winbox下载？winbox安卓最新版

公网中的Winbox

文章标题：公网中的Winbox

我曾经撰写过关于MikroTik路由器的文章，详述了其中的漏洞利用方式，Winbox使用的通信协议，以及相关开放端口（8291）的信息。我花费了大量的时间研究这些系统，因此对于任何对我的研究成果提出质疑的人，我都必须做出回应。

有人指出全球互联网上仅有少量路由器开启了8291端口，这一结果是通过Shodan和Censys平台得出的。如果我的研究成果仅影响了全球少数十几台设备，那无疑浪费了读者的时间。我需要证明事实并非如此。

于是我编写了一个扫描脚本，该脚本可以连接至全球IP的8291端口，尝试在无需身份验证的情况下获取路由器的RouterOS版本。经过对大量地址的扫描，我得到了需要的答案。

扫描从2019年11月30日持续至2019年12月2日，共发现了578456个MikroTik路由器，这些结果被发布在GitHub上。请注意，我并未扫描全球所有IP，而是借助了@PACKET_TEL提供的扫描IP名单，以及从Shodan查询（FTP、SNMP、HTTP、HTTP代理、Telnet和PPTP）收集的IP。

根据扫描结果，全球RouterOS版本及漏洞修复情况大致了解。最新的MikroTik RouterOS版本为6.45.7（Stable）和6.44.6（Long-term），均于2019年10月28日发布。在扫描开始前的一个月内，全球管理员有时间进行升级。RouterOS版本的扫描结果如下：

确实，只有15%的设备使用了最新版本的RouterOS，这在一个月后仍然存在。6.44.6和6.45.7解决了先前披露的无需身份验证的严重漏洞，而这些漏洞正是利用开放8291端口的Winbox。我也注意到部署的Winbox蜜罐遭受了CVE-2019-3978的攻击。攻击者对DNS缓存的mikrotik.com、upgrade.mikrotik.com以及大约180个加密货币相关地址进行了中毒。

今年2月，MikroTik修复了CVE-2019-3924，即防火墙绕过问题。然而，至今只有不到50%的路由器修补了此漏洞。绕过方法有限，但仍然有用，正如我在文章中描述的，它可用于发起局域网攻击。漏洞公开10个月后，仍有数十万台路由器存在该问题。

大部分机器都已打上了CVE-2018-14847的补丁，这可能是因为威胁确实巨大，以及某些义务警察的帮助。尽管如此，我们的蜜罐仍然经常遭受CVE-2018-14847攻击，攻击者似乎只使用了Exploit-DB的脚本。通过Winbox端口完全控制设备是可能的，但攻击者只是抓取了蜜罐的管理凭证，这可能是攻击的第一阶段。

全球MikroTik路由器种类繁多，专业路由器与家用路由器不同，通常需要专业人员维护。基于此，我试图找出实际扫描到的是哪种类型的MikroTik设备。

不幸的是，不进行身份验证，Winbox接口不会共享平台硬件信息，但从Shodan平台可以获得一些相关信息（通过SNMP接口）。我将Shodan结果下载，与端口扫描结果进行匹配，匹配率约为10%。你可以从GitHub获取原始数据。

10%的匹配率可能令人失望，但仍有代表性。统计图表显示了扫描到的设备类型，其中RB951Ui-2Hnd是小型家用路由器，其余则为虚拟化（x86）或机架式平台，分别支持28 Gbps和16 Gbps的吞吐量。这些设备大多由专业人员维护，位于ISP中。

漏洞不一定是通过互联网攻击才会被认为是严重的。内网机器往往更容易受到攻击。我们能做些什么？

实话实说，15%的补丁率相当糟糕，我不确定还有什么可以做的。MikroTik很早就公布了漏洞信息和修复补丁。此外，我知道两种从8291端口提取版本号的方法。

第一种适用于RouterOS 2.0到当前的6.0版本，主要利用RouterOS代码库中的旧逻辑。由于MikroTik将许多特性分解成单独的包，Winbox客户端需要询问路由器应该下载哪个.dll。为此，客户端会向路由器的mproxy二进制文件发送请求，指示客户端想要读取“索引”文件。请求的是路由器不再使用的二进制格式。索引文件实际上是/home/web/winbox/中的一个文件，可以通过更改请求以读取该目录或/home/web/webfig/中的其他文件。这也是Nessus获取路由器版本的方法。我们的蜜罐也捕获到类似请求。

