某路由器未授权访问

  • A+
所属分类:安全文章

魔法少女雪殇的blog (snowywar.top)

前言

近期在学iot这方面,正巧工作室有个吃灰好几年的路由器,就索性拿过来拆了拆分析了一下。这个漏洞挖出来已经有一个月了,一直等CNVD过审才发,然后期间猜的坑啥的都了(草 直接丢这个漏洞的详情罢。

——雪殇

漏洞分析

通过ida分析固件,直接搜索cookie字符串,找到Set-Cookie的字段

某路由器未授权访问

双击进行跟进

根据流程图不断跟进

 

某路由器未授权访问


可以发现是逐渐获得关键信息然后跳转下一个判断

F5直接看源码

 

某路由器未授权访问


关键代码如上,可以看出这个在生成cookie的仅会出现两种模式,在web页面上看起来就是首次访问,会自动生成language=cncookie

 

某路由器未授权访问


cn在此处自动定义

某路由器未授权访问


 

某路由器未授权访问

某路由器未授权访问


 

函数向前跟踪为判断登录页面以及登陆状态

说明该函数为在首次登陆后所返回的数据包内容,通过抓包可以证明

 

 

某路由器未授权访问


逻辑

某路由器未授权访问

 

便是login.asp输入密码——>/LoginCheck判断密码是否正确—错误—>login.asp

     —正确—>index.asp

Cookie则是在loginCheck之前就生成了

也就是说,只要将cookie在登陆之前就变成固定的cookie,即可绕过登录直接进入后台

 

本地操作复现

TendaN4在首次登陆后需要设置登录密码,设置好后,下次登陆会出现登录框

 

某路由器未授权访问


在登陆状态进行抓包,可以发现存在cookie如下

 

某路由器未授权访问


反复尝试,该cookie始终保持不变,

游客模式回到登录窗口,查看cookie

 

某路由器未授权访问


使用火狐进行伪造cookie:admin:language = cn

刷新页面,直接跳转至index.asp,并可以进行深入操作

 

某路由器未授权访问

某路由器未授权访问


 

 

 


本文始发于微信公众号(千寻瀑):某路由器未授权访问

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: