[原创]阿里blink路由器漏洞分析-智能设备-看雪-安全社区|安全招聘|kanxue.com

[原创]阿里blink路由器漏洞分析

发表于: 2016-6-12 17:38 21654

[原创]阿里blink路由器漏洞分析

光棍节

2016-6-12 17:38

21654

必联公司的wr4000云路由器是阿里智能家居系列的一款产品，目前已经有超过5万人正在使用。通过本文中的方法分析官网提供的更新固件，我们找到了两个典型的漏洞。
1、认证绕过之管理员密码重置。在动态测试的结果显示我们可以在未登录路由器的情况下直接访问protomimacol.csp文件，通过构造请求链接9adK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0p5$3i4K6u0W2x3g2)9J5c8Y4m8J5L8%4c8G2L8h3W2E0j5h3y4G2L8q4)9J5k6h3y4K6M7q4)9K6c8X3k6F1j5h3#2W2i4K6y4p5M7%4W2K6N6r3g2E0i4K6t1$3L8%4m8@1i4K6y4p5L8r3!0Y4K9h3&6Q4y4h3k6S2j5$3y4G2N6h3&6@1i4K6t1$3k6Y4g2F1j5%4c8A6L8$3&6Q4x3@1c8K6k6i4c8Q4x3U0k6#2M7$3g2J5i4K6y4p5j5h3c8E0K9h3&6Q4x3U0k6H3j5i4y4K6N6$3!0J5k6q4)9K6c8r3q4V1L8h3W2F1x3e0t1K6i4@1f1#2i4@1t1H3i4@1t1I4i4@1f1#2i4K6S2r3i4@1q4r3i4@1f1@1i4@1u0n7i4@1p5#2i4@1f1&6i4K6R3%4i4K6S2p5i4@1f1%4i4@1u0p5i4@1q4q4N6i4y4W2M7W2!0q4y4g2!0m8c8q4)9&6y4#2!0q4y4W2!0m8c8g2!0n7y4g2!0q4z5q4!0m8x3g2!0m8z5q4!0q4y4#2!0m8y4q4!0n7b7g2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2)9&6y4q4!0m8z5q4!0q4y4W2)9^5z5q4!0n7y4#2!0q4y4#2)9&6b7g2)9^5y4q4!0q4y4#2)9&6z5g2!0n7b7W2!0q4y4g2!0n7c8q4)9&6y4g2!0q4y4g2!0m8c8W2)9^5y4W2!0q4y4#2!0m8x3q4)9^5x3g2!0q4y4q4!0n7z5q4!0n7b7i4m8S2M7%4y4%4L8%4u0V1i4@1f1#2i4@1q4p5i4K6V1%4i4@1f1$3i4@1q4q4i4@1t1#2i4@1f1#2i4K6R3H3i4@1u0o6i4@1f1K6i4K6R3H3i4K6R3J5
2、认证绕过之内外网端口映射。动态测试的结果显示用户可以在未登录路由器的情况下直接访问protocol.csp文件，通过人工构造请求链接918K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0p5$3i4K6u0W2x3g2)9J5c8Y4m8J5L8%4c8G2j5$3!0D9i4K6u0W2j5%4y4H3i4K6y4r3k6X3&6S2L8h3g2Q4x3@1c8F1k6i4c8Q4x3U0k6G2M7s2c8Q4x3@1c8Z5L8%4y4@1i4K6g2X3L8X3q4@1i4K6t1$3k6Y4g2F1j5%4c8A6L8$3&6Q4x3@1c8K6k6i4c8Q4x3U0k6E0j5h3y4Q4x3@1b7H3x3q4)9K6b7e0l9#2i4K6y4m8y4f1c8Q4x3@1p5$3x3q4)9K6b7e0M7^5i4K6y4m8x3@1g2Q4x3U0k6S2j5%4c8Q4x3@1c8S2k6r3c8Q4x3U0k6G2N6i4c8Q4y4h3k6H3L8%4u0@1i4K6y4p5z5o6m8Q4x3U0k6A6L8W2)9#2k6Y4m8G2M7Y4c8Q4x3@1b7^5x3q4)9J5y4Y4m8J5L8%4c8G2i4K6y4p5x3#2)9J5y4X3g2F1j5h3u0D9k6g2)9K6c8o6q4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7U0m8Q4b7U0q4Q4c8e0g2Q4z5p5k6Q4b7f1k6Q4c8e0c8Q4b7V1u0Q4b7e0g2Q4c8e0N6Q4b7f1q4Q4z5o6q4Q4c8e0N6Q4b7e0m8Q4b7U0c8Q4c8e0S2Q4b7U0N6Q4b7f1k6Q4c8e0N6Q4z5e0c8Q4b7U0q4Q4c8e0g2Q4z5e0W2Q4b7e0S2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0g2Q4b7U0q4Q4z5p5k6Q4c8e0W2Q4z5f1q4Q4z5f1y4Q4c8f1k6Q4b7V1y4Q4z5p5y4Q4c8e0g2