第二种方法更常见，仅适用于RouterOS 6.0版本，需要发送四个数据包：客户端请求读取列表文件、服务端回复、客户端回复、以及服务端发送数据。

如果你有兴趣查看我的所有代码，可以在GitHub上找到。

本文由白帽汇整理并翻译，不代表白帽汇任何观点和立场。来源为公网中的Winbox|NOSEC安全讯息平台-白帽汇安全研究院。原文发布在medium.com/tenable-tech...。白帽汇专注于信息安全，提供服务包括网络空间测绘、企业资产收集、企业威胁情报、应急响应服务。公司产品包括FOFA-网络空间安全搜索引擎、FOEYE-网络空间检索系统、NOSEC-安全讯息平台。

winbox软路由如何安装,命令都有哪些

命令说明：

RouterOS的基本设置包括四个部分interface、ip address、ip route、ip firewall src-nat。

1.interface的命令中主要为修改接口称和激活接口；

2.ip address的命令主要为分别在两接相应接口上增加外网IP地址和局域网IP地址；

3.ip route的命令主要是墙加路由表，这里简单的网络路由表中只有三条，一条是手动加的，两条是动态路由项；

4.ip firewall src-nat的命令是用来设置网络地址转换，这里的伪装masquerade)即是网络地址转换NAT)的一种特殊形式，局域网多台机器使用一个外网IP上网一般都用伪装masquerade)。

如果只是做单纯的路由器来使用，把上面绿色部分的IP按实际的网络修改即可！

此过程本人已全新安装测试多次，均很正常，如果你按照此命令设置仍不能让局域网访问外网，最有可能的是你的内网和外网网线插反了网卡，更不要忘了客户机的TCP/IP属性配置。

设置RouterOS筒明教程官方设置） RouterOS V2.8

设置RouterOS筒明教程

如何设置RouterOS文档版本:1.5应用于:MikroTik RouterOS V2.8

怎么样保护你的MikroTik RouterOS�6�4?

属性描述

要保护你的MikroTik RouterOS�6�4,你不应该只是修改你的admin的密码，还需要设置数据包的过滤，所以目的地到路由器的数据包需要在一次经过ip firewall的input链表处理。注意input链表不会去**通过路由器的传输数据。

你可以添加下面的规则到/ip firewall rule input只需要通过'copy和paste'到路由器的Terminal Console（终端控制台）或

在winbox中配置相关的参数):

/ip firewall rule input add connection-state=invalid action=drop\

comment="Drop invalid connections"

/ip firewall rule input add connection-state=established\

comment="Allow established connections"

/ip firewall rule input add connection-state=related\

comment="Allow related connections"

/ip firewall rule input add protocol=udp comment="Allow UDP"

/ip firewall rule input add protocol=icmp comment="Allow ICMP Ping"

/ip firewall rule input add src-address=10.0.0.0/24\

comment="Allow access from our local network. Edit this!"

/ip firewall rule input add src-address=192.168.0.0/24 protocol=tcp dst-port=8080\

comment="This is web proxy service for our customers. Edit this!"

/ip firewall rule input add action=drop log=yes\

comment="Log and drop everything else"

使用/ip firewall rule input print packets命令可以看到有多少个数据包被里面的规则处理过。使用reset-counters命令去复位统计值。检查系统日志文件通过/log print可以看到数据包被丢弃的信息。

你可能需要在里面添加允许来至确认主机的访问。例如：记住出现在列表中的防火墙规则在命令中被处理。一个规则匹配的数据包，不会被之后其他的规则处理。添加了新的规则后，如果想优先被处理，通过move命令移动到所以规则之上。

怎样保护你的MikroTik RouterOS�6�4从来至 Spam的请求

Description

To protect your MikroTik RouterOS�6�4 from being used as spam relay you have to:

保证你的路由器使用了防火墙规则。 See the How To section about it!

配置web proxy访问列表

web proxy访问列表配置在/ip web-proxy access下。例如，添加下面规则允许来至确认主机的访问。只需要通过'copy和paste'到路由器的Terminal Console（终端控制台）或

在winbox中配置相关的参数)：

/ip web-proxy access add src-address=192.168.0.0/24\

comment="Our customers"

/ip web-proxy access add dst-port=23-25 action=deny\

comment="Deny using us as telnet and **TP relay"

/ip web-proxy access add action=deny\

comment="Deny everything else"

注意，允许确认服务首先你应该由规则，并且在规则的最后通常为拒绝任何的访问。

如何连接你的家庭网络到xDSL?

