本文作者：à ō é（信安之路移动安全小组组长）

晚上住进了某家酒店，闲来无事，连个 wifi，发现居然没网。

看了一下路由器，电源 ok，网线 ok，灯 ok ，就是网络不 ok。

那么就访问一下 wifi 的管理后台看看，先查看自己电脑 IP，获取网关地址。

访问一下，看到了 wifi 后台的登录页面。

http://192.168.125.1/local/login.html

随便测了一下，发现登录时错误回显不一致，参数值用了 md5 算法加密传输，不过依然可以爆破账号，在这里这个不是重点，就不试了 手工试了了试，没猜出来 ヽ(ー_ー)ノ

发现端倪

抓包时发现，登录的响应包内容是这样的。

<html>
<head>
<title>My Title</title><link rel="stylesheet" href="/style/normal_ws.css"       type="text/css"><meta http-equiv="content-type" content="text/html;       charset=utf-8">
</head>
<body>
status=-1,superuser=-1,session=</body>
</html>

猜测

看到响应包的 这个东西，很容易想到跟 cookie 非常相似。

status=-2,superuser=-1,session=

而且在不登录的情况下，怎么访问登录页面都是没有cookie的。

那么假设它就是(服务器端)返回给客户端(前端)的一个 cookie，看参数名也容易知道一些含义

开始动手

1、开拦截，抓取登录的响应包。

2、修改登录的响应包，如下，然后放行。

3、可以看到它请求了一个 http://192.168.125.1/local/home.asp 页面。看文件名也知道进入到后台的主页了。

4、成功进入，如下：

5、此过程的全部请求

直接来伪造 COOKIE

前提

通过前面的 一顿操作(猛如虎)，结果登录页面不见了。

我们知道了

1、正确的超管用户名 admin

2、后台主页的地址 http://192.168.125.1/local/home.asp

3、正确的 cookie (固定不变的，也是猜出来的) status=1,superuser=1,session=1

见证奇迹的时刻

先访问登录页面，利用 EditThisCookie 插件增加(修改) cookie。如下

然后再访问后台主页 URL

那么我们就进来了

该漏洞的利用思路

首先该漏洞可以到达无需密码登录 wifi 管理后台页面的效果。

其实每个房间都有一个 wifi（路由器），我们可以利用同样的方法去进到别的房间 wifi 的管理后台。进而进行 DNS 劫持，流量监控等。运行好的话，就可以得到一些敏感的东西（如账号密码，交易密码等）。

另外就是进一步对交换机和网管设备进行攻击。

总结

首次发布文章，感觉这个过程挺有意思的就分享出来给大家

使用公共 wifi 的建议

1、尽量不要连公共场合的 wifi，特别是无需密码，无需其他认证的 wifi；

2、连接公共场合的 wifi 时，不要做敏感操作，如登录、交易等操作。

3、对于公共场合(不明来源)的 wifi，关闭自动连接 wifi 的功能；

4、浏览安全的网页，不要点击广告或恶意链接，不要随便扫描二维码。