linda

漏洞概要
缺陷编号：        WooYun-2015-122413
漏洞标题：        爱快流控路由最新版(iKuai8_2.4.4_Build20150604-17_41)固件漏洞挖掘分析之一
相关厂商：        爱快免费流控路由
漏洞作者：        Bear baby
提交时间：        2015-06-24 10:35
公开时间：        2015-09-22 11:32
漏洞类型：        非授权访问
危害等级：        高
自评Rank：        15
漏洞状态： 厂商已经确认
漏洞来源：        http://www.wooyun.org
Tags标签： 无

漏洞详情披露状态：
2015-06-24：        细节已通知厂商并且等待厂商处理中
2015-06-24：        厂商已经确认，细节仅向厂商公开
2015-06-27：        细节向第三方安全合作伙伴开放
2015-08-18：        细节向核心白帽子及相关领域专家公开
2015-08-28：        细节向普通白帽子公开
2015-09-07：        细节向实习白帽子公开
2015-09-22：        细节向公众公开

简要描述：固件版本：iKuai8_2.4.4_Build20150604-17_41
固件下载地址：http://patch.ikuai8.com/iso/iKuai8_2.4.4_Build20150604-17_41.iso

分析使用到的工具：EditPlus、DreamWeaver、Zend Studio、Ida Pro 6.1、BeyondCompare、Fiddler、中国菜刀、Kali、VisualStudio2010、vmware11等

注：本文基于逆向获取到的源文件进行分析。

详细说明：

1、        绕过验证登陆后台

爱快流控路由使用的是CodeIgniter框架，版本1.0。数据库sqllite。

“CodeIgniter 是一个简单快速的PHP MVC框架。EllisLab 的工作人员发布了 CodeIgniter。许多企业尝试体验过所有 PHP MVC 框架之后，CodeIgniter 都成为赢家，主要是由于它为组织提供了足够的自由支持，允许开发人员更迅速地工作。”

登陆页面的功能代码在/application/controllers/login.php

登陆验证功能代码如下：



最终是通过ikGet执行sql语句，ikGet是封装so文件里面，位置：usr\lib\php\libikphp.so





libikphp.so主要对数据库查询、调用命令等功能进行封装。

整个查询的SQL语句大概像下面的语句：




接下来我们来简单的验证一下

先来个不存在用户

1)用户名：1 密码：1
。。。

再来个注入语句

2)用户名：...

...

成功绕过验证进入后台





漏洞证明：



修复方案：严格过滤。。。相信你们应该有经验了。

预知后事如何 请听下回分解

版权声明：转载请注明来源 Bear baby@乌云

漏洞回应
厂商回应：
危害等级：高
漏洞Rank：20
确认时间：2015-06-24 11:30
厂商回复：熊宝同志和疯狗老板都来关注，受宠若惊+web同事疯狂受虐中，正在修复中，非常感谢白帽子和乌云平台，熊宝联系方式来一个，小礼物快递送出，等我虐完web的同事马上给您快递
最新状态：暂无

原文：http://www.wooyun.org/bugs/wooyun-2015-0122413