以Ewon IoT 200 Flexy路由器为例
Ewon所出产的设备已在全世界范围内被广泛运用,以下是Ewon给出的统计数据:
eWON公司成立于2001年,在曩昔的十几年里,eWON已成为智能互联网长途拜访产品商场的领导者。2019年年头eWON成为瑞典HMS工业 *** 公司旗下品牌,为自动化设备和体系连接到工业 *** 供给相关产品。HMS eWON主要产品:工业VPN路由器、工业VPN LAN路由器、工业VPN ADSL路由器。
进入Web界面
直接接上电源,即可运用Ewon IoT 200 Flexy路由器。默许情况下,设备的IP地址被设置为10.0.0.53,默许帐户为:
用户名:adm;
暗码:adm;
WEB——根本身份验证
Ewon Web应用程序会对其用户进行根本身份验证:
验证是通过HTTP进行通讯的,而不是HTTPS。 不过咱们在测验时,验证进程并不顺畅,设备返回了以下正告:
“根本认证不安全,请不要登录此设备”
WEB——XSS
以下便是认证进程发作的工作:
所以,咱们盗用了一些身份认证信息,因为根本身份验证的base64 cookie太差了!
获取主解密密钥(Master Decryption Key)
事实证明,无论是通过XSS进行 *** 垂钓,仍是将其保存为默许值(adm:adm),一旦你成功拜访了该设备,就能够随心所欲了。不过,咱们疏忽了一件事,便是管理员帐户和较低等级用户帐户之间的授权别离。
在检查Web应用程序或拜访存储敏感数据的文件(如VPN私有证书和密钥乃至用户暗码)时,它们好像是以咱们曾经从未见过的自定义办法加密的。这引起了咱们的爱好,所以咱们进行了细心的剖析。
下图是通过身份验证的用户在输入值后,并将其存储在装备中后看到的内容:
或许你能够只做一个简略的post恳求,并获取加密的VPN私家证书(记住获取的认证信息):
现在,就让咱们开端破解这些存储的字符串。
咱们将运用暗码字符串,因为它现在要小得多,但相同适用于更大的VPN证书和密钥。
这是输出的管理员用户(咱们的用户)的用户名和存储的暗码:
[“ptp”,”#_1_EHyXHCXlKSnkcW2f7kthnIg=”]
现在,敏锐的人将当即看到一个有前缀和一个通过base64编码的值。
“#_1_” = Prefix
“EHyXHCXlKSnkcW2f7kthnIg=” Base64 Encoded data.
如下所示,解码后的数据无法运用:
假如这个问题不处理,咱们就无法知道实践的暗码。
因为咱们现已知道XSS /不安全HTTP通讯中的暗码,可是假如能够解密数据,则是否意味着咱们也能够解密VPN私钥呢?
首要,咱们将另一个用户添加到Ewon路由器,并将暗码设置为可接受的最小长度——“aaa”。
测验用户暗码被加密为“#_1_BXWfyGY =”,然后咱们删去前缀“BXWfyGY =”并解码base64数据。它为咱们供给了一些随机检查数据“.u.Èf”。
因为咱们只输入3x“a”作为暗码,但在解码后的字符串的结尾却添加了一些额定的字符,这是为什么呢?
在没有彻底了解加密办法的情况下,咱们决定将暗码修改为“aba”,以检查它是怎么更改的?成果暗码被修改为“#_1_BXafyJY=”。
明显以下两个输出的暗码之间有一些相似之处:
“BXWfyGY =”= aaa
“BXafyJY =”= aba
因为前两个字符是相同的,这是否意味着它是按每个字符加密的?
所以咱们再次将输入的暗码改为“aab”,进行输出成果验证:
“BXWfyGY=”-> “.u.Èf” = “aaa”[1][2][3]黑客接单网