Wi-Fi安全之Amos中继器的一些奇葩安全问题

漏洞概要关注数(24) 关注此漏洞

漏洞标题：Wi-Fi安全之Amos中继器的一些奇葩安全问题

提交时间：2016-04-11 11:52

修复时间：2016-07-13 16:00

公开时间：2016-07-13 16:00

漏洞类型：权限控制绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-04-11：细节已通知厂商并且等待厂商处理中
2016-04-14：厂商已经确认，细节仅向厂商公开
2016-04-17：细节向第三方安全合作伙伴开放（绿盟科技、唐朝安全巡航、无声信息）
2016-06-08：细节向核心白帽子及相关领域专家公开
2016-06-18：细节向普通白帽子公开
2016-06-28：细节向实习白帽子公开
2016-07-13：细节向公众公开

简要描述：

很早以前有厂家送了我一个 Amos中继器但是我一直没用上最近无聊拿出来玩玩竟然看到了一些奇葩问题顿时让我无语···
---------------------------------------------------------------
Amos中继器为御库科技（御库科技深圳有限公司，是一家集智能无线产品研发设计、销售、服务一体的互联网科技公司。）旗下的一款产品但他的一些奇葩问题可引起一系列的安全隐患

详细说明：

第一路由器密码安全

首先我们要连接上我们的Amos中继器热点（一般为 Ecoliv_Amos1_XXXXXX）虽然可以有无线网的安全措施但是一般破解了 wifi 密码后路由器密码的安全就尤为重要但是···

无论你怎么修改密码他总是在页面里显示出来···

挺让人无语的一个问题···竟然直接写在了页面里你TM直接写了还要你这密码有P用啊你直接开放得了也就骗骗一些不懂安全的小白？更无语的还在后头
第二未授权访问
就算不看密码只要我们记住了一个页面的目录地址也可以直接绕过密码这块