Q4b7f1g2Q4z5f1g2Q4c8e0N6Q4z5p5g2Q4b7U0m8Q4c8e0c8Q4b7V1u0Q4z5p5g2Q4c8e0c8Q4b7V1q4Q4z5e0u0Q4c8e0S2Q4z5o6q4Q4z5e0c8Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0S2Q4b7V1k6Q4z5f1u0Q4c8e0g2Q4z5o6g2Q4b7e0g2Q4c8e0g2Q4z5o6S2Q4b7U0m8Q4c8e0g2Q4b7U0q4Q4z5o6m8Q4c8e0g2Q4z5f1k6Q4z5f1k6Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0c8Q4b7U0S2Q4b7V1u0Q4c8e0g2Q4z5p5q4Q4b7e0S2Q4c8e0S2Q4b7V1k6Q4z5f1g2Q4c8e0k6Q4z5p5g2Q4b7e0g2Q4c8e0y4Q4z5o6m8Q4z5o6u0Q4c8e0g2Q4z5o6g2Q4b7U0k6Q4c8e0c8Q4b7U0S2Q4b7f1c8E0j5h3y4Q4c8e0g2Q4b7f1c8Q4z5e0N6Q4c8e0k6Q4b7f1g2Q4b7U0g2Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0g2Q4b7U0q4Q4z5o6m8Q4c8e0g2Q4z5f1k6Q4z5f1k6Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8e0W2Q4z5o6y4Q4b7e0S2Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0S2Q4b7e0u0Q4b7f1u0Q4c8e0k6Q4z5e0S2Q4b7e0m8Q4c8e0g2Q4b7U0m8Q4z5o6c8Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0c8Q4b7U0S2Q4b7V1u0Q4c8e0k6Q4z5f1y4Q4b7V1q4E0j5h3y4Q4c8e0g2Q4z5f1y4Q4b7U0m8Q4c8e0g2Q4z5f1c8Q4z5o6m8Q4c8f1k6Q4b7V1y4Q4z5p5y4A6L8W2)9#2k6Y4m8G2M7Y4c8Q4c8e0g2Q4b7f1c8Q4z5e0N6Q4c8e0k6Q4b7f1g2Q4b7U0g2Q4c8e0k6Q4z5e0S2Q4b7f1k6Q4c8e0g2Q4b7U0q4Q4z5o6m8Q4c8e0g2Q4z5f1k6Q4z5f1k6Q4c8e0N6Q4b7V1c8Q4z5e0q4Q4c8e0g2Q4z5o6k6Q4z5o6g2Q4c8e0S2Q4b7e0u0Q4b7f1u0Q4c8e0k6Q4z5e0S2Q4b7e0m8Q4c8e0g2Q4b7U0m8Q4z5o6c8Q4c8e0c8Q4b7U0S2Q4b7V1u0Q4c8e0k6Q4z5f1y4Q4b7V1q4Q4c8e0N6Q4z5f1q4Q4z5o6c8Q4c8e0N6Q4b7f1u0Q4b7f1k6Q4c8e0g2Q4z5p5k6Q4b7e0y4Q4c8f1k6Q4b7V1y4Q4z5p5y4G2N6i4c8Q4y4h3k6H3L8%4u0@1i4@1f1$3i4K6V1^5i4@1q4r3i4@1f1^5i4@1t1%4i4@1q4r3i4@1f1%4i4K6V1@1i4@1t1I4i4@1f1#2i4K6V1&6i4@1p5^5i4@1f1#2i4@1u0o6i4K6R3H3i4@1f1$3i4K6V1@1i4@1u0q4i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1%4i4K6W2n7i4@1t1^5i4@1f1#2i4@1q4r3i4@1t1&6i4@1f1#2i4@1u0m8i4K6V1@1i4@1f1%4i4K6W2m8i4K6R3@1i4@1f1^5i4@1u0p5i4@1q4o6i4@1f1#2i4K6S2r3i4K6V1I4i4@1f1%4i4@1q4n7i4@1q4r3i4@1f1#2i4K6S2r3i4@1p5K6i4@1g2r3i4@1u0o6i4K6S2o6M7s2u0G2N6r3!0Q4c8e0c8Q4b7U0S2Q4b7V1p5K6i4@1f1^5i4@1p5I4i4@1p5^5i4@1f1%4i4@1p5@1i4@1u0m8i4@1f1$3i4@1q4p5i4@1p5@1i4@1f1%4i4@1q4n7i4@1q4r3i4@1f1#2i4K6S2r3i4@1p5K6i4@1f1$3i4K6V1^5i4@1p5H3i4@1f1#2i4@1t1H3i4K6R3@1i4@1f1$3i4K6V1@1i4@1q4r3i4@1f1$3i4K6S2o6i4K6R3I4N6r3y4H3i4@1f1#2i4K6V1J5i4K6S2o6N6h3c8H3i4@1f1#2i4K6S2p5i4K6S2r3i4@1f1^5i4@1q4q4i4@1q4q4i4@1f1K6i4K6R3H3i4K6R3J5