属性描述

确认你的家用DSL modem以安装好，并想通过一个安全的方式将你的家庭网络连接到Internet，首先你需要安装MikroTik路由器在DSL modem和你家庭网络中间：

下一步连接你的家庭网络到xDSL：

首先你的MikroTik路由器有两张以太网卡，一个对应家庭的DSL modem，一个对应你的家庭网络。

安装时，确定你安装了dhcp软件功能包。

启用两个网卡，如下：

/interface enable ether1,ether2

配置DHCP客户端在对外的接口上xDSL)接收来至IP配置的服务：

/ip dhcp-client set enabled=yes interface=ether1

检查，如果你收到IP配置信息后使用lease print，如下：

[admin@MikroTik] ip dhcp-client> lease print

address: 81.198.16.4/21

expires: may/10/2001 04:41:49

gateway: 81.198.16.1

primary-dns: 195.13.160.52

secondary-dns: 195.122.1.59

[admin@MikroTik] ip dhcp-client>

添加你的私有网络地址到ether2网卡上，如下：

/ip address add address=192.168.0.1/24 interface=ether2

在你的本地网络配置伪装：

/ip firewall src-nat add out-interface=ether1 action=masquerade\ comment="Masquerades everything leaving the external interface"

配置防火墙保护你的路由器：

/ip firewall rule input add connection-state=invalid action=drop\

comment="Drop invalid connection packets"

/ip firewall rule input add connection-state=established\

comment="Allow established connections"

/ip firewall rule input add connection-state=related\

comment="Allow related connections"

/ip firewall rule input add protocol=udp comment="Allow UDP"

/ip firewall rule input add protocol=icmp comment="Allow ICMP Ping"

/ip firewall rule input add src-address=192.168.0.0/24\

comment="From my home network"

/ip firewall rule input add action=drop log=yes\

comment="Log and drop everything else"

可选)配置DHCP服务散发IP配置到你的家庭网络中去：

/ip pool add name=private ranges=192.168.0.2-192.168.0.254

/ip dhcp-server network add gateway=192.168.0.1 address=192.168.0.0/24\

dns-server=195.13.160.52,195.122.1.59 domain="mail.com"

/ip dhcp-server add name=home interface=ether2 lease-time=3h\

address-pool=private

/ip dhcp-server enable home

这样！你能通过你的家庭网络访问Internet。

如何保持我的路由器的更新

属性描述

保持你的路由器更新，你应该：

更新最新的RouterOS软件版本

如果你有一个RouterBoard，需要更新BIOS固件版本

在这部分将介绍你如何升级你的RouterBoard的BIOS固件版本。

首先，At first,检查你的一个routerboard功能包被安装

[admin@MikroTik] system package> print

Flags: I- invalid

# NAME VERSION BUILD-TIME UNINSTALL

0 routerboard 2.8.14 aug/06/2004 15:30:32 no

1 security 2.8.14 aug/06/2004 14:08:54 no

2 system 2.8.14 aug/06/2004 14:03:02 no

3 advanced-tools 2.8.14 aug/06/2004 14:04:55 no

4 wireless 2.8.14 aug/06/2004 14:42:17 no

[admin@MikroTik] system package>

检查你的RouterBoard BIOS固件：

[admin@MikroTik] system routerboard> print

routerboard: yes

model: 230

serial-number: 8387617

current-firmware: 1.3.1 Aug/06/2004 15:30:19)

upgrade-firmware: 1.3.1 Aug/06/2004 15:30:19)

[admin@MikroTik] system routerboard>

可以通过在下载页面查看在all packages文档最新的BIOS更新（ ）。BIOS更新文件被命名为wlb-bios-[version_number].fwf这里的version_number是BIOS固件版本。

如果这个文件包含一个较新的版本，通过FTP使用二进制文件传输模式，拷贝到路由器。但完成后，你应该能在/file目录看到文件以及包含的BIOS固件信息：

[admin@MikroTik] system routerboard>/file print

# NAME TYPE SIZE CREATION-TIME

0 wlb-bios-1.3.2.fwf routerbios 73079 sep/07/2004 00:12:05

[admin@MikroTik] system routerboard>

检查RouterBoard的BIOS固件版本和你可以看到能一个能用于更新的版本：

[admin@MikroTik] system routerboard> print

routerboard: yes

model: 230

serial-number: 8387617

current-firmware: 1.3.1 Aug/06/2004 15:30:19)

upgrade-firmware: 1.3.2 Aug/22/2004 12:13:56)

[admin@MikroTik] system routerboard>

现在通过upgrade命令更新BIOS版本。

[admin@MikroTik] system routerboard> upgrade

Firmware upgrade requires reboot of the router. Continue? [y/n]

选择y后软件将升级BIOS，路由器将自动重启，请不要手动重启路由器。在路由器重启完成后，可用检查新的BIOS版本：

[admin@MikroTik] system routerboard> print

routerboard: yes

model: 230

serial-number: 8387617

current-firmware: 1.3.2 Aug/22/2004 12:13:56)

upgrade-firmware: 1.3.2 Aug/22/2004 12:13:56)

