文章目录

  • 前言
  • 一、漏洞发现
  • 二、漏洞挖掘
    • 1.简单的爆破
    • 2.文件读取
  • 三、漏洞利用
  • 总结

前言

任意文件读取漏洞,是web安全里高危的漏洞,它可以泄露源码、数据库配置文件等等,导致网站处于极度不安全状态。而这里介绍的是小米路由器的nginx配置文件错误,导致目录穿越漏洞,实现任意文件读取(无需登录)

一、漏洞发现

一次无意间在fofa上冲浪,发现一个可疑ip,点进去发现是小米路由器登录界面,开始尝试去挖掘它的漏洞(简单的测试未做数据破坏等其他恶意行为)

二、漏洞挖掘

1.简单的爆破

直接连Burpsuite,加入字典,发现密码压根不是明文登录,直接换个方向,查看该路由器初始密码,发现为123456,尝试使用加密方式爆破,发现还是不行。到这里我发现压根不能直接获取到,看看能否通过文件读取和下载打开突破口。

2.文件读取

通过查看元素发现为nginx搭建的,可以通过访问

http://domain.cn/xxx../etc/passwd实现目录穿越访问上级目录及其子目录文件。

在小米路由器的文件/etc/sysapihttpd/sysapihttpd.conf中,存在

在小米路由器的文件/etc/sysapihttpd/sysapihttpd.conf中,存在location /api-third-party/download/extdisks {alias /extdisks/;
}

故可以任意文件读取根目录下的所有文件,而且是root权限,如访问http://x.x.x.x/api-third-party/download/extdisks../etc/shadow
会主动下载一个文件
不仅仅可以这样输入还可以

location /backup/log {alias /tmp/syslogbackup/;
}location /api-third-party/download/public {alias /userdisk/data/;
}
location /api-third-party/download/private {alias /userdisk/appdata/;
}

三、漏洞利用

关注两个过程,一是登录时前端js生成http post请求参数过程,二是验证用户登陆的后端过程。
前端js生成http post请求参数过程有
可知

oldPwd = sha1(nonce + sha1(pwd + 'a2ffa5c9be07488bbb04a3a47d3c5f6a'))

登陆请求包为
验证用户登陆的后端过程
需要调用XQSecureUtil.checkUser函数
可构造如下数据包登陆

总结

具体登录进去就不说啦,毕节未经授权的登录是违法的。到这里对于该漏洞的说明就已经讲解完啦,该漏洞大多来源与香港和台湾,大陆也有,当然大家也可以拿到漏洞平台去获得小部分奖励。大陆的基本上都被修复了,这次的漏洞挖掘大家可以去学习和参考。

记一次小米路由器任意文件读取漏洞相关推荐

  1. 小米路由器http文件服务器,小米路由器远程任意文件读取漏洞(CVE-2019-18371)

    ## 远程任意文件读取漏洞(CVE-2019-18371) #### 小米路由器的nginx配置文件错误,导致目录穿越漏洞,实现任意文件读取(无需登录) nginx配置不当可导致目录穿越漏洞, ``` ...

  2. .exp文件_mini_httpd 任意文件读取漏洞(附EXP脚本)

    一.环境搭建: 进入镜像目录: cd vulhub/mini_httpd/CVE-2018-18778 启动环境: docker-compose up -d 访问8088端口 二.漏洞描述: Mini ...

  3. php 打开任意文件下载,TEC-004-php文件下载任意文件读取漏洞修复

    修改download?u参数值,将/public/files/14842030529.txt,替换为../../../../../../../../../../etc/passwd function ...

  4. 安全研究 | Jenkins 任意文件读取漏洞分析

    欢迎大家前往腾讯云+社区,获取更多腾讯海量技术实践干货哦~ 本文由云鼎实验室 发表于云+社区专栏 一.漏洞背景 漏洞编号:CVE-2018-1999002 漏洞等级:高危 Jenkins 7 月 18 ...

  5. gitlab 更新文件_GitLab任意文件读取漏洞公告

    2020年4月28日,GitLab的一个任意文件读取漏洞的漏洞细节被公开.该漏洞补丁于2020年3月26号由GitLab官方发布.深信服安全研究团队依据漏洞重要性和影响力进行评估,作出漏洞通告. 漏洞 ...

  6. phpcms前台注入导致任意文件读取漏洞

    关于:phpcms前台注入导致任意文件读取漏洞的修复问题 简介: phpcms的/phpcms/modules/content/down.php文件中,对输入参数 $_GET['a_k']未进行严格过 ...

  7. Grafana 中存在严重的未授权任意文件读取漏洞,已遭利用

     聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 Grafana Labs 发布紧急安全更新,修复了影响该公司主产品 Grafana 仪表盘中的严重漏洞 (CVE-2021-43798),CVS ...

  8. php mail执行命令,PHPMailer 命令执行 任意文件读取漏洞利用 【含POC】

    PHPMailer 命令执行漏洞(CVE-2016-10033) 漏洞编号:CVE-2016-10033 影响版本:PHPMailer< 5.2.18 漏洞级别: 高危 漏洞POC: PHPMa ...

  9. 银达汇智 智慧综合管理平台 FileDownLoad.aspx 任意文件读取漏洞

    漏洞描述: 银达汇智 智慧综合管理平台 FileDownLoad.aspx 存在任意文件读取漏洞,通过漏洞攻击者可下载服务器中的任意文件. 漏洞利用条件: / 漏洞影响范围: 银达汇智 智慧综合管理平 ...

最新文章

  1. LCD: 2D-3D匹配算法
  2. 解决 macOS 上 iterm2 使用 rz/sz 卡死的问题
  3. 36.迷宫(广度优先搜索)
  4. PMP知识点(三、范围管理)
  5. IOS7使用原生API进行二维码和条形码的扫描
  6. mysql内连接的自连接_mysql 内连接、外连接、自连接
  7. python登录交换机执行命令_如何用Python脚本登录到交换机上修改配置?
  8. 【转载】JS中bind方法与函数柯里化
  9. 90后IT男被准丈母娘拒绝:家境不重要,重要的是…戳中痛处
  10. 测试的目的_盐雾测试的目的是什么
  11. protel 99se 层次原理图的切换
  12. 从Transformer、BERT到GPT2和XLNet:高端玩家如何用论文互怼
  13. MES主要功能模块介绍
  14. 数据库入口和密码:维普、万方和cnki(转)
  15. 如何将腾讯视频下载的qlv文件导入PR中编辑
  16. node.js-day04
  17. STM32使用虚拟示波器
  18. 图像互信息(MI)的计算(Python版本)
  19. R语言并行计算 deviation of null beta diversity(beta多样性零偏差)
  20. 安全服务/渗透测试工程师_面试题之OWASP TOP 10

热门文章

  1. prometheus-community-PushProx介绍
  2. 如何申请试用MaxCompute 2.0
  3. 【计算机网络实验】停止等待ARQ算法模拟(Python实现)
  4. 通过封装接口拿到淘宝店铺订单,淘宝店铺订单解密接口,淘宝店铺订单明文接口,天猫店铺订单明文接口代码展示
  5. [解疑][VS]Visual Studio软件编程时,ID号的格式ID_,IDS_,IDC_,IDI_,IDB_,IDD_之间有什么区别?
  6. 按照字符串长度大小进行升序排列
  7. 【每周一个小技能】WSA 安装
  8. 地位不保?亚马逊接下来要努力争取市场份额!
  9. 百度文心一言推出内测专用独立 App;暴雪回应被网易起诉:未收到相关诉状;iOS 17或支持第三方应用商店 | 极客头条
  10. 新人小白面试软件测试必问