某AP管理系统权限绕过

KBdancer 发表于 2016-10-20, 11:30 AM. 发表在: Web安全 , 原创

背景

通过IP段扫描结果分析发现某一款AP管理系统存在默认admin弱口令并且可以绕过登录直接获取设备信息。

之所以说是某系统,是因为我在设备信息里面找不到这是属于哪个品牌,信息里面显示的设备型号比较多,没有确切的设备信息,可能是一种吸顶AP设备。

案例

在IP数据里面发现如下案例,全部存在于9000端口上

火狐截图_2016-10-29t10-27-48.728z.png - 大小: 253.07 KB - 尺寸: 526 x 1019 - 点击打开新窗口浏览全图
尝试访问其中一个
火狐截图_2016-10-20t03-11-30.465z.png - 大小: 7.68 KB - 尺寸: 934 x 299 - 点击打开新窗口浏览全图
使用admin / admin成功登录
火狐截图_2016-10-20t03-12-27.920z.png - 大小: 64.19 KB - 尺寸: 928 x 970 - 点击打开新窗口浏览全图

分析

当然并不是所有的IP都能使用默认口令登录,有些修改了密码的就无法登录了,机智的博主发现其实这里是可以绕过的,使用firebug打开Cookie信息如下

2016-10-20 11-14-52屏幕截图.png - 大小: 74.2 KB - 尺寸: 803 x 884 - 点击打开新窗口浏览全图
用户名存储在cookie里面,但是似乎并没有sessionid这一类的东西,不过有个salt(盐)的字段,这个有点意思~

打开另外一个IP进行测试,查看cookie信息发现居然和第一个的一模一样...

看到这里我似乎明白了一切,如果我没猜错的话,服务端使用cookie校验登录信息,而那个salt就是一个固定的值,为了证明我的想法,我写了一个脚本批量获取信息进行测试

2016-10-20 11-20-37屏幕截图.png - 大小: 317.19 KB - 尺寸: 1855 x 1056 - 点击打开新窗口浏览全图
测试结果显示所有无法使用admin账号登录有的IP都可以使用Cookie直接登录并进行相关的操作。

危害

未授权操作AP设备可能导致区域内直接断网,像这种简易的AP设备通常情况下提供给公共场所使用,维护起来并不是很方便,一旦被恢复出厂设置,重新配置AP是比较麻烦的,而且宽带拨号信息也在里面,如果没有备份可能就更麻烦了。

本文链接:https://www.92ez.com/?action=show&id=23416
!!! 转载请先联系non3gov@gmail.com授权并在显著位置注明作者和原文链接 !!! 小黑屋
提示:技术文章有一定的时效性,请先确认是否适用你当前的系统环境。

上一篇: WITPOS-3收银系统弱口令可远程操作
下一篇: 大量ZIO ROUTER路由器未授权访问

访客评论
#1
回复 dddyyi 2017-02-15, 9:24 PM
想知道能不能找到解密出宽带密码呢
回复 KBdancer 2017-02-16, 3:19 PM
@dddyyi: 可以,宽带密码都在里面,明文的
#2
回复 鱼非鱼 2018-07-05, 3:41 PM
你看的salt 就是你登陆过后的 密码的base64加密 说白了还是弱口令才行 跟绕过没关系
回复 KBdancer 2018-07-06, 12:37 AM
@鱼非鱼: 这位朋友,首先感谢你的评论。对于你的评论我有一些疑问,首先你说salt是我登陆过后才有的,可能你没有注意到我博文中所写的一句话“测试结果显示所有无法使用admin账号登录有的IP都可以使用Cookie直接登录并进行相关的操作”,请注意,我写的是不知道admin密码的情况下,也可以登录,既然不知道密码了何来的弱口令,而且实际测试的使用admin/admin无法登陆的时候使用cookie依然可以正常操作,还有你看到的那个salt是base64编码,base64并不是加密方式只是一种编码方式,salt值 YWRtaW4= 解码之后为admin,然而这个也不是实际的密码,所以,这个漏洞跟是不是弱口令没有关系,我认为叫做“绕过”是没有问题的,如果我解释的不对或者你有什么疑问可以继续探讨,谢谢
#3
回复 游客 2018-12-11, 6:14 PM
博主太牛b了,膜拜!