当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0196866

漏洞标题:wifi安全之博士无线多个系统弱口令/sql注入(可控制12257台路由器设备/一键断网)

相关厂商:深圳市梧桐世界科技股份有限公司

漏洞作者: 千机

提交时间:2016-04-16 08:59

修复时间:2016-06-02 09:00

公开时间:2016-06-02 09:00

漏洞类型:账户体系控制不严

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(广东省信息安全测评中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-04-16: 细节已通知厂商并且等待厂商处理中
2016-04-18: 厂商已经确认,细节仅向厂商公开
2016-04-28: 细节向核心白帽子及相关领域专家公开
2016-05-08: 细节向普通白帽子公开
2016-05-18: 细节向实习白帽子公开
2016-06-02: 细节向公众公开

简要描述:

盯了几天的wifi站终于碰到一个好欺负的了
深圳市梧桐世界科技股份有限公司(以下简称‘梧桐世界’)成立于2012年,是国内领先的专注于互联网网络安全和互联网Wi-Fi商业数据变现解决方案的高科技互联网企业,拥有强大的研发能力以及完善完整的Wi-Fi运营能力。“创新、分享、高效、快乐”作为核心价值观。致力于为手机用户营造安全无忧的无线上网环境为己任,创造中国最优秀的移动互联网新媒体,致力成为中国最大移动互联网线下入口平台。

详细说明:

太多太多的系统的弱口令了
蛋疼的是最后准备写报告的时候一个后台的账号被封了。。蛋疼
无线管理平台

http://**.**.**.**/user/info.html


密码admin 123456
貌似是个demo站,没啥内容

67.png


类似的后台站有
博士无线管理平台

http://**.**.**.**/user/index.html


admin 123456
Portal管理平台

http://**.**.**.**/user/info.html


admin 123456
F8wifiportal后台

http://**.**.**.**/user/info.html


admin admin1222
这几个后台都长一样了,试了各种sql注入和越权,上传等等都没成功,不过有很多处存储型xss。贴出来纯当提醒,改改弱口令什么的。小心以后中招
接下来几个后台系统就比较重要了
短信管理平台

http://**.**.**.**/index.php

admin 123456
泄露了1591条用户手机号,mac地址等等信息

68.png


最右边那个是mac地址

69.png


还可以更改短信套餐,如果商家把这套餐改了1块钱买2856条短信不是梦
审计管理系统

http://**.**.**.**/index.php


bswifi 1234567

70.png


看了下功能好多,各种数据收集,虽然什么数据都没有,不过看样子以后应该是要用起来的
会员管理中心,博士无线ssp统计管理信息

http://**.**.**.**/index.php/admin/index/login


admin 123456

71.png


近16w个mac。。1400多个场所
泄露了大量场所编号及硬件id

72.png


然后是sql注入。在短信平台的搜索处存在延时注入

73.png


影响了33个数据库

available databases [33]:
[*] bsremote
[*] comiims
[*] demoiims
[*] demowifi
[*] demowifieth
[*] dx
[*] iims
[*] iimstest
[*] information_schema
[*] jxcount
[*] monitor
[*] mysql
[*] openvpn
[*] performance_schema
[*] phpinfo
[*] qscms
[*] raffle
[*] romupdate
[*] sczy_iimstest
[*] sczy_wifi
[*] sczy_wifieth
[*] smscenter
[*] ssp_bswifi
[*] tongji
[*] webbswifi
[*] wifi
[*] wifieth
[*] wifiethtest
[*] wifiptr
[*] wifitest
[*] wireless
[*] wxcms
[*] zentao


看到openvpn就想到一直没进去的一个后台

http://**.**.**.**/index.php


读取里面的数据出来,然后md5一解开直接进去
admin bswifi
吓到宝宝了

75.png


12259个设备,及场所,
还可以一键关闭,这个我就不试了

漏洞证明:

75.png

修复方案:

弱口令,管理后台对外,

版权声明:转载请注明来源 千机@乌云


漏洞回应

厂商回应:

危害等级:中

漏洞Rank:5

确认时间:2016-04-18 08:56

厂商回复:

非常感谢您的报告。
报告中的问题已确认并复现。
影响的数据:低
攻击成本:低
造成影响:中
综合评级为:中,rank:5
正在联系相关网站管理单位处置。

最新状态:

暂无


漏洞评价:

评价