0×00 固件发布站弱口令+sql注入

fir302b的板子还是比较友好的，拆开能直接看到GND TX RX VCC，虽然没有针脚。
我手头只有一块ttl开发板和三根杜邦线,直接连上UART：

自检结束后,能看到两处post请求,把当前的设备指纹信息、终端账号密码、云账号密码发送到了一个地址

这个url是一个固件发布站，后台存在弱口令

在查询工号处存在注入

昨天测试的时候，发现还有个spring框架的任意文件读取漏洞，今天已经修了

0×01 固件发布站SOAP-based blind xxe

抓路由器的数据包看一下完整的请求

这里是因为用的交换机，直接混杂模式抓不到包

那么扫上层网段得到路由器IP，然后找到网关，双向欺骗后，重启路由器，tcpdump抓包，等待路由器自检结束

wireshark过滤http请求得到完整数据包

发现能自定义DTD，能加载外部实体：

那么 读一下/var/log/messages

0×02 认证会话劫持漏洞

说起来这算是为了防御arp嗅探泄露cookie而产生的一种漏洞
简单的测试了一下，deauth中断client连接后,session没有立即失效，伪造client mac地址即可进入路由器

几乎是全站静态,密码base64后硬编码在页面中

0×03 广告

此外，影武者实验室长期招猥琐的渗透测试，有经验的安全研究员，以及激灵的小鲜肉实习生。有兴趣请联hr@moresec.cn。

转载自：黑客与极客