D-Link DIR601 2.02 - 凭证泄露漏洞总结 漏洞概述 该漏洞存在于 D-Link DIR601 路由器固件 2.02A 中。通过分析 Captcha 功能实现,发现一个 HTTP 请求负责将 发送到客户端代码。进一步检查发现,名为 的参数用于指示后端应用程序返回的内容。通过滥用此请求,可以检索与设备配置和管理员凭证相关的敏感信息。 影响范围 受影响设备: D-Link DIR601 路由器 受影响固件版本: 2.02A 影响类型: 认证绕过 / 凭证泄露 泄露信息: 管理员用户名、密码、无线 SSID 和预共享密钥 修复方案 厂商链接: http://ca.dlink.com/ 支持页面: http://support.dlink.ca/ProductInfo.aspx?m=DIR-601 建议: 更新固件至最新版本,或联系厂商获取补丁 利用代码 (POC)