IOTsec-Zone 物联网安全社区 | 腾达AC1200路由器漏洞分析

腾达AC1200路由器漏洞分析

2022-02-10 18:24:57 | 固件安全 | 529次阅读 | IOTsec-zone

> 测试环境：Ubuntu 18.04
>
> 固件版本：V15.03.06.51_multi
>
> 固件下载地址：https://www.tendacn.com/en/download/detail-3801.html
>
> 厂商地址：https://www.tendacn.com/

## 0x01

首先我们将官网上面的固件下载到本地使用binwalk对固件进行解包

```bash
binwalk -Me US_AC6V2.0RTL_V15.03.06.51_multi_TDE01.bin 
```

看来固件没有加密，成功拿到文件系统

![](https://www.iotsec-zone.com/images/MdImg/352b74b1644a908afe679ba5778f300d.png)
接下来我们对固件升级包解压后的文件进行分析

通过对其前端的登录页面可以发现，路由器使用的登录方式是POST请求传参，密码使用的MD5加密

![](https://www.iotsec-zone.com/images/MdImg/0441aa0fe6b91f5ffaf90b44532432c2.png)

![](https://www.iotsec-zone.com/images/MdImg/3bd7a5da4880b2de3312b5b75a9ff500.png)
对系统服务httpd文件分析，可以得知改路由器没有对登录进行次数限制，换句话说已知用户名admin未知密码，我们就可以使用密码爆破的手法进行登录

![](https://www.iotsec-zone.com/images/MdImg/079ab01ac642c0426839cfae212dbfaf.png)
身份验证则采用的是cookie方式，换句话说cookie等于密码的MD5+随机8位字符串

![](https://www.iotsec-zone.com/images/MdImg/b4a3e8bbe86a3874d6380f86887b1441.png)
路由器的管理员密码我设置的是12345678，验证其cookie的值是否是MD5+随机8位字符串

![](https://www.iotsec-zone.com/images/MdImg/87a2abce34af1e4de6597961b781cef3.png)

## 0x02  CVE-2020-28093

我们在进行login逻辑分析的时候，看到一行这样的代码

![](https://www.iotsec-zone.com/images/MdImg/e19e8306383e9981bc07b7caf06552d0.png)

可以看出如果请求的url不是/goform/telnet或者/goform/ate，那么就会return 0。他没有写else也就是说当url是/goform/telnet的时候就会触发开启telnet，后面还加了g_Pass[0]也就是说这是一个在登录状态下才会启动成功，我们直接浏览器访问

![](https://www.iotsec-zone.com/images/MdImg/7e80cb4a5f4d80a44edc9c9eeb7ffcb6.png)
返回状态没有报错，使用工具nmap扫描一下端口，可以看到telnet端口已经开启

![](https://www.iotsec-zone.com/images/MdImg/7a5725492b55e64974690e26255b17a4.png)
直接登录telnet，通过百度查询可知账号root密码Fireitup
 
![](https://www.iotsec-zone.com/images/MdImg/623fc30db0598301a67306a3605d05b9.png)
尝试写一个txt文件验证一下

![](https://www.iotsec-zone.com/images/MdImg/8a5a8c53d79ae6d7c29c504cb947fbc5.png)
发现这是一个只读文件系统，最后发现webroot目录是具有写入权限的但是重启之后会被重置

![](https://www.iotsec-zone.com/images/MdImg/e94a0504cb90ee9aa1b4207f899ba4c5.png)

![](https://www.iotsec-zone.com/images/MdImg/63965edd2323f70bd9a4b99e93f10881.png)
我们可以使用tar命令将整个文件系统进行打包带webroot目录下面，在通过授权的访问下载出来整个文件系统

## 0x03.CVE-2020-28095

根据wireless_ssid.js可以看到提交的数据接口为goform/WifiBasicSet

![](https://www.iotsec-zone.com/images/MdImg/a39749d0063f4d60a21bf3e14e36f810.png)
根据IDA的函数名进行搜索WifiBasicSet，可以看到获取传递的值，默认的值为12345678

![](https://www.iotsec-zone.com/images/MdImg/f5f9d140ef1dee59291ea40ebb924756.png)
当wrlPwd的长度超过一定范围时，触发溢出漏洞，从而导致设备进入DOS状态。经测试可知，一旦设备进入到DOS状态只有重置路由器才可以恢复到正常使用状态。

**视频链接：http://mpvideo.qpic.cn/0bc33uacaaaakaaotqqexjrfbxodedoqaiaa.f10002.mp4?dis_k=9af10781f34c9b2e6403d6e004e30adf&dis_t=1644488534&vid=wxv_2263055816461385730&format_id=10002&support_redirect=0&mmversion=false**

举报原因

友情链接