记一次对天翼安全网关的渗透

起因听大师傅说天翼安全网关可以telnet登录，回去尝试了下发现并没有开放telnet端口，把目标转向如何开启，经过一系列搜索，最后拿下网关。信息泄露我家这个网关型号是 HG261GS，经过一番搜索，发现访问 http://192.168.1.1/cgi-bin/baseinfoSet.cgi可以拿到密码然后搜索密码的加密方式，得到工程账号的密码，加密算法为加密算法：字母转换为其ASCII码+4，数字直接就是ASCII码之后登录命令执行在后台转了一圈没发现开启telnet的地方，经过一番搜索，找到这个版本存在命令执行的问题，访问http://192.168.1.1/cgi-bin/telnet.cgi通过InputCmd参数可以直接执行系统命令，然后访问http://192.168.1.1/cgi-bin/telnet_output.log可以看到执行结果，通过js下的telnet.js也可以访问http://192.168.1.1/cgi-bin/submit.cgi得到执行结果测试一下效果结果这样就找到了个rce点，开始的想法是反弹shell，后来 ………………………………