某AP管理系统权限绕过 - 一只猿 - 前端攻城尸 | 安全研究员 | 硬件控 | 业余极客

背景

案例

分析

危害

某AP管理系统权限绕过

KBdancer 发表于 2016-10-20, 11:30 AM. 发表在： Web安全 , 原创

通过IP段扫描结果分析发现某一款AP管理系统存在默认admin弱口令并且可以绕过登录直接获取设备信息。

之所以说是某系统，是因为我在设备信息里面找不到这是属于哪个品牌，信息里面显示的设备型号比较多，没有确切的设备信息，可能是一种吸顶AP设备。

在IP数据里面发现如下案例，全部存在于9000端口上

火狐截图_2016-10-29t10-27-48.728z.png - 大小: 253.07 KB - 尺寸: 526 x 1019 - 点击打开新窗口浏览全图

尝试访问其中一个

火狐截图_2016-10-20t03-11-30.465z.png - 大小: 7.68 KB - 尺寸: 934 x 299 - 点击打开新窗口浏览全图

使用admin / admin成功登录

火狐截图_2016-10-20t03-12-27.920z.png - 大小: 64.19 KB - 尺寸: 928 x 970 - 点击打开新窗口浏览全图

当然并不是所有的IP都能使用默认口令登录，有些修改了密码的就无法登录了，机智的博主发现其实这里是可以绕过的，使用firebug打开Cookie信息如下

2016-10-20 11-14-52屏幕截图.png - 大小: 74.2 KB - 尺寸: 803 x 884 - 点击打开新窗口浏览全图

用户名存储在cookie里面，但是似乎并没有sessionid这一类的东西，不过有个salt（盐）的字段，这个有点意思～

打开另外一个IP进行测试，查看cookie信息发现居然和第一个的一模一样...

看到这里我似乎明白了一切，如果我没猜错的话，服务端使用cookie校验登录信息，而那个salt就是一个固定的值，为了证明我的想法，我写了一个脚本批量获取信息进行测试

2016-10-20 11-20-37屏幕截图.png - 大小: 317.19 KB - 尺寸: 1855 x 1056 - 点击打开新窗口浏览全图

测试结果显示所有无法使用admin账号登录有的IP都可以使用Cookie直接登录并进行相关的操作。

« 2018年10月 »

未授权操作AP设备可能导致区域内直接断网，像这种简易的AP设备通常情况下提供给公共场所使用，维护起来并不是很方便，一旦被恢复出厂设置，重新配置AP是比较麻烦的，而且宽带拨号信息也在里面，如果没有备份可能就更麻烦了。

本文链接：https://www.92ez.com/?action=show&id=23416
!!! 转载请先联系non3gov@gmail.com授权并在显著位置注明作者和原文链接 !!! 小黑屋
提示：技术文章有一定的时效性，请先确认是否适用你当前的系统环境。

访客评论

dddyyi 2017-02-15, 9:24 PM

想知道能不能找到解密出宽带密码呢

KBdancer 2017-02-16, 3:19 PM

@dddyyi: 可以，宽带密码都在里面，明文的

鱼非鱼 2018-07-05, 3:41 PM

你看的salt 就是你登陆过后的密码的base64加密说白了还是弱口令才行跟绕过没关系

KBdancer 2018-07-06, 12:37 AM

@鱼非鱼: 这位朋友，首先感谢你的评论。对于你的评论我有一些疑问，首先你说salt是我登陆过后才有的，可能你没有注意到我博文中所写的一句话“测试结果显示所有无法使用admin账号登录有的IP都可以使用Cookie直接登录并进行相关的操作”，请注意，我写的是不知道admin密码的情况下，也可以登录，既然不知道密码了何来的弱口令，而且实际测试的使用admin/admin无法登陆的时候使用cookie依然可以正常操作，还有你看到的那个salt是base64编码，base64并不是加密方式只是一种编码方式，salt值 YWRtaW4= 解码之后为admin，然而这个也不是实际的密码，所以，这个漏洞跟是不是弱口令没有关系，我认为叫做“绕过”是没有问题的，如果我解释的不对或者你有什么疑问可以继续探讨，谢谢

发表评论