印度3G WIFI品牌路由器 Photon Max 奇葩问题

背景

今天在进行IP段扫描的时候发现印度的某IP段上存在着大量HTTP头信息为“ZTE Web Server/1.0.0” 的主机,如图

火狐截图_2016-11-02t06-27-29.280z.png - 大小: 211.65 KB - 尺寸: 475 x 640 - 点击打开新窗口浏览全图
乍一看这特么不就是中兴的设备的么,显眼的ZTE似乎在诠释着一切...

然而,当我使用浏览器访问其中一个主机的时候,忽然发现似乎并不是我想象的那样,界面是这样的

火狐截图_2016-11-02t06-30-51.966z.png - 大小: 52.14 KB - 尺寸:  x  - 点击打开新窗口浏览全图
看起来并不是中兴的设备,根据LOGO我找到了官方网站对于这款设备的介绍 https://www.tataphoton.com/en-in/photon-max-3g-wifi
火狐截图_2016-11-02t06-32-17.118z.png - 大小: 80.49 KB - 尺寸:  x  - 点击打开新窗口浏览全图
机智的博主还找到了一个新闻 http://cn.technode.com/post/2013-12-27/tata-docomo-gives-people-want-they-want-right-now-more-mobile-data/
火狐截图_2016-11-02t06-33-36.766z.png - 大小: 829.37 KB - 尺寸: 712 x 850 - 点击打开新窗口浏览全图
新闻的发布时间是2013年12月,看来这款设备已经有好几年的历史,印度市场还是不错的,很多厂商都想在这个时候赚上一笔。

分析

博主尝试使用了几组弱口令登录均没有登录成功,于是想看下路由器的登录过程,firebug打开我看到了一个神奇的接口

2016-11-02 14-37-36屏幕截图.png - 大小: 48.29 KB - 尺寸:  x  - 点击打开新窗口浏览全图
我把整个请求的相关信息稍微整理下,如下所示:

POST请求部分

{
"func":"zte_sms_context",
"func":"zte_get_ready_flag",
"func":"zte_net_status",
"func":"zte_device",
"func":"zte_net_connection_ipv6",
"func":"zte_otapa_end",
"func":"zte_get_sms_report",
"func":"zte_net",
"func":"zte_wifi_security",
"func":"zte_wifi_connection"
}
再看下返回的数据
{
    sms_context: {
        is_newsms: 0,
        sms_storage_t: 0,
        device_new_num: 0,
        sim_new_num: 0,
        new_sms: {
            type: 255,
            id: 0,
            number: "",
            timestamp: "",
            sms_tag: 0,
            content_t: {
                content: "",
                encoding: 0
            }
        }
    },
    get_ready_flag: {
        is_gw_ready: 1,
        is_dev_sms_full: 0,
        is_sim_sms_full: 0
    },
    net_status: {
        connection: 3,
        connection_ipv6: 0,
        connected_time: 8045,
        rssi: [
            {
                signal: 2,
                net_model: "Photon Max"
            },
            {
                signal: 4,
                net_model: "Photon Max"
            },
            {
                signal: 0,
                net_model: ""
            },
            {
                signal: 0,
                net_model: ""
            }
        ],
        provider: "CDMA",
        roam: 0,
        ecio: 63,
        rscp: -125,
        tx: 4965746,
        rx: 16787347,
        tx_rate: 8844,
        rx_rate: 1174,
        tx_current: 0,
        rx_current: 0,
        tx_history: 0,
        rx_history: 0,
        connected_time_history: 0
    },
    device: {
        sys_version: "AC3633_V2_TATA_YR9AD818",
        sw_version: "ZT3633DT03",
        hw_version: "AC3633_V2MB_A",
        wl_version: "ac3633_v2_tata",
        manufacturer: "ZTE",
        model: "ZTE AC3633",
        imei: "",
        meid: "A000004EDBA3E6",
        esn: "80467197",
        mdn: "9249099010",
        msid: "0298301497",
        build_time: "15:32:34",
        build_date: "May 15 2015"
    },
    net_connection_ipv6: 0,
    otapa_end: 0,
    get_sms_report: null,
    net: {
        ip: "14.96.107.1",
        mask: "255.255.255.255",
        gateway: "14.96.107.1",
        dns1: "103.8.46.5",
        dns2: "103.8.45.5",
        wins1: "0.0.0.0",
        wins2: "0.0.0.0",
        ipv6: "0000:0000:0000:0000:0000:0000:0000:0000",
        dns1_ipv6: "0000:0000:0000:0000:0000:0000:0000:0000",
        dns2_ipv6: "0000:0000:0000:0000:0000:0000:0000:0000"
    },
    wifi_security: {
        encryption_protocol: 3,
        auth_mode: 0,
        wep_key: "12345",
        wpa_psk_mode: 1,
        wpa_psk_key: "12345678"
    },
    wifi_connection: {
        count: 1,
        max_allowed: 5
    }
}
返回的JSON数据里面居然带有wifi密码,还有收到的短信的内容,以及一些设备的信息...这就很尴尬了,我并有登录呀,观察请求的参数发现,似乎有一些有意思的东西,看起来是把需要的数据的字段发过去就能返回,我尝试只传一个参数,看下返回结果是啥样的,结果如下
2016-11-02 14-44-54屏幕截图.png - 大小: 26.73 KB - 尺寸:  x  - 点击打开新窗口浏览全图
看来我的猜测没有错,那么是不是有这么一种可能性呢,如请求返回用户数据,那是不是就直接拿到登录密码了呢?

