очень нездоровый человек, но автор же спрашивал "для дальнейшего изучения", а так 100% что там даже не пароль, а соль им зашифрованная.

[brar]

poisons, проверил, всё так и есть.
Мало того, с версии 45 даже из бэкапа не вытищить пароли пользователей с помощью ранее рабочего инструмента:
https://github.com/BigNerd95/RouterOS-Backup-Tools...

Хэши и соли.

Answer 2

[Keffer]

И не найдешь. Все это специально закрыто от мамкиных хакеров. Никакого дебага там нет.

Answer 3

[SagePtr]

Вероятнее всего, перебирают стандартные комбинации вроде admin:admin
Разные пароли перебирать обычно нет смысла (долго и не гарантируется результат), если это не целенаправленная атака конкретно на вас. Гораздо проще отсканировать все адреса сети на предмет роутеров на них и перебрать на каждом найденном стандартные комбинации, которых небольшое ограниченное количество. Ну и может также самые частые пароли вроде password и 123456.