当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2015-0122454

漏洞标题:爱快流控路由最新2个版本后门制作以及后台升级方法

相关厂商:爱快免费流控路由

漏洞作者: 路人甲

提交时间:2015-06-24 13:45

修复时间:2015-09-22 15:34

公开时间:2015-09-22 15:34

漏洞类型:设计不当

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2015-06-24: 细节已通知厂商并且等待厂商处理中
2015-06-24: 厂商已经确认,细节仅向厂商公开
2015-06-27: 细节向第三方安全合作伙伴开放
2015-08-18: 细节向核心白帽子及相关领域专家公开
2015-08-28: 细节向普通白帽子公开
2015-09-07: 细节向实习白帽子公开
2015-09-22: 细节向公众公开

简要描述:

研究了好几天,昨晚刚刚在庆祝胜利的喜悦,就看到有人在刷洞,那么我也来一个吧. 他是未授权访问,我是制作固件后门......不一样的......

详细说明:

通过官方升级包来进行分析,最后制成一个固件升级包,可以从后台直接升级来做系统的后门程序.这样就可以永久性控制路由器了.
估计 WooYun: 爱快流控路由最新版(iKuai8_2.4.4_Build20150604-17_41)固件漏洞挖掘分析之一 是能越权进后台,因此如果你有后台权限,就可以用这个升级包来留后门,而且系统的安装时间不会发生变化,是完全看不出来的.

漏洞证明:

给个升级包下载地址吧.
[见测试代码区]
通过该升级包,可以将路由器升级到iKuai8_2.4.4_Build20150604-17_41,并在登录界面创建后门.
估计 WooYun: 爱快流控路由最新版(iKuai8_2.4.4_Build20150604-17_41)固件漏洞挖掘分析之一 是能越权进后台,因此如果你有后台权限,就可以用这个升级包来留后门,而且系统的安装时间不会发生变化,是完全看不出来的.

1.png


到系统后台进行升级,升级成功后在登录界面输入任意账号密码,将请求地址改为user_login即可登录成功.

2.png


其实我们还可以做更多,将路由器藏有一个反弹shell的脚本来进行远控.该后门只是论证可行性,从而论证留一个可远控路由器的后门的可行性.
具体方法就是对patch升级包进行拆包重打包,但是由于其运行机制问题,所有的文件系统都是在内存里的,重启就会恢复到原来的状态.因此需要进行动态的patch,当系统解压缩完成后进行patch,这样才能用较低的成本来完成一个后门的制作.

修复方案:

升级包应加密并做自校验.
该问题的存在主要是由于后台没有检查升级包是否合法因此可通过该漏洞恶意升级路由器.
审核人员可以先安装一个最新版,然后用这个升级包升级,然后再按照截图的方法尝试任意密码登陆即可.

版权声明:转载请注明来源 路人甲@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:10

确认时间:2015-06-24 15:32

厂商回复:

正叫技术的同事看,乌云高手多啊,一个个都解决后,将给用户提供更加完善的产品,感谢白帽子兄弟们

最新状态:

暂无


漏洞评价:

评论

  1. 2015-06-24 14:08 | aygj1412 ( 路人 | 还没有发布任何漏洞 | 只有神知道的世界)

    最终能得到什么效果?

  2. 2015-06-24 14:16 | wefgod ( 普通白帽子 | Rank:1807 漏洞数:179 | 力不从心)

    制作了之后会有人下吗,还是说直接把官网搞了把固件替换?

  3. 2015-06-24 14:51 | 疯狗 认证白帽子 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞,心中自然无码。)

    这种攻击挺有意思哈,深度DIY给固件里放个后门,但防范的话我确实想不到什么:(

  4. 2015-06-24 22:45 | scanf ( 核心白帽子 | Rank:1232 漏洞数:186 | 。)

    怎么个后门替换升级法?