编者注
广诚市保卫者
从描述信息就能看出这个系统是高端家庭实用系统,从其报价就能看出解决的不是普通民众的需求。
01
漏洞描述
FIBARO智能家居系统旨在控制照明,采暖,警报,百叶窗,门窗,灌溉系统和许多其他系统。
FIBARO智能家居系统提供家庭或公寓中任何设备的无线控制。
FIBARO系统允许您监控您的家庭,并在世界任何地方进行远程访问,只需使用可上网的智能手机即可。
漏洞主要是由于系统本身默认账号密码 admin:admin ,大多数人不会修改这个密码。
|
攻击路径 |
远程 |
|
攻击复杂度 |
低 |
|
权限要求 |
无 |
|
用户交互 |
不需要 |
02
搜索规则
|
fofa |
app="FIBARO-智能家居" |
03
靶标环境
04
漏洞复现
从fofa上搜索关键获取设备IP地址(穷,实在没办法给大家搭建环境)
访问之后如下页面:
点击main page打开登陆页面。输入admin:admin提交:
默认会进入到配置页面,选择关闭即可跳转到管理页面。
在管理界面就可以看到所有设备管理的物联网设备。
历史上此设备存在授权下的RCE漏洞,我把参考资料放在下面的,看官看着版本可以一试。
https://securelist.com/fibaro-smart-home/91416/
https://www.iot-inspector.com/blog/advisory-fibaro-home-center/
05
参考资料
http://www.elecfans.com/video/20180821734515.html
https://manuals.fibaro.com/document/hc2-first-launch/
广诚市保卫者
在平行世界的另一头“广诚市”上演着一幕幕黑客围城。
长按二维码关注
发现“分享”和“赞”了吗,戳我看看吧
本文始发于微信公众号(广诚市保卫者):FIBARO智能家居系统弱口令漏洞复现
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论