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

收藏・2

免费・3

支持

最新回复 (17)
Arcade 雪币： 90 活跃值： (383) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 2 楼分析的过程呢？ 2016-6-12 19:29 0
光棍节雪币： 92 活跃值： (154) 能力值： ( LV8，RANK：135 ) 在线值：发帖 10 回帖 96 粉丝 2 关注私信	光棍节 2 3 楼抓一下所有的数据包，然后重放就得到了 2016-6-13 10:35 0
星际侠盗雪币： 168 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 72 粉丝 0 关注私信	星际侠盗 4 楼认真点写呗。 2016-6-13 11:06 0
FckTheDog 雪币： 112 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	FckTheDog 5 楼写得也算清楚了，主要是web功能没有任何校验啊。 2016-6-13 11:26 0
ohyeath 雪币： 202 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	ohyeath 1 6 楼这个竟然都没有给精？这要是原创，就是公开了一个漏洞好吧，虽然使用面不够广。 2016-7-18 09:01 0
shuozhang 雪币： 86 活跃值： (1900) 能力值： ( LV7，RANK：150 ) 在线值：发帖 10 回帖 52 粉丝 5 关注私信	shuozhang 2 7 楼好帖 2016-7-31 16:27 0
ycmint 雪币： 1149 活跃值： (1033) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 894 粉丝 12 关注私信	ycmint 5 8 楼 ==..... 这种肯定不能给好不好，你得写清楚啊... 两句话就能说明你有漏洞，那也太简单了 2016-7-31 17:02 0
kernelry 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	kernelry 9 楼看帖回帖，虽然我不懂，但是我在学习~ 2016-8-1 14:01 0
gowabby 雪币： 414 活跃值： (691) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 3 关注私信	gowabby 10 楼感觉有意思要详细点就更好了 2016-8-1 15:24 0
光棍节雪币： 92 活跃值： (154) 能力值： ( LV8，RANK：135 ) 在线值：发帖 10 回帖 96 粉丝 2 关注私信	光棍节 2 11 楼说实话，漏洞的东西有时候就是很简单的，利用起来就是那么回事。。。。不知道怎么写详细 2016-8-7 08:31 0
gjden 雪币： 6802 活跃值： (4480) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 293 关注私信	gjden 14 12 楼可以把你是如何找到这个漏洞的过程写下来，分享你发现的方法等等，外国人喜欢把自己分析过程中遇到问题，如何解决的，甚至是当时的心情都记录下来，既可以给自己的技术经历留下记录，也可以影响更多的人。 2016-8-26 16:00 0
kanxue 雪币： 58782 活跃值： (21905) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 613 关注私信	kanxue 8 13 楼是的，把成长经历用文字记录下，是一件很快乐的事！ 2016-8-26 19:11 0
星际侠盗雪币： 168 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 72 粉丝 0 关注私信	星际侠盗 14 楼写好文章也是一种能力。 2016-8-27 04:16 0
光棍节雪币： 92 活跃值： (154) 能力值： ( LV8，RANK：135 ) 在线值：发帖 10 回帖 96 粉丝 2 关注私信	光棍节 2 15 楼现在已经忘了当时的感觉了，哈哈 2016-8-27 09:36 0
ohyeath 雪币： 202 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	ohyeath 1 16 楼他写的已经非常清楚了，我没有环境，没有实验，但从他说的情况看，明显是对修改口令的过程没有进行认证审核的一个漏洞。他的过程，推测是在记录了修改口令的数据流，然后直接在没有登录的情况下试用，结果也可以修改。我认为他自己回复的对，漏洞这东西，有时候就是很简单的东西（重点在有时候），就是没有分析国产化太多规律来遵循而已，对这个分析有效，对那个分析无效，需要很多耐心和精力。 2016-11-8 21:41 0
光棍节雪币： 92 活跃值： (154) 能力值： ( LV8，RANK：135 ) 在线值：发帖 10 回帖 96 粉丝 2 关注私信	光棍节 2 17 楼你是高手 2016-11-11 09:10 0
ohyeath 雪币： 202 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	ohyeath 1 18 楼你能发现漏洞，还是硬件组成员，才是真正的高手。 2016-11-16 16:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