**.**.**.**/wireless/advance_wireless_status.asp

下面就随便截几张

**.**.**.**/storage/advance_storage_account_management.asp

**.**.**.**/storage/advance_storage_disk_management.asp

**.**.**.**/storage/advance_storage_samba.asp

更让人无语的是竟然可以导出！！！！！！！！！
**.**.**.**/cgi-bin/ExportSettings.sh

无语了这样的路由器你还敢用吗？

漏洞证明：

#The following line must not be removed.
Default
WebInit=1
HostName=amos
Login=admin
Password=111111
OperationMode=0
Foxconn_Test=0
Platform=MT7620
wanConnectionMode=DHCP
wan_ipaddr=**.**.**.**
wan_netmask=**.**.**.**
wan_gateway=**.**.**.**
wan_primary_dns=**.**.**.**
wan_secondary_dns=**.**.**.**
wan_pppoe_user=pppoe_user
wan_pppoe_pass=pppoe_passwd
wan_l2tp_server=l2tp_server
wan_l2tp_user=l2tp_user
wan_l2tp_pass=l2tp_passwd
wan_l2tp_mode=0
wan_l2tp_ip=**.**.**.**
wan_l2tp_netmask=**.**.**.**
wan_l2tp_gateway=**.**.**.**
wan_pptp_server=pptp_server
wan_pptp_user=pptp_user
wan_pptp_pass=pptp_passwd
wan_pptp_mode=0
wan_pptp_ip=**.**.**.**
wan_pptp_netmask=**.**.**.**
wan_pptp_gateway=**.**.**.**
lan_ipaddr=**.**.**.**
lan_netmask=**.**.**.**
dhcpEnabled=1
dhcpStart=**.**.**.**00
dhcpEnd=**.**.**.**
dhcpMask=**.**.**.**
dhcpPriDns=**.**.**.**
dhcpSecDns=
dhcpGateway=**.**.**.**
dhcpLease=86400
stpEnabled=0
lltdEnabled=0
igmpEnabled=0
natEnabled=1
IPPortFilterEnable=0
IPPortFilterRules=
PortForwardEnable=0
PortForwardRules=
MacFilterEnable=0
MacFilterRules=
DefaultFirewallPolicy=1
DMZEnable=0
DMZIPAddress=
TZ=CST_008
NTPServerIP=**.**.**.**
NTPSync=1
DDNSProvider=
DDNS=
DDNSAccount=
DDNSPassword=
CountryRegion=1
CountryRegionABand=7
CountryCode=
BssidNum=2
SSID1=Ecoliv_AMOS1_E96A9B
WirelessMode=9
TxRate=0;0
Channel=1
BasicRate=15
BeaconPeriod=100
DtimPeriod=1
TxPower=100
DisableOLBC=0
BGProtection=0
TxAntenna=
RxAntenna=
TxPreamble=1
RTSThreshold=2347
FragThreshold=2346
TxBurst=1
PktAggregate=1
TurboRate=0
WmmCapable=1;1
APAifsn=3;7;1;1
APCwmin=4;4;3;2
APCwmax=6;10;4;3
APTxop=0;0;94;47
APACM=0;0;0;0
BSSAifsn=3;7;2;2
BSSCwmin=4;4;3;2
BSSCwmax=10;10;4;3
BSSTxop=0;0;94;47
BSSACM=0;0;0;0
AckPolicy=0;0;0;0
APSDCapable=0
DLSCapable=0
NoForwarding=0;1
NoForwardingBTNBSSID=0
HideSSID=0;1
ShortSlot=1
AutoChannelSelect=0
SecurityMode=0
VLANEnable=0
VLANName=
VLANID=0
VLANPriority=0
WscConfMode=0
WscConfStatus=2
WscAKMP=1
WscConfigured=1
WscModeOption=7
WscActionIndex=9
WscPinCode=
WscRegResult=1
WscUseUPnP=1
WscUseUFD=0
WscSSID=RalinkInitialAP
WscKeyMGMT=WPA-EAP
WscConfigMethod=138
WscAuthType=1
WscEncrypType=1
WscNewKey=scaptest
IEEE8021X=0;0
IEEE80211H=0
CSPeriod=6
PreAuth=0;0
AuthMode=OPEN
EncrypType=NONE
RekeyInterval=3600;3600
RekeyMethod=TIME;TIME
PMKCachePeriod=10
WPAPSK1=12345678
SSID2=Reserved
WPAPSK2=Reserved
DefaultKeyID=1;1
Key1Type=0;0
Key1Str1=
Key2Type=0;0
Key2Str1=
Key3Type=0;0
Key3Str1=
Key4Type=0;0
Key4Str1=
HSCounter=0
HT_HTC=1
HT_RDG=1
HT_LinkAdapt=0
HT_OpMode=0
HT_MpduDensity=5
HT_EXTCHA=1
HT_BW=1
HT_AutoBA=1
HT_BADecline=0
HT_AMSDU=0
HT_BAWinSize=64
HT_GI=1
HT_STBC=1
HT_MCS=33
HT_PROTECT=1
HT_MIMOPS=3
HT_40MHZ_INTOLERANT=0
HT_TxStream=2
HT_RxStream=2
HT_DisallowTKIP=1
HT_BSSCoexistence=1
NintendoCapable=0
AccessPolicy0=0
AccessControlList0=
AccessPolicy1=0
AccessControlList1=
AccessPolicy2=0
AccessControlList2=
AccessPolicy3=0
AccessControlList3=
WdsEnable=0
WdsEncrypType=NONE
WdsList=
WdsKey=
WirelessEvent=0
RADIUS_Server=0;0
RADIUS_Port=1812;1812
RADIUS_Key=
RADIUS_Acct_Server=
RADIUS_Acct_Port=1813
RADIUS_Acct_Key=
session_timeout_interval=0
idle_timeout_interval=0
staWirelessMode=9
apClient=1
ApCliEnable=1
pptpPassThru=1
l2tpPassThru=1
ipsecPassThru=1
Language=zhcn
LampSwitch=0
SyslogEnable=0
SyslogLevel=5
SyslogServerAddr=
SyslogServerPort=514
ApCliSsid=
ApCliBMac=
ApCliAuthMode=
ApCliEncrypType=
ApCliDefaultKeyID=
ApCliWPAPSK=
ApCliBssid=
DeviceName=Amos1
lampRuleNum=
lampRule1=
lampRule2=
lampRule3=
lampRule4=
lampRule5=
lampRule6=
lampRule7=
lampRule8=
lampRule9=
lampRule10=
ConfigFilename=
ConfigSSID=
ConfigMode=
currentUserProfile=
CanGoOut=0
lastrptApCliSsid=
lastrptApCliEncrypType=
lastrptApCliBMac=
lastrptApCliAuthMode=
lastrptApCliWPAPSK=
lastrptApCliDefaultKeyID=
lastrptApCliKey1Type=
lastrptApCliKey1Str=
lastrptApCliKey2Type=
lastrptApCliKey2Str=
lastrptApCliKey3Type=
lastrptApCliKey3Str=
lastrptApCliKey4Type=
lastrptApCliKey4Str=
lastrptSSID1=
lastrptEncrypType=
lastrptAuthMode=
lastrptWPAPSK1=
lastrptDefaultKeyID=
lastrptKey1Type=
lastrptKey1Str1=
lastrptKey2Type=
lastrptKey2Str1=
lastrptKey3Type=
lastrptKey3Str1=
lastrptKey4Type=
lastrptKey4Str1=
lastrptKeyLength1=
lastSSID1=Ecoliv_AMOS1_E96A9B
lastEncrypType=NONE
lastAuthMode=OPEN
lastWPAPSK1=
lastDefaultKeyID=
lastKey1Type=
lastKey1Str1=
lastKey2Type=
lastKey2Str1=
lastKey3Type=
lastKey3Str1=
lastKey4Type=
lastKey4Str1=
lastKeyLength1=
HWModeSwitch=3
NTPValid=0
RemoteManagement=0
WANPingFilter=1
SPIFWEnabled=1
BlockPortScan=1
BlockSynFlood=1
AutomodeEnable=1
WAN_MAC_ADDR=90:XXXXXXXXXXXXXXX

