当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0206169

漏洞标题:wifi安全之无线城市多处越权及sql注入(可控制北京近3000个路由器 )

相关厂商:无限城市(北京)科技有限公司

漏洞作者: 千机

提交时间:2016-05-08 10:24

修复时间:2016-06-22 11:20

公开时间:2016-06-22 11:20

漏洞类型:SQL注射漏洞

危害等级:高

自评Rank:20

漏洞状态:已交由第三方合作机构(海淀区信息安全等级保护办公室)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:


漏洞详情

披露状态:

2016-05-08: 细节已通知厂商并且等待厂商处理中
2016-05-08: 厂商已经确认,细节仅向厂商公开
2016-05-18: 细节向核心白帽子及相关领域专家公开
2016-05-28: 细节向普通白帽子公开
2016-06-07: 细节向实习白帽子公开
2016-06-22: 细节向公众公开

简要描述:

可重启所有的设备,恢复出厂设置。监听用户的浏览记录。强制下线用户。

详细说明:

主要是看到了之前机器猫提交的这个漏洞

http://**.**.**.**/bugs/wooyun-2010-0204620


很容易复现了,猜测只是简单的弱口令进入后台,然后在设备处越权管理设备。
这次多几处越权,及两个sql注入
合作伙伴看着都挺牛

186.png


运营后台

http://**.**.**.**:5118/softac/login.jsp


弱口令,test 123456进去
之前的那个漏洞应该在于设备列表处越权

187.png


只需要对id进行遍历就可以对其他非自己的设备进行控制
将id改成176成功访问到了唯实酒店的设备,且可进行任何操作

187.png


这个就是刚才说的监听用户浏览记录的功能

189.png


,,感觉不太好吧,怎么说我也进了不少wifi站的后台了,这种功能还是第一次见
猜测上个漏洞止步于此
这里再提几个越权。sql注入还在跑,待会写
我们已经知道,test对应的是文津酒店
将此处的id改成1,成功越权到了唯实酒店的用户

190.png


191.png


可以强制下线用户,加入黑名单,限速等操作
同样的,上网日志,白名单,黑名单,等功能存在相同的越权,这里不一一截图了
还有序列号管理,平台日志,都存在同样的越权问题

192.png


看了下,除了在修改管理员信息时候不能越权修改其他管理员之外,其他功能基本都存在越权
接下来是sql注入漏洞
在设备查询的请求中的gid存在sql注入漏洞

193.png


sqlmap resumed the following injection point(s) from stored session:
---
Parameter: gid (POST)
Type: AND/OR time-based blind
Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
Payload: gid=00200002' AND (SELECT * FROM (SELECT(SLEEP(5)))znPC) AND 'HuKC'='HuKC&inputBranch=1&name=111&serialNumber=1&ipAddress=1&hardwareVersion=1&softwareVersion=11
---
back-end DBMS: MySQL 5.0.12
available databases [5]:
[*] acside
[*] information_schema
[*] mysql
[*] performance_schema
[*] soofac


root权限
当前的数据库是soofac
读取数据库soofac中的admin_user表

194.png


admin账户的密码太复杂了,md5没解开,,其他几个解开了
延时注入实在太慢了
wsds 123456

195.png


zcgcjq 123456

196.png


zcgcjq1 123456

197.png


延时注入太慢了,就不跑有多少设备了,根据之前越权的漏洞,遍历了一下,存在mac的应该就算是存在的路由器,
因此差不多有近3000个路由器

198.png


足够证明危害了。
还有一处sql注入存在于数据平台的登陆处

**.**.**.**:9000/bigData/login/index.php?logout


199.png


当前的数据库为r2

200.png


有61个管理员,读取出来随便进去

201.png


漏洞证明:

201.png

修复方案:

改改改,求交给海淀区信息安全等级保护办公室进行处理。看他们上次给了20个rank。。

版权声明:转载请注明来源 千机@乌云


漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-08 11:16

厂商回复:

已通知厂商处理

最新状态:

暂无


漏洞评价:

评价