腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

IoT 2年前 (2022) admin
673 0 0

前言

测试环境:Ubuntu 18.04

固件版本:V15.03.06.51_multi

固件下载地址:https://www.tendacn.com/en/download/detail-3801.html

厂商地址:https://www.tendacn.com/

0x01

首先我们将官网上面的固件下载到本地使用binwalk对固件进行解包

binwalk -Me US_AC6V2.0RTL_V15.03.06.51_multi_TDE01.bin

看来固件没有加密,成功拿到文件系统

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

接下来我们对固件升级包解压后的文件进行分析,通过对其前端的登录页面可以发现,路由器使用的登录方式是POST请求传参,密码使用的MD5加密

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析
腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

对系统服务httpd文件分析,可以得知该路由器没有对登录进行次数限制,换句话说已知用户名admin未知密码,我们就可以使用密码爆破的手法进行登录

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

身份验证则采用的是cookie方式,换句话说cookie等于密码的MD5+随机8位字符串

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

路由器的管理员密码我设置的是12345678,验证其cookie的值是否是MD5+随机8位字符串

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析
腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

0x02 CVE-2020-28093

我们在进行login逻辑分析的时候,看到一行这样的代码

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

可以看出如果请求的url不是/goform/telnet或者/goform/ate,那么就会return 0。他没有写else也就是说当url是/goform/telnet的时候就会触发开启telnet,后面还加了g_Pass[0]也就是说这是一个在登录状态下才会启动成功,我们直接浏览器访问,为了更直观的测试,这里使用了burp进行发包

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

可以看到请求发送成功,使用工具nmap扫描一下端口,可以看到telnet端口已经开启

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

直接登录telnet,通过公开信息可知账号root密码Fireitup

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

尝试写一个txt文件验证一下

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

发现这是一个只读文件系统,最后发现webroot目录是具有写入权限的但是重启之后会被重置

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析
腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

我们可以使用tar命令将整个文件系统进行打包到webroot目录下面,通过授权之后的访问文件地址,下载出来整个文件系统

0x03 CVE-2020-28095

根据wireless_ssid.js可以看到提交的数据接口为goform/WifiBasicSet

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

根据IDA的函数名进行搜索WifiBasicSet,可以看到获取传递的值,默认的值为12345678

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

当wrlPwd的长度超出一定范围时,触发溢出漏洞,从而导致设备进入DOS状态。经测试可知,一旦设备进入到DOS状态只有重置路由器才可以恢复到正常使用状态。

验证效果视频:

腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析


原文始发于微信公众号(IOTsec Zone):腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析

版权声明:admin 发表于 2022年2月10日 上午8:26。
转载请注明:腾达AC1200(型号AC6)智能双频WiFi路由器漏洞复现及分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...