wifi安全之无线城市多处越权及sql注入（可控制北京近3000个路由器 ）

主要是看到了之前机器猫提交的这个漏洞

http://**.**.**.**/bugs/wooyun-2010-0204620

很容易复现了，猜测只是简单的弱口令进入后台，然后在设备处越权管理设备。

这次多几处越权，及两个sql注入

合作伙伴看着都挺牛

运营后台

http://**.**.**.**:5118/softac/login.jsp

弱口令，test 123456进去

之前的那个漏洞应该在于设备列表处越权

只需要对id进行遍历就可以对其他非自己的设备进行控制

将id改成176成功访问到了唯实酒店的设备，且可进行任何操作

这个就是刚才说的监听用户浏览记录的功能

，，感觉不太好吧，怎么说我也进了不少wifi站的后台了，这种功能还是第一次见

猜测上个漏洞止步于此

这里再提几个越权。sql注入还在跑，待会写

我们已经知道，test对应的是文津酒店

将此处的id改成1，成功越权到了唯实酒店的用户

可以强制下线用户，加入黑名单，限速等操作

同样的，上网日志，白名单，黑名单，等功能存在相同的越权，这里不一一截图了

还有序列号管理，平台日志，都存在同样的越权问题

看了下，除了在修改管理员信息时候不能越权修改其他管理员之外，其他功能基本都存在越权

接下来是sql注入漏洞

在设备查询的请求中的gid存在sql注入漏洞

sqlmap resumed the following injection point(s) from stored session:
 ---
 Parameter: gid (POST)
     Type: AND/OR time-based blind
     Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
     Payload: gid=00200002' AND (SELECT * FROM (SELECT(SLEEP(5)))znPC) AND 'HuKC'='HuKC&inputBranch=1&name=111&serialNumber=1&ipAddress=1&hardwareVersion=1&softwareVersion=11
 ---
 back-end DBMS: MySQL 5.0.12
 available databases [5]:
 [*] acside
 [*] information_schema
 [*] mysql
 [*] performance_schema
 [*] soofac

root权限

当前的数据库是soofac

读取数据库soofac中的admin_user表

admin账户的密码太复杂了，md5没解开，，其他几个解开了

延时注入实在太慢了

wsds 123456

zcgcjq 123456

zcgcjq1 123456

延时注入太慢了，就不跑有多少设备了，根据之前越权的漏洞，遍历了一下，存在mac的应该就算是存在的路由器，

因此差不多有近3000个路由器

足够证明危害了。

还有一处sql注入存在于数据平台的登陆处

**.**.**.**:9000/bigData/login/index.php?logout

当前的数据库为r2

有61个管理员，读取出来随便进去

改改改，求交给海淀区信息安全等级保护办公室进行处理。看他们上次给了20个rank。。

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2016-05-08 11:16

厂商回复：

已通知厂商处理

最新状态：

暂无