wifi安全之无线城市多处越权及sql注入（可控制北京近3000个路由器）

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0206169

漏洞标题：wifi安全之无线城市多处越权及sql注入（可控制北京近3000个路由器）

漏洞作者：千机

提交时间：2016-05-08 10:24

修复时间：2016-06-22 11:20

公开时间：2016-06-22 11:20

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(海淀区信息安全等级保护办公室)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

2016-05-08：细节已通知厂商并且等待厂商处理中
2016-05-08：厂商已经确认，细节仅向厂商公开
2016-05-18：细节向核心白帽子及相关领域专家公开
2016-05-28：细节向普通白帽子公开
2016-06-07：细节向实习白帽子公开
2016-06-22：细节向公众公开

简要描述：

可重启所有的设备，恢复出厂设置。监听用户的浏览记录。强制下线用户。

详细说明：

主要是看到了之前机器猫提交的这个漏洞

http://**.**.**.**/bugs/wooyun-2010-0204620

很容易复现了，猜测只是简单的弱口令进入后台，然后在设备处越权管理设备。
这次多几处越权，及两个sql注入
合作伙伴看着都挺牛

运营后台

http://**.**.**.**:5118/softac/login.jsp

弱口令，test 123456进去
之前的那个漏洞应该在于设备列表处越权

只需要对id进行遍历就可以对其他非自己的设备进行控制
将id改成176成功访问到了唯实酒店的设备，且可进行任何操作

这个就是刚才说的监听用户浏览记录的功能

，，感觉不太好吧，怎么说我也进了不少wifi站的后台了，这种功能还是第一次见
猜测上个漏洞止步于此
这里再提几个越权。sql注入还在跑，待会写
我们已经知道，test对应的是文津酒店
将此处的id改成1，成功越权到了唯实酒店的用户

可以强制下线用户，加入黑名单，限速等操作
同样的，上网日志，白名单，黑名单，等功能存在相同的越权，这里不一一截图了
还有序列号管理，平台日志，都存在同样的越权问题

看了下，除了在修改管理员信息时候不能越权修改其他管理员之外，其他功能基本都存在越权
接下来是sql注入漏洞
在设备查询的请求中的gid存在sql注入漏洞

sqlmap resumed the following injection point(s) from stored session:
---
Parameter: gid (POST)
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: gid=00200002' AND (SELECT * FROM (SELECT(SLEEP(5)))znPC) AND 'HuKC'='HuKC&inputBranch=1&name=111&serialNumber=1&ipAddress=1&hardwareVersion=1&softwareVersion=11
---
back-end DBMS: MySQL 5.0.12
available databases [5]:
[*] acside
[*] information_schema
[*] mysql
[*] performance_schema
[*] soofac

root权限
当前的数据库是soofac
读取数据库soofac中的admin_user表

admin账户的密码太复杂了，md5没解开，，其他几个解开了
延时注入实在太慢了
wsds 123456

zcgcjq 123456

zcgcjq1 123456

延时注入太慢了，就不跑有多少设备了，根据之前越权的漏洞，遍历了一下，存在mac的应该就算是存在的路由器，
因此差不多有近3000个路由器

足够证明危害了。
还有一处sql注入存在于数据平台的登陆处

**.**.**.**:9000/bigData/login/index.php?logout

当前的数据库为r2

有61个管理员，读取出来随便进去

漏洞证明：

修复方案：

改改改，求交给海淀区信息安全等级保护办公室进行处理。看他们上次给了20个rank。。

版权声明：转载请注明来源千机@乌云

漏洞回应

厂商回应：

危害等级：高

漏洞Rank：20

确认时间：2016-05-08 11:16

厂商回复：

已通知厂商处理

WooYun.org

漏洞概要关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0206169

漏洞标题：wifi安全之无线城市多处越权及sql注入（可控制北京近3000个路由器）

相关厂商：无限城市（北京）科技有限公司

漏洞作者：千机

提交时间：2016-05-08 10:24

修复时间：2016-06-22 11:20

公开时间：2016-06-22 11:20

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(海淀区信息安全等级保护办公室)处理

漏洞来源： http://www.wooyun.org，如有疑问或需要帮助请联系 [email protected]

Tags标签：无

4人收藏收藏
分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源千机@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

WooYun.org

漏洞概要 关注数(24) 关注此漏洞

缺陷编号：wooyun-2016-0206169

漏洞标题：wifi安全之无线城市多处越权及sql注入（可控制北京近3000个路由器 ）

相关厂商：无限城市（北京）科技有限公司

漏洞作者： 千机

提交时间：2016-05-08 10:24

修复时间：2016-06-22 11:20

公开时间：2016-06-22 11:20

漏洞类型：SQL注射漏洞

危害等级：高

自评Rank：20

漏洞状态：已交由第三方合作机构(海淀区信息安全等级保护办公室)处理

Tags标签： 无

4人收藏 收藏 var token=""; var id="wooyun-2016-0206169"; $(".btn-fav").click(function(){ CollectBug(id,token); }); 分享漏洞：

漏洞详情

披露状态：

简要描述：

详细说明：

漏洞证明：

修复方案：

版权声明：转载请注明来源 千机@乌云

漏洞回应

厂商回应：

厂商回复：

最新状态：

漏洞概要关注数(24) 关注此漏洞

漏洞标题：wifi安全之无线城市多处越权及sql注入（可控制北京近3000个路由器）

漏洞作者：千机

Tags标签：无

4人收藏收藏
分享漏洞：

版权声明：转载请注明来源千机@乌云