问题

那么问题来了,我怎么才能知道用户数据的字段名是啥呢?

我准备查看下源代码,查看源代码的时候我发现了一些更有意思的事情,如图所示

2016-11-02 14-54-01屏幕截图.png - 大小: 85.08 KB - 尺寸:  x  - 点击打开新窗口浏览全图
中文的注释,印度的产品,中文的注释,可以...还有
2016-11-02 14-56-05屏幕截图.png - 大小: 3.72 KB - 尺寸: 408 x 92 - 点击打开新窗口浏览全图
博主书读的少,看不懂单词啥意思
2016-11-02 14-56-15屏幕截图.png - 大小: 36.55 KB - 尺寸: 665 x 354 - 点击打开新窗口浏览全图
原来制造厂是中兴啊,难怪Server信息是ZTE,壮哉我大中兴,根据model搜索下这个,还真发现了同款设备
火狐截图_2016-11-02t06-58-28.379z.png - 大小: 74.03 KB - 尺寸: 782 x 502 - 点击打开新窗口浏览全图
而在2014年7月的时候就已经爆出此款设备存在严重缺陷 http://www.venustech.com.cn/NewsInfo/124/29288.Html
火狐截图_2016-11-02t06-59-36.083z.png - 大小: 85.72 KB - 尺寸:  x  - 点击打开新窗口浏览全图

在源代码里面找了半天并没有找到可能存在的字段名,并且按照漏洞报告进行登录绕过也失败了,此时我顺手试了一个IP使用admin/admin居然登录成功了

火狐截图_2016-11-02t07-18-13.201z.png - 大小: 79.7 KB - 尺寸:  x  - 点击打开新窗口浏览全图

测试了大部分的接口,没有发现越权操作的情况,可能我没有测完整,但是总觉得这个设备还可以继续深入研究下。

写到这里,博主我通常的套路都是上Python脚本了,没错,这次依然是上脚本批量获取wifi信息,如图

2016-11-02 15-44-34屏幕截图.png - 大小: 219.27 KB - 尺寸:  x  - 点击打开新窗口浏览全图
看看,这一堆的弱口令啊,使用弱口令批量一下,又是一堆啊
2016-11-02 16-02-15屏幕截图.png - 大小: 82.13 KB - 尺寸: 545 x 1012 - 点击打开新窗口浏览全图

后记

虽然没有完整的把这个设备搞定,但是还是有些收货,下次继续介绍来自神奇国度印度的其他几款网关设备。

如果您觉得文章有帮助到您,请到 https://www.92ez.com/index.php?action=show&id=23403 进行打赏/捐赠,谢谢!
如果您觉得文章有帮助到您,请 使劲戳这里 进行打赏/捐赠,谢谢!
本文链接:https://www.92ez.com/?action=show&id=23425
提示:技术文章有一定的时效性,请先确认是否适用你当前的系统环境。

上一篇: 关于有人冒充我进行诈骗的说明
下一篇: 韩国路由器KWS-1040N WLAN AP Webserver默认口令

访客评论
目前还没有人评论,您发表点看法?
发表评论

评论内容 (必填):