修复方案：

版权声明：转载请注明来源天地不仁以万物为刍狗@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：11

确认时间：2016-04-14 15:50

厂商回复：

CNVD未直接复现所述情况，已经由CNVD通过网站公开联系方式向网站管理单位通报。

漏洞评价：

评价

2016-04-11 12:37 | 牛小帅 ( 普通白帽子 | Rank:1599 漏洞数:387 | bye)

路过一下哈哈
2016-04-11 15:32 | Brother ( 实习白帽子 | Rank:78 漏洞数:24 )

4月2号补充一条，至今无审核！求审核大大
2016-07-13 16:28 | sky666 ( 普通白帽子 | Rank:205 漏洞数:56 )

哈哈，这路由器真是口怕。

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0194872

漏洞标题：Wi-Fi安全之Amos中继器的一些奇葩安全问题

相关厂商：御库科技

漏洞作者：天地不仁以万物为刍狗

提交时间：2016-04-11 11:52

修复时间：2016-07-13 16:00

公开时间：2016-07-13 16:00

漏洞类型：权限控制绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源天地不仁以万物为刍狗@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0194872

漏洞标题：Wi-Fi安全之Amos中继器的一些奇葩安全问题

相关厂商：御库科技

漏洞作者： 天地不仁 以万物为刍狗

提交时间：2016-04-11 11:52

修复时间：2016-07-13 16:00

公开时间：2016-07-13 16:00

漏洞类型：权限控制绕过

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(cncert国家互联网应急中心)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0194872"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 天地不仁 以万物为刍狗@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：天地不仁以万物为刍狗

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源天地不仁以万物为刍狗@乌云