 |
其实是之前的漏洞了,只不过没有放出来。要poc可以私我。 2017年5月,来自Trustwave SpiderLabs的Felipe Cerqueira和Thiago Musa在HUMAX wifi【路由器】型号HG-100系列中发现了一个远程漏洞。 该漏洞会造成【路由器】设备备份文件和敏感信息泄露,导致用户可以获取【路由器】的管理员密码,远程控制该【路由器】。 该漏洞首先构造绕特殊的请求绕过管理控制台的身份验证。这是因为【路由器】在“url/api”中为某些方法返回应答是时无法验证会话令牌。攻击者可以使用此漏洞检索敏感信息,如私有/公共IP地址,SSID名称和密码。cookie登录基本上是在base64中包含uid和pwd的json数据:登录名= { “UID”: “管理员”, “PWD”: “9039749000”}; 在下面的示例中,您可以看到对【路由器】的请求,而不提供任何身份验证以及包含敏感数据(如SSID名称,IP地址和WiFi密码)的响应。
此漏洞允许攻击者绕过身份验证,以访问备份功能以保存(/view/basic/GatewaySettings.bin)和恢复(/view/basic/ConfigUpload.html)配置。两者都忽略cookies”login”和”login_token”的缺失,并将接受下载和上传完整【路由器】配置的请求。 通过使用“/view/basic/GatewaySettings.bin”和“/view/basic/ConfigUpload.html”提供的备份生成/还原功能,我们可以查看,更改并最终恢复特制配置。作为这种类型的漏洞的一个示例,攻击者可以使用它来更改DNS配置,并将流量重定向到由其控制的服务器,以窃取私人信息,如密码或银行帐户信息。 文件GatewaySettings.bin的仔细分析也显示管理密码存储在那里,无需加密。 基本上,文件由一个头组成,从字节96组成,它以base64编码。
在代码00 00 4c b4(这是前面的数据的长度)之后,所有以下数据都是用base64编码的。解码后bin文件很有意义。 vaf@ubuntu:~/Desktop$ hexdump -C GatewaySettings.bin 计算了下,总共有96字节。 我们要的数据就是文件头下面的,字节数:19652-96=19556 tail -c 19568 GatewaySettings.bin | base64 -d |hexdump -C|grep -C 5 admin
在这个例子中我们可以看到用户'admin'的明文中的密码'sav!o1234'。有一个用户'root'使用密码'humax'。此帐户的具体用途尚未确定。 假如你的【路由器】允许通过Internet进行远程配置管理,攻击者可以轻松获得访问权限,并更改将影响Internet流量的配置。然而,即使在面向Internet的接口上配置管理不可用,攻击者仍然可以利用WiFi【路由器】在公共场所的漏洞,例如在咖啡馆或机场。
HG100R全系列 成功复现版本:HG100R-L4 、HG100R-L2 目前官方暂无对此漏洞响应,发布补丁。 建议将设备与公网隔离,解决方法:禁用“远程配置管理”选项,如下所示:
|
Powered by Discuz! X3.4
© 2001-2023 Discuz! Team.
