当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0194872

漏洞标题:Wi-Fi安全之Amos中继器的一些奇葩安全问题

相关厂商:御库科技

漏洞作者: 天地不仁 以万物为刍狗

提交时间:2016-04-11 11:52

修复时间:2016-07-13 16:00

公开时间:2016-07-13 16:00

漏洞类型:权限控制绕过

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-11: 细节已通知厂商并且等待厂商处理中
2016-04-14: 厂商已经确认,细节仅向厂商公开
2016-04-17: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-06-08: 细节向核心白帽子及相关领域专家公开
2016-06-18: 细节向普通白帽子公开
2016-06-28: 细节向实习白帽子公开
2016-07-13: 细节向公众公开

简要描述:

很早以前 有厂家送了我一个 Amos中继器 但是我一直没用上 最近无聊 拿出来玩玩 竟然看到了一些奇葩问题 顿时让我无语···
---------------------------------------------------------------
Amos中继器为 御库科技(御库科技深圳有限公司,是一家集智能无线产品研发设计、销售、服务一体的互联网科技公司。) 旗下的一款产品 但他的一些奇葩问题 可引起一系列的安全隐患

详细说明:

第一 路由器密码安全

000.png


首先我们要连接上我们的Amos中继器热点(一般为 Ecoliv_Amos1_XXXXXX) 虽然 可以有 无线网的安全措施 但是 一般破解了 wifi 密码后 路由器密码的安全 就尤为重要 但是···

0.png


无论你怎么修改密码 他总是在页面里显示出来···

00.png


挺让人 无语的一个问题···竟然直接写在了 页面里 你TM直接写了 还要你这密码有P用啊 你直接开放得了 也就骗骗一些不懂安全的小白?更无语的还在后头
第二 未授权访问
就算不看密码 只要我们记住了一个页面的目录地址 也可以直接绕过密码这块

1.png


**.**.**.**/wireless/advance_wireless_status.asp

1.1.png


下面就随便截几张

1.2.png


1.3.png


**.**.**.**/storage/advance_storage_account_management.asp

1.6.png


**.**.**.**/storage/advance_storage_disk_management.asp

1.5.png


**.**.**.**/storage/advance_storage_samba.asp

1.3.png


更让人无语的是 竟然可以导出!!!!!!!!!
**.**.**.**/cgi-bin/ExportSettings.sh

2.png


3.png


无语了 这样的路由器 你还敢用吗?

漏洞证明:

