ESP8266 wifi killer固件漢化版web ui界面wifi名字存在xss注入

一谐岁、漏洞簡介

了解無線安全的同學應(yīng)該都知道基于ESP8266的wifi killer固件骡湖,可以用來輔助無線滲透測試,其自帶了一個web管理界面莫换,其中有一個wifi ap列表霞玄,就是這個列表存在xss注入骤铃。

ESP8266大概長這個樣子,我買的是可以用micro usb線連接電腦的坷剧,那個xss漏洞就在這玩意兒里面:

img

此漏洞僅存在于wifi killer張館長漢化版惰爬,審計過官方原版的代碼發(fā)現(xiàn)是沒有此漏洞的,影響范圍較小惫企,并且難以利用撕瞧,故公開。

二狞尔、挖洞過程

買了個ESP8266丛版,讓店家給刷好wifi killer固件郵過來的,午休的時候在辦公室想體驗一下偏序,剛拿出手機查看wifi列表注意到有個wifi名字類似于下面這種的:

root <img />

具體名字我記不得了页畦,大概就是這種模式,我覺得挺有意思的禽车,估計這是哪位巨佬在測試wifi名注入嗎寇漫?

然后我就想到wifi killer的web界面上也有一個wifi ap列表,于是便想試試那個列表是不是能夠被注入殉摔,當我在wifi killer的管理界面上切換到wifi ap列表的時候州胳,我發(fā)現(xiàn)這個熱點的wifi名字只顯示出了前面的root?

雖然我反應(yīng)比較遲鈍逸月,但是也馬上意識到了wifi名字這里有一個xss注入漏洞栓撞,接下來就是慢慢去測試payload確認一下到底能不能搞。

最開始的時候使用

<script>alert(/xss/)</script>

這種形式去測試的碗硬,但是卻并沒有生效瓤湘,于是就去看了它前端的代碼,發(fā)現(xiàn)是在js中拼接wifi名字然后通過innerHTML設(shè)置的到頁面上的:

img

通過這種方式設(shè)置的script并不會被加載執(zhí)行恩尾,但是可以通過設(shè)置一個img標簽觸發(fā)其error來繞過執(zhí)行js弛说,payload如下:

<img src=x onerror='alert(/!/)'>

用手機開個熱點,熱點的名字用上面這個payload:

img

然后再在wifi killer的管理界面刷新wifi列表翰意,成功使用wifi名字觸發(fā)了彈窗:

img

但是wifi的名字木人,也就是SSID,協(xié)議規(guī)定了它不能超過32位冀偶,這就很尷尬醒第,幾乎沒有利用空間,最簡單的payload就快占滿了...

請教了303大佬有沒有什么好的利用方案:

img

成吧进鸠,好歹也算是個利用方式稠曼,這樣當我發(fā)現(xiàn)我的wifi列表中出現(xiàn)wifi killer默認的熱點名字zhangguanzhang的時候,我就啟動一個payload熱點客年,不圖別的霞幅,我就是嚇嚇他....畢竟我也做不了別的漠吻,啊哈哈哈哈

三、官方原版是如何做的呢

后來我還去看了原版的wifi killer的這部分邏輯:
https://github.com/SpacehuhnTech/esp8266_deauther/blob/v2/web_interface/js/scan.js
它的源代碼里是有轉(zhuǎn)義的:

img

跟進去看一下轉(zhuǎn)義:

img

人家對尖括號進行了轉(zhuǎn)義司恳。

四侥猩、總結(jié)

以后凡是用戶輸入回顯在頁面的字段都試一試,審計一下相關(guān)代碼抵赢,萬一有注入呢...
如果不是辦公室那個奇怪的熱點名字提醒了我欺劳,我可能就與這個雞肋的xss擦肩而過了...感謝那位不知道名字的好心人!

