漏洞信息
本系列产品中的前三篇文章内容参照以下:
根据CVE-2017-17215学习培训路由器漏洞分析,从入行到舍弃
路由器漏洞复现分析第二弹:CNVD-2018-01084
路由器漏洞复现分析第三弹:DVRF INTRO题型分析
TrendNET路由器管理权限绕开漏洞, *** 攻击根据设定$AUTHORIZED_GROUP >=1绕开管理权限认证
漏洞参照信息:
受影响的路由器版本号
TEW-751DR – v1.03B03
TEW-753DRU – v1.03B01
根据zoomeye检索,能寻找508台机器设备,关键客户遍布于英国和北爱尔兰.
应用curl -d “SERVICES=DEVICE.ACCOUNT AUTHORIZED_GROUP=1′ 指令能够立即获得到路由器的登录名和登陆密码
漏洞分析
此次分析应用固定件的是TEW751DR_FW103B03.
Binwalk解压工具后寻找getcfg.php,部位如图所示
当AUTHORIZED_GROUP>=0的情况下,getcfg就一切正常实行编码作用.
POC中传到的主要参数为SERVICES=DEVICE.ACCOUNT
$file最终能够拼凑为/htdocs/webinc/getcfg/DEVICE.ACCOUNT.xml.php
开启这一文档,能够见到它能载入机器设备的各种各样信息包含登录名和登陆密码
导致认证漏洞的函数在htdoc/cgibin的 phpcgi_main函数,当cgibin_parse_request函数解决http要求的情况下,sub_405AC0函数会获得AUTHORIZED_GROUP共存出来, 以后再启用sess_validate()作认证,因而能够非受权客户能够立即给AUTHORIZED_GROUP取值来绕开认证
应用以下脚本 *** 调节存有漏洞的cgibin:
chroot . -0"phpcgi" -E REQUEST_METHOD="POST" -EREQUEST_URI="getcfg?AUTHORIZED_GROUP=1" -E CONTENT_LENGTH=18 -ECONTENT_TYPE="application/x-www-form-urlencoded" -g $PORT -EREMOTE_ADDR="127.0.0.1" -strace "kkkkkkkkkkkk"
cgibin_parse_request中的parse_uri函数会启用sub_405AC0,这里从request_uri中取”?”后的标识符,做为主要参数传到sub_403864
sub_405AC0启用后能看早已把”AUTHORIZED_GROUP=1”存进静态变量
再执行到sess_validate()实行结束
后边再将获得的这一值载入/var/run/xmldb_sock
本文目录一览: 1、《指间的黑客》最新章节全文阅读免费下载百度网盘资源,谁有? 2、《指间的黑客》txt全集下载 3、指间的黑客TXT全集下载 4、《指间的黑客》txt下载在线阅读全文,求...
央广网南京11月24日消息(记者姚东明 通讯员张凤华)据中交天和提供的消息:北京时间11月24日10时30分(当地时间9:30),使用中交天和自主研发、中国出口海外直径最大盾构机施工的印尼雅万高...
角膜移植的总用度再15000-20000阁下,角膜是免费的,这些用度包罗手术费,照顾护士费,角膜运输储存费等。角膜移植是最普遍最有效的器官移植部位。我国今朝有高出。 眼球有些外突,至今已十多年...
编辑导语:大数据近些年来是一个十分火热的话题,关于大数据的文章也是数不胜数。本文作者通过梳理本身看过的大数据相关的资料和书籍,为我们先容了从“小数据”演化为“大数据”的进程是奈何的?而且分享了一些数据...
伴随着各种各样私域流量、个人ip的受欢迎,愈来愈多自媒体人、大V都逐渐创建自身的个人网页。实际上画师、室内设计师、文学家、学员、初入职场人实际上也都能够建网站,用于展现著作、工作经验、共享专业知识念头...
二维码,想必是每天我们都要使用的一个东西,小到菜市场买菜,大到生意商谈。随着支付宝和微信的普及,二维码也渐渐成为街道墙壁的随处可见的一道风景线,但是关于二维码的这些小知识,你都知道吗?今天就让我们一起...