光棍节

发帖

回帖

135

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (17)
Arcade 雪币： 90 活跃值： (383) 能力值： ( LV2，RANK：10 ) 在线值：发帖 8 回帖 117 粉丝 0 关注私信	Arcade 2 楼分析的过程呢？ 2016-6-12 19:29 0
光棍节雪币： 92 活跃值： (154) 能力值： ( LV8，RANK：135 ) 在线值：发帖 10 回帖 96 粉丝 2 关注私信	光棍节 2 3 楼抓一下所有的数据包，然后重放就得到了 2016-6-13 10:35 0
星际侠盗雪币： 168 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 72 粉丝 0 关注私信	星际侠盗 4 楼认真点写呗。 2016-6-13 11:06 0
FckTheDog 雪币： 112 活跃值： (12) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 42 粉丝 0 关注私信	FckTheDog 5 楼写得也算清楚了，主要是web功能没有任何校验啊。 2016-6-13 11:26 0
ohyeath 雪币： 202 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	ohyeath 1 6 楼这个竟然都没有给精？这要是原创，就是公开了一个漏洞好吧，虽然使用面不够广。 2016-7-18 09:01 0
shuozhang 雪币： 86 活跃值： (1900) 能力值： ( LV7，RANK：150 ) 在线值：发帖 10 回帖 52 粉丝 5 关注私信	shuozhang 2 7 楼好帖 2016-7-31 16:27 0
ycmint 雪币： 1149 活跃值： (1033) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 894 粉丝 12 关注私信	ycmint 5 8 楼 ==..... 这种肯定不能给好不好，你得写清楚啊... 两句话就能说明你有漏洞，那也太简单了 2016-7-31 17:02 0
kernelry 雪币： 5 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 7 粉丝 0 关注私信	kernelry 9 楼看帖回帖，虽然我不懂，但是我在学习~ 2016-8-1 14:01 0
gowabby 雪币： 414 活跃值： (691) 能力值： ( LV2，RANK：10 ) 在线值：发帖 5 回帖 22 粉丝 3 关注私信	gowabby 10 楼感觉有意思要详细点就更好了 2016-8-1 15:24 0
光棍节雪币： 92 活跃值： (154) 能力值： ( LV8，RANK：135 ) 在线值：发帖 10 回帖 96 粉丝 2 关注私信	光棍节 2 11 楼说实话，漏洞的东西有时候就是很简单的，利用起来就是那么回事。。。。不知道怎么写详细 2016-8-7 08:31 0
gjden 雪币： 6802 活跃值： (4480) 能力值： (RANK：600 ) 在线值：发帖 33 回帖 447 粉丝 293 关注私信	gjden 14 12 楼可以把你是如何找到这个漏洞的过程写下来，分享你发现的方法等等，外国人喜欢把自己分析过程中遇到问题，如何解决的，甚至是当时的心情都记录下来，既可以给自己的技术经历留下记录，也可以影响更多的人。 2016-8-26 16:00 0
kanxue 雪币： 58782 活跃值： (21905) 能力值： (RANK：350 ) 在线值：发帖 2384 回帖 17068 粉丝 613 关注私信	kanxue 8 13 楼是的，把成长经历用文字记录下，是一件很快乐的事！ 2016-8-26 19:11 0
星际侠盗雪币： 168 活跃值： (100) 能力值： ( LV2，RANK：10 ) 在线值：发帖 15 回帖 72 粉丝 0 关注私信	星际侠盗 14 楼写好文章也是一种能力。 2016-8-27 04:16 0
光棍节雪币： 92 活跃值： (154) 能力值： ( LV8，RANK：135 ) 在线值：发帖 10 回帖 96 粉丝 2 关注私信	光棍节 2 15 楼现在已经忘了当时的感觉了，哈哈 2016-8-27 09:36 0
ohyeath 雪币： 202 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	ohyeath 1 16 楼他写的已经非常清楚了，我没有环境，没有实验，但从他说的情况看，明显是对修改口令的过程没有进行认证审核的一个漏洞。他的过程，推测是在记录了修改口令的数据流，然后直接在没有登录的情况下试用，结果也可以修改。我认为他自己回复的对，漏洞这东西，有时候就是很简单的东西（重点在有时候），就是没有分析国产化太多规律来遵循而已，对这个分析有效，对那个分析无效，需要很多耐心和精力。 2016-11-8 21:41 0
光棍节雪币： 92 活跃值： (154) 能力值： ( LV8，RANK：135 ) 在线值：发帖 10 回帖 96 粉丝 2 关注私信	光棍节 2 17 楼你是高手 2016-11-11 09:10 0
ohyeath 雪币： 202 活跃值： (40) 能力值： ( LV5，RANK：60 ) 在线值：发帖 3 回帖 49 粉丝 0 关注私信	ohyeath 1 18 楼你能发现漏洞，还是硬件组成员，才是真正的高手。 2016-11-16 16:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复