一次住酒店的意外收获
2019-10-17 19:52:04 Author: forum.90sec.com(查看原文) 阅读量:311 收藏

本文作者: à ō é (信安之路移动安全小组组长)

晚上住进了某家酒店,闲来无事,连个 wifi,发现居然没网。

看了一下路由器,电源 ok,网线 ok,灯 ok ,就是网络不 ok。

image

那么就访问一下 wifi 的管理后台看看,先查看自己电脑 IP,获取网关地址。

image

访问一下,看到了 wifi 后台的登录页面。

http://192.168.125.1/local/login.html

image

随便测了一下,发现登录时错误回显不一致,参数值用了 md5 算法加密传输,不过依然可以爆破账号,在这里这个不是重点,就不试了 手工试了了试,没猜出来 ヽ(ー_ー)ノ

发现端倪

抓包时发现,登录的响应包内容是这样的。

<html>
<head>
<title>My Title</title><link rel="stylesheet" href="/style/normal_ws.css"       type="text/css"><meta http-equiv="content-type" content="text/html;       charset=utf-8">
</head>
<body>
status=-1,superuser=-1,session=</body>
</html>
image

猜测

看到响应包的 这个东西,很容易想到跟 cookie 非常相似。

status=-2,superuser=-1,session=

而且在不登录的情况下,怎么访问登录页面都是没有cookie的。

那么假设它就是(服务器端)返回给客户端(前端)的一个 cookie,看参数名也容易知道一些含义

image

开始动手

1、开拦截,抓取登录的响应包。

image

2、修改登录的响应包,如下,然后放行。

image

3、可以看到它请求了一个 http://192.168.125.1/local/home.asp 页面。看文件名也知道进入到后台的主页了。

image

4、成功进入,如下:

image

5、此过程的全部请求

image

直接来伪造 COOKIE

前提

通过前面的 一顿操作(猛如虎),结果登录页面不见了。

我们知道了

1、正确的超管用户名 admin

2、后台主页的地址 http://192.168.125.1/local/home.asp

3、正确的 cookie (固定不变的,也是猜出来的) status=1,superuser=1,session=1

见证奇迹的时刻

先访问登录页面,利用 EditThisCookie 插件增加(修改) cookie。如下

image

然后再访问后台主页 URL

image

那么我们就进来了

image

该漏洞的利用思路

首先该漏洞可以到达无需密码登录 wifi 管理后台页面的效果。

其实每个房间都有一个 wifi(路由器),我们可以利用同样的方法去进到别的房间 wifi 的管理后台。进而进行 DNS 劫持,流量监控等。运行好的话,就可以得到一些敏感的东西(如账号密码,交易密码等)。

另外就是进一步对交换机和网管设备进行攻击。

总结

首次发布文章,感觉这个过程挺有意思的就分享出来给大家

使用公共 wifi 的建议

1、尽量不要连公共场合的 wifi,特别是无需密码,无需其他认证的 wifi;

2、连接公共场合的 wifi 时,不要做敏感操作,如登录、交易等操作。

3、对于公共场合(不明来源)的 wifi,关闭自动连接 wifi 的功能;

4、浏览安全的网页,不要点击广告或恶意链接,不要随便扫描二维码。


文章来源: https://forum.90sec.com/t/topic/254/16
如有侵权请联系:admin#unsafe.sh