[admin@MikroTik] system routerboard>

如何配置透明桥在两个网络中？

属性描述

远程网络能通过MikroTik RouterOS�6�4基于IP的以太传输（EoIP）或WDS功能简单桥接起来，使用EoIP能扩展到其他别的类型的网卡上，如PPTP, CISCO/Aironet, Pri**。WDS只能工作在Pri**与Atheros网卡上。

注：因为MikroTik RouterOS不能直接在两个无线设备上做透明桥，所以通过EoIP方式实现。

让我们假设下面的一个网络设置：

使用EoIP隧道的透明桥

下面的步骤将使用EoIP接口创建透明桥：

确定你以将两个MikroTik路由器连接，例如一个路由器配置为服务端 AP)，另外一个则为客户端station):

[admin@AP]> interface wireless set wlan1 mode=bridge ssid=mikrotik\

\... disabled=no

[admin@Station] interface wireless> print

[admin@Station] interface wireless> set wlan1 mode=station ssid=mikrotik disabled=no

确定IP配置正确，并能从一个路由器访问到另一个:

[admin@AP]> ip address add address=10.1.0.1/24 interface=wlan1

[admin@Station]> ip address add address=10.1.0.2/24 interface=wlan1

[admin@Station]> ping 10.1.0.1

10.1.0.1 64 byte pong: ttl=64 time=1 ms

10.1.0.1 64 byte pong: ttl=64 time=1 ms

2 packets tran**itted, 2 packets received, 0% packet loss

round-trip min/avg/max= 1/1.0/1 ms

[admin@Station]>

添加EoIP隧道接口：

[admin@AP]> interface eoip add remote-address=10.1.0.2 tunnel-id=1 disabled=no

[admin@Station]> interface eoip add remote-address=10.1.0.1 tunnel-id=1\\... disabled=no

添加桥接口并将相应的接口放入：

[admin@AP]> interface bridge add forward-protocols=ip,arp,other disabled=no

[admin@AP]> interface bridge port set eoip-tunnel1,ether1 bridge=bridge1

[admin@Station]> interface bridge add forward-protocols=ip,arp,other\

\... disabled=no

[admin@Station]> interface bridge port set eoip-tunnel1,ether1 bridge=bridge1

注：

如果你是通过ether1连接的，那在设置后将会丢失连接。这是因为网卡设置的切换。

将以太网卡的IP地址移动到桥接口上：

[admin@AP] ip address> set [find interface=ether1 ] interface=bridge1

[admin@AP] ip address> print

Flags: X- disabled, I- invalid, D- dynamic

# ADDRESS NETWORK BROADCAST INTERFACE

0 10.0.0.215/24 10.0.0.0 10.0.0.255 bridge1

1 10.1.0.1/24 10.1.0.0 10.1.0.255 wlan1

[admin@AP] ip address>

[admin@Station] ip address> set [find interface=ether1 ] interface=bridge1

[admin@Station] ip address> print

Flags: X- disabled, I- invalid, D- dynamic

# ADDRESS NETWORK BROADCAST INTERFACE

0 10.0.0.216/24 10.0.0.0 10.0.0.255 bridge1

1 10.1.0.2/24 10.1.0.0 10.1.0.255 wlan1 [admin@Station] ip address>

现在你可以通过在ether1上的bridge1接口连接到路由器。

通过ping测试桥连接从10.0.0.215到10.0.0.216。注，桥需要10到30秒时间学习地址和开始经过的流量。

如果你有pri**、CISCO/Aironet网卡或加密的PPTP隧道，同样可以创建EoIP透明桥然而，EoIP隧道只能用于建立两个MikroTik路由器之间。

如何将公网地址连接到一个本地地址?

winbox是什么软件

Winbox是由MikroTik开发的一款图形用户界面（GUI）工具，旨在简化网络设备的管理和配置过程。它是为Windows操作系统设计的，提供了一个直观和用户友好的界面，使用户可以轻松地访问和控制网络设备。

winbox详细介绍

1、通过Winbox可以管理和配置路由器、交换机和其他网络设备。用户可以进行网络设置、安全设置、用户管理、接口配置等操作。

2、Winbox提供了对网络设备的实时监控和诊断功能，包括网络流量监测、接口状态查看、系统资源监测等。

3、用户可以使用Winbox进行文件传输和备份，方便地将文件上传到设备或从设备下载文件，以及进行设备配置的备份和恢复操作。

4、通过Winbox，用户可以远程访问和管理位于不同地点的网络设备，无需直接连接到设备所在的物理位置。