<div dir="ltr">On Fri, Aug 15, 2014 at 9:54 PM, Paul Gallaway <span dir="ltr"><<a href="mailto:paul@gallaway.ca" target="_blank">paul@gallaway.ca</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote">
<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div class="">On Thu, Aug 14, 2014 at 2:05 PM, Khalid Baheyeldin <<a href="mailto:kb@2bits.com">kb@2bits.com</a>> wrote:<br>

</div><div class="">> Those who have that router can test using the proof of  concept that is<br>
> detailed here<br>
><br>
> <a href="http://sekurak.pl/tp-link-httptftp-backdoor/" target="_blank">http://sekurak.pl/tp-link-httptftp-backdoor/</a><br>
<br>
</div>Looking at the link, the exploit is run from:<br>
<a href="http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html" target="_blank">http://192.168.0.1/userRpmNatDebugRpm26525557/start_art.html</a><br>
<br>
I tried testing from the LAN side and the page was not found. Just the
nature of how it is executed tells me that OpenWRT has completely
replaced it.<br></blockquote><div><br>Yes, the page says a 200 is returned, but it returned a 404 for you, so we are half way there.<br><br>The page also says: "the router downloads a file (nart.out) from the host which has issed the http request and executes is as root"<br>
<br></div><div>So, do it with wget on a host that has an HTTP server, then check the HTTP logs to be 100% sure.<br></div></div>-- <br>Khalid M. Baheyeldin<br><a href="http://2bits.com" target="_blank">2bits.com</a>, Inc.<br>
Fast Reliable Drupal<br>Drupal optimization, development, customization and consulting.<br>Simplicity is prerequisite for reliability. --  Edsger W.Dijkstra<br>Simplicity is the ultimate sophistication. --   Leonardo da Vinci<br>
For every complex problem, there is an answer that is clear, simple, and wrong." -- H.L. Mencken<br>
</div></div>