斐訊主流路由器K1存在漏洞並收集用戶信息

斐訊PSG1208(K1)是斐訊公司主推的一款家用路由器產品，我們通過分析路由器的固件發現存在著很多的問題。

首先，我們利用固件分析工具binwalk分析固件，並解壓縮tar文件，得到如下圖的目錄內容：

沒有得到完整的root目錄結構，當打開543000文件的時候，得到的是如下圖:

細細分析之後，原來這個54300裡面包括了所有的文件名和文件的內容，按照格式就可以提取出整個的root結構了。

原來網上就出現了這一款路由器的一些典型漏洞:

斐訊多個型號路由器直接獲取管理員密碼和寬頻密碼

我先看了看這些漏洞還存在不，發現開發者已經將漏洞補起來了，並且後面還備註了是誰改的。

這麼low的商業產品，我自信的認為肯定還存在著很多其他的漏洞。分析後發現，他只是限定了對所有asp文件的訪問，但是卻沒有限制其他格式的文件執行，當訪問http：//ip/cgi-bin/reboot.sh，就重啟了，reboot.sh的內容如下:

#!/bin/sh

echo"Content-type: text/html"

echo""

echo"<body>rebooting</body>"

reboot &

當訪問http://ip/cgi-bin/ExportSettings.sh的時候，就可以下載config.dat文件，ExportSettings的文件內容如下：

#!/bin/sh

CONF=Default

cd /tmp

#output HTTPheader

echo"Pragma: no-cache
"

echo"Cache-control: no-cache
"

echo"Content-type: application/octet-stream"

echo"Content-Transfer-Encoding: binary"

echo"Content-Disposition: attachment; filename="config.dat""

echo""

nvram show>> ${CONF} 2>/dev/null

CRC=`cksum${CONF} 2>/dev/null`

echo"#The following line must not be removed."

echo "#ID"${CRC}

cat ${CONF}

rm -f ${CONF}2>/dev/null

而config.dat的內容就太豐富了，不僅包括管理員的用戶名、密碼、wifi的密碼等等，而且還有一個奇怪的ftp地址和登錄的用戶名和密碼：

圖一、路由器管理的登錄密碼

圖二、Wifi的密碼

圖三：雲伺服器的地址、賬號以及密碼

好奇心驅使著我要好好的研究一下ftp裡面到底是什麼東西，登錄後發現，有一堆的壓縮文件，如這樣的：

19700101024747_SN0000_8CAB8E097AF8.tar

下載一個回來後，解壓縮得到下面的內容：

上面還是一個壓縮文件啊，不知道是不是程序員忘記了，壓縮了兩次，再解壓縮後得到密文的數據：

我就更好奇了，這個加密的部分到底是什麼了，分析後發現在cathpkt文件中有對這文件加密的部分，找到加密方法，其實就是利用openssl加密的。

加密的指令為：cd /tmp/ && rm - rf *.tar && open sslenc -aes-128 -cbc -in %s -out %s -k %s&& tar -zcf %s %s && r m-rf %s %s *.data。

密鑰是0123456789ABCDEF0123456789ABCDEF

在ubuntu下解密:openssl enc -aes-128-cbc -d -in

19700101053017_SN0000_8CAB8E00E350.data -out dddd.data -k 0123456789ABCDEF0123456789ABCDEF

得到如下:

這不正是用戶訪問的域名和ip地址嗎？