漏洞分析| Humax WiFi路由器多个漏洞可获取管理员权限

其实是之前的漏洞了,只不过没有放出来。要poc可以私我。

1

漏洞概述

2017年5月,来自Trustwave SpiderLabs的Felipe Cerqueira和Thiago Musa在HUMAX WiFi路由器型号HG-100系列中发现了一个远程漏洞。

该漏洞会造成路由器设备备份文件和敏感信息泄露,导致用户可以获取路由器的管理员密码,远程控制该路由器。

2

漏洞原理

漏洞一:

该漏洞首先构造绕特殊的请求绕过管理控制台的身份验证。这是因为路由器在“url/api”中为某些方法返回应答是时无法验证会话令牌。攻击者可以使用此漏洞检索敏感信息,如私有/公共IP地址,SSID名称和密码。cookie登录基本上是在base64中包含uid和pwd的json数据:登录名= { “UID”: “管理员”, “PWD”: “9039749000”};

在下面的示例中,您可以看到对路由器的请求,而不提供任何身份验证以及包含敏感数据(如SSID名称,IP地址和WiFi密码)的响应。

漏洞二:

此漏洞允许攻击者绕过身份验证,以访问备份功能以保存(/view/basic/GatewaySettings.bin)和恢复(/view/basic/ConfigUpload.html)配置。两者都忽略cookies”login”和”login_token”的缺失,并将接受下载和上传完整路由器配置的请求。

通过使用“/view/basic/GatewaySettings.bin”和“/view/basic/ConfigUpload.html”提供的备份生成/还原功能,我们可以查看,更改并最终恢复特制配置。作为这种类型的漏洞的一个示例,攻击者可以使用它来更改DNS配置,并将流量重定向到由其控制的服务器,以窃取私人信息,如密码或银行帐户信息。

文件GatewaySettings.bin的仔细分析也显示管理密码存储在那里,无需加密。

基本上,文件由一个头组成,从字节96组成,它以base64编码。

在代码00 00 4c b4(这是前面的数据的长度)之后,所有以下数据都是用base64编码的。解码后bin文件很有意义。

vaf@ubuntu:~/Desktop$

hexdump -C GatewaySettings.bin

计算了下,总共有96字节。

我们要的数据就是文件头下面的,字节数:19652-96=19556

tail -c 19568 GatewaySettings.bin | base64 -d |hexdump -C|grep -C 5 admin

在这个例子中我们可以看到用户'admin'的明文中的密码'sav!o1234'。有一个用户'root'使用密码'humax'。此帐户的具体用途尚未确定。

如果你的路由器允许通过Internet进行远程配置管理,攻击者可以轻松获得访问权限,并更改将影响Internet流量的配置。然而,即使在面向Internet的接口上配置管理不可用,攻击者仍然可以利用WiFi路由器在公共场所的漏洞,例如在咖啡馆或机场。

3

漏洞影响

HG100R全系列

成功复现版本:HG100R-L4 、HG100R-L2

4

修复建议

目前官方暂无对此漏洞响应,发布补丁。

建议将设备与公网隔离,解决方法:禁用“远程配置管理”选项,如下所示:

往期精彩

docker(四)终篇之靶场环境的搭建

docker(三)部署时候的一个小坑以及漏洞环境的部署

Docker入门教程(二)命令

docker (一)

mysql高级注入4--盲注1

mysql注入高级篇3--报错注入

mysql注入高级篇2--sqli lab

mysql注入高级篇1--内置系统表注入

原文发布于微信公众号 - 晨星先生(MoXuanIT)

原文发表时间:2017-07-09

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏听雨堂

fckeditor上传问题的解决

一、上传时报Invalid Request,问题解决在此: fckeditor编辑器上传文件出现invalid Request问题解决! FCKConfig....

2165

在Linode上部署React应用程序

React是一个用于构建用户界面的流行JavaScript库。虽然React经常被用作更复杂应用程序的前端,但它也足够强大,可以单独用于完整的客户端应用程序。

2114
来自专栏沈唁志

在Ubuntu 14.04上安装Zimbra开源版

Zimbra是一个完整的邮件服务器,它提供配置的Postfix与OpenDKIM,Amavis,ClamAV和Nginx,准备处理一个或多个域的邮件。Linod...

7441
来自专栏西枫里博客

nginx下301跳转到https出现不安全连接的问题

群里小伙伴上次变更域名后,将老域名通过301跳转到新域名(参看:宝塔面板操作多个域名做301跳转)后,落下了一个后遗症:开启强制SSL后,通过输入老域名或者外部...

1232
来自专栏自动化测试实战

用fiddler设置手机代理

1.7K5
来自专栏owent

关于firewalld和systemd的一些命令速记

CentOS 7 已经用firewalld替换掉了iptables并用systemd来管理启动服务(之前是chkconfig)。而且下一个Ubuntu的长期支持...

924
来自专栏前端说吧

Fiddler - 工具配置及在ios抓取不了https的解决方法

3825
来自专栏Android群英传

渐进式Web应用入门-ServiceWorker

1003
来自专栏后端云

OpenStack实践SR-IOV计算节点

SR-IOV 使一个单一的功能单元(比如,一个以太网端口)能看起来像多个独立的物理设备,即支持SR-IOV 功能的物理设备能被配置为多个功能单元。

2194
来自专栏游戏杂谈

搭建基于Android和PhoneGap的开发环境

添加ADT plug,地址为:http://dl-ssl.google.com/android/eclipse

1946

扫码关注云+社区

领取腾讯云代金券