专栏首页信安之路一次住酒店的意外收获

一次住酒店的意外收获

本文作者:à ō é(信安之路移动安全小组组长)

晚上住进了某家酒店,闲来无事,连个 wifi,发现居然没网。

看了一下路由器,电源 ok,网线 ok,灯 ok ,就是网络不 ok。

那么就访问一下 wifi 的管理后台看看,先查看自己电脑 IP,获取网关地址。

访问一下,看到了 wifi 后台的登录页面。

http://192.168.125.1/local/login.html

随便测了一下,发现登录时错误回显不一致,参数值用了 md5 算法加密传输,不过依然可以爆破账号,在这里这个不是重点,就不试了 手工试了了试,没猜出来 ヽ(ー_ー)ノ

发现端倪

抓包时发现,登录的响应包内容是这样的。

<html>
<head>
<title>My Title</title><link rel="stylesheet" href="/style/normal_ws.css"       type="text/css"><meta http-equiv="content-type" content="text/html;       charset=utf-8">
</head>
<body>
status=-1,superuser=-1,session=</body>
</html>

猜测

看到响应包的 这个东西,很容易想到跟 cookie 非常相似。

status=-2,superuser=-1,session=

而且在不登录的情况下,怎么访问登录页面都是没有cookie的。

那么假设它就是(服务器端)返回给客户端(前端)的一个 cookie,看参数名也容易知道一些含义

开始动手

1、开拦截,抓取登录的响应包。

2、修改登录的响应包,如下,然后放行。

3、可以看到它请求了一个 http://192.168.125.1/local/home.asp 页面。看文件名也知道进入到后台的主页了。

4、成功进入,如下:

5、此过程的全部请求

前提

通过前面的 一顿操作(猛如虎),结果登录页面不见了。

我们知道了

1、正确的超管用户名 admin

2、后台主页的地址 http://192.168.125.1/local/home.asp

3、正确的 cookie (固定不变的,也是猜出来的) status=1,superuser=1,session=1

见证奇迹的时刻

先访问登录页面,利用 EditThisCookie 插件增加(修改) cookie。如下

然后再访问后台主页 URL

那么我们就进来了

该漏洞的利用思路

首先该漏洞可以到达无需密码登录 wifi 管理后台页面的效果。

其实每个房间都有一个 wifi(路由器),我们可以利用同样的方法去进到别的房间 wifi 的管理后台。进而进行 DNS 劫持,流量监控等。运行好的话,就可以得到一些敏感的东西(如账号密码,交易密码等)。

另外就是进一步对交换机和网管设备进行攻击。

总结

首次发布文章,感觉这个过程挺有意思的就分享出来给大家

使用公共 wifi 的建议

1、尽量不要连公共场合的 wifi,特别是无需密码,无需其他认证的 wifi;

2、连接公共场合的 wifi 时,不要做敏感操作,如登录、交易等操作。

3、对于公共场合(不明来源)的 wifi,关闭自动连接 wifi 的功能;

4、浏览安全的网页,不要点击广告或恶意链接,不要随便扫描二维码。

本文分享自微信公众号 - 信安之路(xazlsec)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2019-07-27

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • JavaScript跳转和刷新

    3.window.loction.replace方式实现页面跳转,注意跟第一种方式的区别

    王念博客
  • 上传的验证绕过

    一般这种就是只是做了前端的后缀格式限制。先把马改成能正常上传的格式,开启抓包,上改了后缀的马,抓包,改马的后缀。放行。成功绕过

    洛米唯熊
  • 为什么阿里规约手册要求谨慎使用 Arrays.asList 方法

    在开发中,有时候会碰到把多个参数,或者说把数组转成List的需求,通常我们会使用 Arrays.asList()方法。但是该方法在使用的过程中,稍有不慎就会出现...

    好好学java
  • springmvc整合axis2 过程

    项目需要使用springmvc发布一个对外的服务,原来使用spring+cxf的结合,使用axis2的客户端调用,没有任何问题,但是使用pb9的客户端调用,一直...

    用户5640963
  • NASM语法

    nasm -f <format> <filename> [-o <output>]

    战神伽罗
  • C#爬虫与反爬虫--字体加密篇

    爬虫和反爬虫是一条很长的路,遇到过js加密,flash加密、重点信息生成图片、css图片定位、请求头.....等手段;今天我们来聊一聊字体; 那是一个偶然...

    Edison.Ma
  • Arrays.asList()使用指南

    最近使用Arrays.asList()遇到了一些坑,然后在网上看到这篇文章:http://javadevnotes.com/java-array-to-list...

    乔戈里
  • c3p0之DEBUG -- CLOSE BY CLIENT STACK TRACE

    本文转载自:http://blog.csdn.net/rchm8519/article/details/40147745

    用户5640963
  • VS中使用X64汇编

    需要注意的是,在X86项目中,可以使用__asm{}来嵌入汇编代码,但是在X64项目中,再也不能使用__asm{}来编写嵌入式汇编程序了,必须使用专门的.asm...

    战神伽罗
  • 编写PC操作系统的参考资料(不断更新)

    MASM 6.11,MASM 11(Windows):http://www.masm32.com/

    战神伽罗

扫码关注云+社区

领取腾讯云代金券