WooYun.org

主要是看到了之前机器猫提交的这个漏洞

http://**.**.**.**/bugs/wooyun-2010-0204620

很容易复现了，猜测只是简单的弱口令进入后台，然后在设备处越权管理设备。
这次多几处越权，及两个sql注入
合作伙伴看着都挺牛

运营后台

http://**.**.**.**:5118/softac/login.jsp

弱口令，test 123456进去
之前的那个漏洞应该在于设备列表处越权

只需要对id进行遍历就可以对其他非自己的设备进行控制
将id改成176成功访问到了唯实酒店的设备，且可进行任何操作

这个就是刚才说的监听用户浏览记录的功能

，，感觉不太好吧，怎么说我也进了不少wifi站的后台了，这种功能还是第一次见
猜测上个漏洞止步于此
这里再提几个越权。sql注入还在跑，待会写
我们已经知道，test对应的是文津酒店
将此处的id改成1，成功越权到了唯实酒店的用户

可以强制下线用户，加入黑名单，限速等操作
同样的，上网日志，白名单，黑名单，等功能存在相同的越权，这里不一一截图了
还有序列号管理，平台日志，都存在同样的越权问题

看了下，除了在修改管理员信息时候不能越权修改其他管理员之外，其他功能基本都存在越权
接下来是sql注入漏洞
在设备查询的请求中的gid存在sql注入漏洞

sqlmap resumed the following injection point(s) from stored session:
---
Parameter: gid (POST)
    Type: AND/OR time-based blind
    Title: MySQL >= 5.0.12 AND time-based blind (SELECT)
    Payload: gid=00200002' AND (SELECT * FROM (SELECT(SLEEP(5)))znPC) AND 'HuKC'='HuKC&inputBranch=1&name=111&serialNumber=1&ipAddress=1&hardwareVersion=1&softwareVersion=11
---
back-end DBMS: MySQL 5.0.12
available databases [5]:
[*] acside
[*] information_schema
[*] mysql
[*] performance_schema
[*] soofac

root权限
当前的数据库是soofac
读取数据库soofac中的admin_user表

admin账户的密码太复杂了，md5没解开，，其他几个解开了
延时注入实在太慢了
wsds 123456

zcgcjq 123456

zcgcjq1 123456

延时注入太慢了，就不跑有多少设备了，根据之前越权的漏洞，遍历了一下，存在mac的应该就算是存在的路由器，
因此差不多有近3000个路由器

足够证明危害了。
还有一处sql注入存在于数据平台的登陆处

**.**.**.**:9000/bigData/login/index.php?logout

当前的数据库为r2

有61个管理员，读取出来随便进去