当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0195130

漏洞标题:WIFI安全之连乐无线某处缺陷可导致所有路由设备明文密码泄漏及命令执行漏洞(可shell所有商家路由器)

相关厂商:lianle.com

漏洞作者: 北京方便面

提交时间:2016-04-13 13:48

修复时间:2016-07-12 17:40

公开时间:2016-07-12 17:40

漏洞类型:命令执行

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-13: 细节已通知厂商并且等待厂商处理中
2016-04-13: 厂商已经确认,细节仅向厂商公开
2016-04-16: 细节向第三方安全合作伙伴开放(绿盟科技唐朝安全巡航无声信息
2016-06-07: 细节向核心白帽子及相关领域专家公开
2016-06-17: 细节向普通白帽子公开
2016-06-27: 细节向实习白帽子公开
2016-07-12: 细节向公众公开

简要描述:

WIFI安全之连乐无线某处缺陷可导致所有路由设备明文密码泄漏及命令执行漏洞(可shell所有商家路由器)
官方服务器也沦陷
作为国内领先的互联网内容分发渠道和媒体平台运营商,湖北盛天网络技术股份有限公司致力于为网吧、酒店、咖啡厅、车站、机场等公众互联网上网场所提供完善的移动网络、系统安全与数字内容管理产品及服务,同时为在这些场所上网的网民提供丰富、安全、有趣的互联网内容与体验。目前,盛天旗下各平台与产品每天覆盖超过2500万网民,随着业务的扩展,这一数字正在快速增长之中。

详细说明:

http://**.**.**.**/ zhangli zhangli123
此处存在越权 acid可以遍历
http://**.**.**.**/Machine/remote/?acid=361525
http://**.**.**.**/Machine/remote/?acid=361536
http://**.**.**.**/Machine/remote/?acid=361559
http://**.**.**.**/Machine/remote/?acid=361562
http://**.**.**.**/Machine/remote/?acid=361565
http://**.**.**.**/Machine/remote/?acid=361573
返回包中的链接:
http://**.**.**.**:10038/severlogin.html#wwwuser/user=TWpFd016SXpNVEF3TURBd01EYz0=&wwwuser/password=WVRJeE1ETXlNekV3TURBd01EQTM=
http://**.**.**.**:10000/severlogin.html#wwwuser/user=ZEdsaGJuUnBZVzVvWVc1NmFHVnVadz09&wwwuser/password=ZEdsaGJuUnBZVzVvWVc1NmFHVnVaelkyT0E9PQ==
base64解密两次获得明文密码:
user:21032310000007 password:a21032310000007
user:tiantianhanzheng password:tiantianhanzheng668

漏洞证明:

屏幕快照 2016-04-11 下午7.22.57.png


屏幕快照 2016-04-11 下午7.31.32.png


屏幕快照 2016-04-11 下午7.33.10.png


屏幕快照 2016-04-11 下午7.41.35.png


网络检测 ping功能存在命令执行漏洞

屏幕快照 2016-04-11 下午7.42.26.png


屏幕快照 2016-04-11 下午7.46.16.png


屏幕快照 2016-04-11 下午7.50.09.png


测试不知道为什么 web提交nc反弹一直不成功
最后用msf成功反弹shell
再执行nc命令发现居然正常,怪哉...
测试了一下发现保存为sh文件执行也无法反弹

屏幕快照 2016-04-11 下午7.52.25.png


屏幕快照 2016-04-11 下午7.52.33.png


屏幕快照 2016-04-11 下午7.53.05.png


路由器上发现一个key 可以利用登陆lianle官方某服务器
/etc/dropbear_rsa_host_key

%7_A`1`{N_}0WEN`0}PN)XA.jpg

修复方案:

版权声明:转载请注明来源 北京方便面@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:8

确认时间:2016-04-13 17:39

厂商回复:

多谢提供,目前文中提到的三个问题,第一个我们已经解决,下个版本系统升级后就会彻底解决该问题;第二个问题和第三个问题请进一步描述清楚,多谢

最新状态:

2016-05-20:三个漏洞的状态:1.商家后台远程设备有越权和密码泄漏。这个问题一个是在云端商家后台做了权限控制,不是该商家的用户没权限访问,再一个是对远程控制的url做了加密处理,避免了通过url就能反推出密码的问题2.ping命令执行漏洞。修复后台执行权限,添加命令缓存区检查,修复该bug3.路由器反向连接云端服务器的漏洞。去掉了会导致该漏洞的文件备注|:所有的修改,都在1.X.0.77版本以及之后的固件版本中实现,所以所有bug在该版本以上得到修复等固件全部升级后,会确认并公开此漏洞


漏洞评价:

评价

  1. 2016-04-12 12:10 | _Thorns ( 普通白帽子 | Rank:1865 漏洞数:288 | 以大多数人的努力程度之低,根本轮不到去拼...)

    这个6了。

  2. 2016-04-13 01:12 | ds-hale ( 路人 | Rank:4 漏洞数:2 | free loop)

    没人认