关键漏洞信息 设备详情 厂商: ActionTec (Telus品牌,但可能适用于其他类似型号) 型号: T2200H 受影响的固件: T2200H-31.128L.03 设备手册: http://static.telus.com/common/cms/files/internet/telus_t2200h_user_manual.pdf 发现概要 报告日期: 2015年11月 状态: 已修复(通过新发布的固件版本) CVE编号: 未提供(因为问题已通过供应商推送的更新修复) 漏洞详情 获取root shell: 只需攻击者拥有在设备web UI的登录权限,通过设备序列号可以重置已知密码(前提是没有更改默认密码)。 可修改的固件分区: 存在两个可读写挂载和修改的固件分区(/dev/mtdblock0 和 /dev/mtdblock1),可用来升级固件,保存系统状态,使网络 provisional报告不会失效。 TR-069设置: 可修改以不检查至管理系统,意味着不刷机便不可能接收未来更新。 利用方式 运行单命令shell: - 在“Advanced Setup > Samba Configuration”模块的“Username”和“Password”字段输入 . - 使用/drive通过USB端口连接WIN CMD执行命令。 获取逆向root shell: - 通过Python代码创建FIFO管道,利用pipe和/bin/sh回传shell给监听netcat的设备。步骤包括: 1. 在本地创建一个netcat监听。 2. 使用Python代码让用户通过web-ui成功登录后运行上述python代码。 其他发现: - 可挂载和读写root文件系统和分区2。 - 可通过修改 和 文件,实现不限制进入网页功能、启用telnet、并允许修改固件flash和TR-069配置和其他选项。