4.png


5.png


#The following line must not be removed.
Default
WebInit=1
HostName=amos
Login=admin
Password=111111
OperationMode=0
Foxconn_Test=0
Platform=MT7620
wanConnectionMode=DHCP
wan_ipaddr=**.**.**.**
wan_netmask=**.**.**.**
wan_gateway=**.**.**.**
wan_primary_dns=**.**.**.**
wan_secondary_dns=**.**.**.**
wan_pppoe_user=pppoe_user
wan_pppoe_pass=pppoe_passwd
wan_l2tp_server=l2tp_server
wan_l2tp_user=l2tp_user
wan_l2tp_pass=l2tp_passwd
wan_l2tp_mode=0
wan_l2tp_ip=**.**.**.**
wan_l2tp_netmask=**.**.**.**
wan_l2tp_gateway=**.**.**.**
wan_pptp_server=pptp_server
wan_pptp_user=pptp_user
wan_pptp_pass=pptp_passwd
wan_pptp_mode=0
wan_pptp_ip=**.**.**.**
wan_pptp_netmask=**.**.**.**
wan_pptp_gateway=**.**.**.**
lan_ipaddr=**.**.**.**
lan_netmask=**.**.**.**
dhcpEnabled=1
dhcpStart=**.**.**.**00
dhcpEnd=**.**.**.**
dhcpMask=**.**.**.**
dhcpPriDns=**.**.**.**
dhcpSecDns=
dhcpGateway=**.**.**.**
dhcpLease=86400
stpEnabled=0
lltdEnabled=0
igmpEnabled=0
natEnabled=1
IPPortFilterEnable=0
IPPortFilterRules=
PortForwardEnable=0
PortForwardRules=
MacFilterEnable=0
MacFilterRules=
DefaultFirewallPolicy=1
DMZEnable=0
DMZIPAddress=
TZ=CST_008
NTPServerIP=**.**.**.**
NTPSync=1
DDNSProvider=
DDNS=
DDNSAccount=
DDNSPassword=
CountryRegion=1
CountryRegionABand=7
CountryCode=
BssidNum=2
SSID1=Ecoliv_AMOS1_E96A9B
WirelessMode=9
TxRate=0;0
Channel=1
BasicRate=15
BeaconPeriod=100
DtimPeriod=1
TxPower=100
DisableOLBC=0
BGProtection=0
TxAntenna=
RxAntenna=
TxPreamble=1
RTSThreshold=2347
FragThreshold=2346
TxBurst=1
PktAggregate=1
TurboRate=0
WmmCapable=1;1
APAifsn=3;7;1;1
APCwmin=4;4;3;2
APCwmax=6;10;4;3
APTxop=0;0;94;47
APACM=0;0;0;0
BSSAifsn=3;7;2;2
BSSCwmin=4;4;3;2
BSSCwmax=10;10;4;3
BSSTxop=0;0;94;47
BSSACM=0;0;0;0
AckPolicy=0;0;0;0
APSDCapable=0
DLSCapable=0
NoForwarding=0;1
NoForwardingBTNBSSID=0
HideSSID=0;1
ShortSlot=1
AutoChannelSelect=0
SecurityMode=0
VLANEnable=0
VLANName=
VLANID=0
VLANPriority=0
WscConfMode=0
WscConfStatus=2
WscAKMP=1
WscConfigured=1
WscModeOption=7
WscActionIndex=9
WscPinCode=
WscRegResult=1
WscUseUPnP=1
WscUseUFD=0
WscSSID=RalinkInitialAP
WscKeyMGMT=WPA-EAP
WscConfigMethod=138
WscAuthType=1
WscEncrypType=1
WscNewKey=scaptest
IEEE8021X=0;0
IEEE80211H=0
CSPeriod=6
PreAuth=0;0
AuthMode=OPEN
EncrypType=NONE
RekeyInterval=3600;3600
RekeyMethod=TIME;TIME
PMKCachePeriod=10
WPAPSK1=12345678
SSID2=Reserved
WPAPSK2=Reserved
DefaultKeyID=1;1
Key1Type=0;0
Key1Str1=
Key2Type=0;0
Key2Str1=
Key3Type=0;0
Key3Str1=
Key4Type=0;0
Key4Str1=
HSCounter=0
HT_HTC=1
HT_RDG=1
HT_LinkAdapt=0
HT_OpMode=0
HT_MpduDensity=5
HT_EXTCHA=1
HT_BW=1
HT_AutoBA=1
HT_BADecline=0
HT_AMSDU=0
HT_BAWinSize=64
HT_GI=1
HT_STBC=1
HT_MCS=33
HT_PROTECT=1
HT_MIMOPS=3
HT_40MHZ_INTOLERANT=0
HT_TxStream=2
HT_RxStream=2
HT_DisallowTKIP=1
HT_BSSCoexistence=1
NintendoCapable=0
AccessPolicy0=0
AccessControlList0=
AccessPolicy1=0
AccessControlList1=
AccessPolicy2=0
AccessControlList2=
AccessPolicy3=0
AccessControlList3=
WdsEnable=0
WdsEncrypType=NONE
WdsList=
WdsKey=
WirelessEvent=0
RADIUS_Server=0;0
RADIUS_Port=1812;1812
RADIUS_Key=
RADIUS_Acct_Server=
RADIUS_Acct_Port=1813
RADIUS_Acct_Key=
session_timeout_interval=0
idle_timeout_interval=0
staWirelessMode=9
apClient=1
ApCliEnable=1
pptpPassThru=1
l2tpPassThru=1
ipsecPassThru=1
Language=zhcn
LampSwitch=0
SyslogEnable=0
SyslogLevel=5
SyslogServerAddr=
SyslogServerPort=514
ApCliSsid=
ApCliBMac=
ApCliAuthMode=
ApCliEncrypType=
ApCliDefaultKeyID=
ApCliWPAPSK=
ApCliBssid=
DeviceName=Amos1
lampRuleNum=
lampRule1=
lampRule2=
lampRule3=
lampRule4=
lampRule5=
lampRule6=
lampRule7=
lampRule8=
lampRule9=
lampRule10=
ConfigFilename=
ConfigSSID=
ConfigMode=
currentUserProfile=
CanGoOut=0
lastrptApCliSsid=
lastrptApCliEncrypType=
lastrptApCliBMac=
lastrptApCliAuthMode=
lastrptApCliWPAPSK=
lastrptApCliDefaultKeyID=
lastrptApCliKey1Type=
lastrptApCliKey1Str=
lastrptApCliKey2Type=
lastrptApCliKey2Str=
lastrptApCliKey3Type=
lastrptApCliKey3Str=
lastrptApCliKey4Type=
lastrptApCliKey4Str=
lastrptSSID1=
lastrptEncrypType=
lastrptAuthMode=
lastrptWPAPSK1=
lastrptDefaultKeyID=
lastrptKey1Type=
lastrptKey1Str1=
lastrptKey2Type=
lastrptKey2Str1=
lastrptKey3Type=
lastrptKey3Str1=
lastrptKey4Type=
lastrptKey4Str1=
lastrptKeyLength1=
lastSSID1=Ecoliv_AMOS1_E96A9B
lastEncrypType=NONE
lastAuthMode=OPEN
lastWPAPSK1=
lastDefaultKeyID=
lastKey1Type=
lastKey1Str1=
lastKey2Type=
lastKey2Str1=
lastKey3Type=
lastKey3Str1=
lastKey4Type=
lastKey4Str1=
lastKeyLength1=
HWModeSwitch=3
NTPValid=0
RemoteManagement=0
WANPingFilter=1
SPIFWEnabled=1
BlockPortScan=1
BlockSynFlood=1
AutomodeEnable=1
WAN_MAC_ADDR=90:XXXXXXXXXXXXXXX

修复方案:

版权声明:转载请注明来源 天地不仁 以万物为刍狗@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:11

确认时间:2016-04-14 15:50

厂商回复:

CNVD未直接复现所述情况,已经由CNVD通过网站公开联系方式向网站管理单位通报。

最新状态:

暂无


漏洞评价:

评价

  1. 2016-04-11 12:37 | 牛 小 帅 ( 普通白帽子 | Rank:1599 漏洞数:387 | bye)

    路过一下 哈哈

  2. 2016-04-11 15:32 | Brother ( 实习白帽子 | Rank:78 漏洞数:24 )

    4月2号补充一条,至今无审核!求审核大大

  3. 2016-07-13 16:28 | sky666 ( 普通白帽子 | Rank:205 漏洞数:56 )

    哈哈,这路由器真是口怕。