记录一次路由器漏洞挖掘

这个漏洞挖出来已经有一个月了,一直等CNVD过审才发,然后期间猜的坑啥的都了(草
直接丢这个漏洞的详情罢。

腾达路由器N4未授权漏洞

该漏洞以提交至cnvd,厂商可能修复了或许没修复。

图片[1]-记录一次路由器漏洞挖掘-魔法少女雪殇
图片[2]-记录一次路由器漏洞挖掘-魔法少女雪殇
图片[3]-记录一次路由器漏洞挖掘-魔法少女雪殇

此固件均为最新,该漏洞在N4的v1和v2均适用,同时经过案例测试,该漏洞向下兼容,老版本也存在。

下面仅用n4 v2型号举例

漏洞分析

通过ida分析固件,直接搜索cookie字符串,找到Set-Cookie的字段

图片[4]-记录一次路由器漏洞挖掘-魔法少女雪殇

双击进行跟进

根据流程图不断跟进

图片[5]-记录一次路由器漏洞挖掘-魔法少女雪殇

可以发现是逐渐获得关键信息然后跳转下一个判断

F5直接看源码

图片[6]-记录一次路由器漏洞挖掘-魔法少女雪殇

关键代码如上,可以看出这个在生成cookie的仅会出现两种模式,在web页面上看起来就是首次访问,会自动生成language=cn的cookie

图片[7]-记录一次路由器漏洞挖掘-魔法少女雪殇

(cn在此处自动定义

图片[8]-记录一次路由器漏洞挖掘-魔法少女雪殇

图片[9]-记录一次路由器漏洞挖掘-魔法少女雪殇
图片[10]-记录一次路由器漏洞挖掘-魔法少女雪殇

函数向前跟踪为判断登录页面以及登陆状态

说明该函数为在首次登陆后所返回的数据包内容,通过抓包可以证明

图片[11]-记录一次路由器漏洞挖掘-魔法少女雪殇

逻辑

图片[12]-记录一次路由器漏洞挖掘-魔法少女雪殇

便是login.asp输入密码——>/LoginCheck判断密码是否正确—错误—>login.asp

                                                                                          —正确—>index.asp

Cookie则是在loginCheck之前就生成了

也就是说,只要将cookie在登陆之前就变成固定的cookie,即可绕过登录直接进入后台

本地操作复现

TendaN4在首次登陆后需要设置登录密码,设置好后,下次登陆会出现登录框

图片[13]-记录一次路由器漏洞挖掘-魔法少女雪殇

在登陆状态进行抓包,可以发现存在cookie如下

图片[14]-记录一次路由器漏洞挖掘-魔法少女雪殇

反复尝试,该cookie始终保持不变,

游客模式回到登录窗口,查看cookie

图片[15]-记录一次路由器漏洞挖掘-魔法少女雪殇

使用火狐进行伪造cookie:admin:language = cn

刷新页面,直接跳转至index.asp,并可以进行深入操作

图片[16]-记录一次路由器漏洞挖掘-魔法少女雪殇
图片[17]-记录一次路由器漏洞挖掘-魔法少女雪殇

© 版权声明
THE END
喜欢就支持一下吧
点赞3 分享
评论 共1条
头像
欢迎您留下宝贵的见解!
提交
头像

昵称

取消
昵称表情