以Ewon IoT 200 Flexy路由器为例 Ewon所出产的设备已在全世界范围内被广泛运用，以下是Ewon给出的统计数据： eWON公司成立于2001年，在曩昔的十几年里，eWON已成为智能互联网长途拜访产品商场的领导者。2019年年头eWON成为瑞典HMS工业 *** 公司旗下品牌，为自动化设备和体系连接到工业 *** 供给相关产品。HMS eWON主要产品：工业VPN路由器、工业VPN LAN路由器、工业VPN ADSL路由器。 进入Web界面 直接接上电源，即可运用Ewon IoT 200 Flexy路由器。默许情况下，设备的IP地址被设置为10.0.0.53，默许帐户为： 用户名：adm； 暗码：adm； WEB——根本身份验证 Ewon Web应用程序会对其用户进行根本身份验证： 验证是通过HTTP进行通讯的，而不是HTTPS。 不过咱们在测验时，验证进程并不顺畅，设备返回了以下正告： “根本认证不安全，请不要登录此设备” WEB——XSS 以下便是认证进程发作的工作： 所以，咱们盗用了一些身份认证信息，因为根本身份验证的base64 cookie太差了！ 获取主解密密钥（Master Decryption Key） 事实证明，无论是通过XSS进行 *** 垂钓，仍是将其保存为默许值(adm:adm)，一旦你成功拜访了该设备，就能够随心所欲了。不过，咱们疏忽了一件事，便是管理员帐户和较低等级用户帐户之间的授权别离。 在检查Web应用程序或拜访存储敏感数据的文件（如VPN私有证书和密钥乃至用户暗码）时，它们好像是以咱们曾经从未见过的自定义办法加密的。这引起了咱们的爱好，所以咱们进行了细心的剖析。 下图是通过身份验证的用户在输入值后，并将其存储在装备中后看到的内容： 或许你能够只做一个简略的post恳求，并获取加密的VPN私家证书（记住获取的认证信息）： 现在，就让咱们开端破解这些存储的字符串。 咱们将运用暗码字符串，因为它现在要小得多，但相同适用于更大的VPN证书和密钥。 这是输出的管理员用户(咱们的用户)的用户名和存储的暗码： [“ptp”,”#_1_EHyXHCXlKSnkcW2f7kthnIg=”] 现在，敏锐的人将当即看到一个有前缀和一个通过base64编码的值。 “#_1_” = Prefix “EHyXHCXlKSnkcW2f7kthnIg=” Base64 Encoded data. 如下所示，解码后的数据无法运用： 假如这个问题不处理，咱们就无法知道实践的暗码。 因为咱们现已知道XSS /不安全HTTP通讯中的暗码，可是假如能够解密数据，则是否意味着咱们也能够解密VPN私钥呢？ 首要，咱们将另一个用户添加到Ewon路由器，并将暗码设置为可接受的最小长度——“aaa”。 测验用户暗码被加密为“＃_1_BXWfyGY =”，然后咱们删去前缀“BXWfyGY =”并解码base64数据。它为咱们供给了一些随机检查数据“.u.Èf”。 因为咱们只输入3x“a”作为暗码，但在解码后的字符串的结尾却添加了一些额定的字符，这是为什么呢？ 在没有彻底了解加密办法的情况下，咱们决定将暗码修改为“aba”，以检查它是怎么更改的？成果暗码被修改为“#_1_BXafyJY=”。 明显以下两个输出的暗码之间有一些相似之处： “BXWfyGY =”= aaa “BXafyJY =”= aba 因为前两个字符是相同的，这是否意味着它是按每个字符加密的？ 所以咱们再次将输入的暗码改为“aab”，进行输出成果验证： “BXWfyGY=”-> “.u.Èf” = “aaa”[1][2][3]黑客接单网