京x通信系统中国有限公司CPE-WiFi管理平台登录逻辑绕过漏洞
前言:本文中涉及到的相关技术或工具仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担,如有侵权请联系。
由于微信公众号推送机制改变了,快来星标不再迷路,谢谢大家!
漏洞描述:
京信通信系统中国有限公司CPE-WiFi管理登录逻辑绕过漏洞,无需通过账户密码即可绕过登录,登录成功后即可查看系统信息与进行命令执行等任意操作。
起因:
看到大佬公众号发布文章,CPE-WiFi管理系统存在命令执行漏洞,想去摸一把,最终提交重复失败告终,虽然重复但是该漏洞好像没人发享出来,仅作为思路交流了。
复现经过:
通过看文章是提交漏洞的文档,不过里面有些网址没法打开了
hunter-搜索语句:web.title="Wi-Fi Web管理"
我们需要首先拦截一个登录成功的返回包,该返回包有固定时效,隔一段时间需要从新获取替换登录失败的返回包。
需要去找一个可以登录上的地址,本来想搜一下使用文档看看有没有默认口令的,找了好几个没登录上,结果找到一个弱口令admin/admin登上的系统(运气占百分之99(^_^)a)
比如登录成功的网址返回包:http://1.1.1.1/cgi-bin/index.html
登录成功的网址信息
然后看一下其他站http://2.2.2.2/,使用任意密码登录显示登录失败 (同时确认密码与网站a不同,在次测试了多个站确实可替换返回包绕过登陆,但返回包是有效时效的)
拦截登录时数据包,拦截响应返回包后,替换成登录成功的http://1.1.1.1/cgi-bin/index.html网址返回数据包
将此包替换成一个http://1.1.1.1/cgi-bin/index.html登录成功的返回包
该包为登录成功的数据返回包将上面内容替换
HTTP/1.1 200 OKConnection: closeX-Powered-By: PHP/4.4.9Set-Cookie: timestamp=-8; expires=Mon, 25 Sep 2023 01:50:05 GMT; path=/Set-Cookie: cooLogin=1; expires=Mon, 25 Sep 2023 01:50:05 GMT; path=/Set-Cookie: cooUser=admin; expires=Mon, 25 Sep 2023 01:50:05 GMT; path=/Content-type: text/htmlContent-Length: 12
替换后放包,并取消burp拦截
放包后取消拦截发现浏览器中网站已经登录成功,并且不和原先登录成功的网址一样,就是登录成功http://2.2.2.2/cgi-bin/index.html该网站。
可以看到和最开始进入到的系统信息不一样
同时可以执行命令执行等操作127.0.0.1|cat /etc/passwd,确认确实可以替换返回包,绕过登录进去系统
不过这个洞之前就被人交了,失败告终☹☹☹~虽然重复但是该漏洞好像没人发享出来,仅作为思路交流了
临时解决方案
鉴定账号是否存在,在进行每个敏感操作时判断用户登录状态和权限
关于我们:
感谢各位大佬们关注-不秃头的安全,后续会坚持更新渗透漏洞思路分享、安全测试、好用工具分享以及挖挖掘SRC思路等文章,同时会组织不定期抽奖,希望能得到各位的关注与支持。
关注福利:
回复“google工具" 获取 google语法生成工具
回复“burp插件" 获取 bp常用插件打包。
回复“暴力破解字典" 获取 各种常用密码字典打包
回复“XSS利用文件" 获取 现成XSS利用文件.pdf
交流群
关注公众号回复“加群”,QQ群可直接扫码添加
安全考证
需要考以下各类安全证书的可以联系我,价格优惠、组团更便宜,CISP、PTE、PTS、DSG、IRE、IRS、NISP、PMP、CCSK、CISSP......
往期推荐
球分享
球点赞
球在看
原文始发于微信公众号(不秃头的安全):随手挖洞|京x通信系统中国有限公司CPE-WiFi管理平台登录逻辑绕过漏洞(重复漏洞emo)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论