?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 序言:七十年代末铅鲤,一起剝皮案震驚了整個濱河市划提,隨后出現(xiàn)的幾起案子,更是在濱河造成了極大的恐慌邢享,老刑警劉巖鹏往,帶你破解...
    沈念sama閱讀 217,542評論 6 504
  • 序言:濱河連續(xù)發(fā)生了三起死亡事件,死亡現(xiàn)場離奇詭異骇塘,居然都是意外死亡伊履,警方通過查閱死者的電腦和手機,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 92,822評論 3 394
  • 文/潘曉璐 我一進店門款违,熙熙樓的掌柜王于貴愁眉苦臉地迎上來唐瀑,“玉大人,你說我怎么就攤上這事插爹『謇保” “怎么了?”我有些...
    開封第一講書人閱讀 163,912評論 0 354
  • 文/不壞的土叔 我叫張陵赠尾,是天一觀的道長力穗。 經(jīng)常有香客問我,道長气嫁,這世上最難降的妖魔是什么当窗? 我笑而不...
    開封第一講書人閱讀 58,449評論 1 293
  • 正文 為了忘掉前任,我火速辦了婚禮寸宵,結(jié)果婚禮上崖面,老公的妹妹穿的比我還像新娘。我一直安慰自己邓馒,他們只是感情好嘶朱,可當我...
    茶點故事閱讀 67,500評論 6 392
  • 文/花漫 我一把揭開白布蛾坯。 她就那樣靜靜地躺著光酣,像睡著了一般。 火紅的嫁衣襯著肌膚如雪脉课。 梳的紋絲不亂的頭發(fā)上救军,一...
    開封第一講書人閱讀 51,370評論 1 302
  • 那天财异,我揣著相機與錄音,去河邊找鬼唱遭。 笑死戳寸,一個胖子當著我的面吹牛,可吹牛的內(nèi)容都是我干的拷泽。 我是一名探鬼主播疫鹊,決...
    沈念sama閱讀 40,193評論 3 418
  • 文/蒼蘭香墨 我猛地睜開眼,長吁一口氣:“原來是場噩夢啊……” “哼司致!你這毒婦竟也來了拆吆?” 一聲冷哼從身側(cè)響起,我...
    開封第一講書人閱讀 39,074評論 0 276
  • 序言:老撾萬榮一對情侶失蹤脂矫,失蹤者是張志新(化名)和其女友劉穎枣耀,沒想到半個月后,有當?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體庭再,經(jīng)...
    沈念sama閱讀 45,505評論 1 314
  • 正文 獨居荒郊野嶺守林人離奇死亡捞奕,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,722評論 3 335
  • 正文 我和宋清朗相戀三年,在試婚紗的時候發(fā)現(xiàn)自己被綠了拄轻。 大學時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片颅围。...
    茶點故事閱讀 39,841評論 1 348
  • 序言:一個原本活蹦亂跳的男人離奇死亡,死狀恐怖恨搓,靈堂內(nèi)的尸體忽然破棺而出谷浅,到底是詐尸還是另有隱情,我是刑警寧澤奶卓,帶...
    沈念sama閱讀 35,569評論 5 345
  • 正文 年R本政府宣布一疯,位于F島的核電站,受9級特大地震影響夺姑,放射性物質(zhì)發(fā)生泄漏墩邀。R本人自食惡果不足惜,卻給世界環(huán)境...
    茶點故事閱讀 41,168評論 3 328
  • 文/蒙蒙 一盏浙、第九天 我趴在偏房一處隱蔽的房頂上張望眉睹。 院中可真熱鬧,春花似錦废膘、人聲如沸竹海。這莊子的主人今日做“春日...
    開封第一講書人閱讀 31,783評論 0 22
  • 文/蒼蘭香墨 我抬頭看了看天上的太陽斋配。三九已至,卻和暖如春,著一層夾襖步出監(jiān)牢的瞬間艰争,已是汗流浹背坏瞄。 一陣腳步聲響...
    開封第一講書人閱讀 32,918評論 1 269
  • 我被黑心中介騙來泰國打工, 沒想到剛下飛機就差點兒被人妖公主榨干…… 1. 我叫王不留甩卓,地道東北人鸠匀。 一個月前我還...
    沈念sama閱讀 47,962評論 2 370
  • 正文 我出身青樓,卻偏偏與公主長得像逾柿,于是被迫代替她去往敵國和親缀棍。 傳聞我的和親對象是個殘疾皇子,可洞房花燭夜當晚...
    茶點故事閱讀 44,781評論 2 354

推薦閱讀更多精彩內(nèi)容