wifi安全之无线城市多处越权及sql注入(可控制北京近3000个路由器 )

  • 内容
  • 相关

漏洞详情

披露状态:

 

2016-05-08: 细节已通知厂商并且等待厂商处理中
2016-05-08: 厂商已经确认,细节仅向厂商公开
2016-05-18: 细节向核心白帽子及相关领域专家公开
2016-05-28: 细节向普通白帽子公开
2016-06-07: 细节向实习白帽子公开
2016-06-22: 细节向公众公开

简要描述:

可重启所有的设备,恢复出厂设置。监听用户的浏览记录。强制下线用户。

详细说明:

主要是看到了之前机器猫提交的这个漏洞

code 区域
http://**.**.**.**/bugs/wooyun-2010-0204620



很容易复现了,猜测只是简单的弱口令进入后台,然后在设备处越权管理设备。

这次多几处越权,及两个sql注入

合作伙伴看着都挺牛

186.png



运营后台

code 区域
http://**.**.**.**:5118/softac/login.jsp



弱口令,test 123456进去

之前的那个漏洞应该在于设备列表处越权

187.png



只需要对id进行遍历就可以对其他非自己的设备进行控制

将id改成176成功访问到了唯实酒店的设备,且可进行任何操作

187.png



这个就是刚才说的监听用户浏览记录的功能

189.png



,,感觉不太好吧,怎么说我也进了不少wifi站的后台了,这种功能还是第一次见

猜测上个漏洞止步于此

这里再提几个越权。sql注入还在跑,待会写

我们已经知道,test对应的是文津酒店

将此处的id改成1,成功越权到了唯实酒店的用户

190.png



191.png



可以强制下线用户,加入黑名单,限速等操作

同样的,上网日志,白名单,黑名单,等功能存在相同的越权,这里不一一截图了

还有序列号管理,平台日志,都存在同样的越权问题

192.png



看了下,除了在修改管理员信息时候不能越权修改其他管理员之外,其他功能基本都存在越权

接下来是sql注入漏洞

在设备查询的请求中的gid存在sql注入漏洞

193.png



code 区域
sqlmap resumed the following injection point(s) from stored session:
---
Parameter: gid (POST)
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
Payload: gid=00200002' AND (SELECT * FROM (SELECT(SLEEP(5)))znPC) AND 'HuKC'='HuKC&inputBranch=1&name=111&serialNumber=1&ipAddress=1&hardwareVersion=1&softwareVersion=11
---
back-end DBMS: MySQL 5.0.12
available databases [5]:
[*] acside
[*] information_schema
[*] mysql
[*] performance_schema
[*] soofac



root权限

当前的数据库是soofac

读取数据库soofac中的admin_user表

194.png



admin账户的密码太复杂了,md5没解开,,其他几个解开了

延时注入实在太慢了

wsds 123456

195.png



zcgcjq 123456

196.png



zcgcjq1 123456

197.png



延时注入太慢了,就不跑有多少设备了,根据之前越权的漏洞,遍历了一下,存在mac的应该就算是存在的路由器,

因此差不多有近3000个路由器

198.png



足够证明危害了。

还有一处sql注入存在于数据平台的登陆处

code 区域
**.**.**.**:9000/bigData/login/index.php?logout



199.png



当前的数据库为r2

200.png



有61个管理员,读取出来随便进去

201.png



漏洞证明:

 

201.png

 

修复方案:

改改改,求交给海淀区信息安全等级保护办公室进行处理。看他们上次给了20个rank。。

版权声明:转载请注明来源 千机@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-08 11:16

厂商回复:

已通知厂商处理

最新状态:

暂无


本文标签:

版权声明:若无特殊注明,本文皆为《安三》原创,转载请保留文章出处。『鹦鹉搜索』

百度收录:百度已收录『查看详情』

本文链接:wifi安全之无线城市多处越权及sql注入(可控制北京近3000个路由器 ) - https://www.15qq.cn/wooyun/512.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

允许邮件通知