10秒破解某TP-Link路由器后台管理员密码

TP-Link新出的路由器要想登录管理后台，就必须得知道路由器主人初次设置的管理员密码，再也没有什么默认密码了。不过下面这个方法可以无需知道原始密码，秒进TP-Link新版本固件无线路由器。

具体操作过程：

1.任意下载config.bin[路由器配置文件]，例如 http://192.168.1.1/config.bin

2.openssl enc -d -des-ecb -nopad -K 478DA50BF9E3D2CF -in config.bin ，提取配置信息。

3.找到首行 code 区域

authKey 0rZily4W9TefbwK ，此为加密过的用户后台登陆密码。

4.Query.js存在算法BUG.经过研究这段加密字串“0rZily4W9TefbwK”通过用户浏览器运算生成，且存在算法漏洞。

5.加密字串虽不可逆，但存在大量碰撞，即任意字符可生成相同的加密字串。破解文件html网页格式【自行转存】。找个数据库软件，用最后生成的SQL脚本【笛卡尔积】生成的每一组字符串均可登录后台。【网页格式，代码部分另存成网页html文件】

随便选一组登录，Bingo！成功破解！

漏洞的大概原理：

TP设计太奇葩，密码加密算法巨人在客户端完成，直接泄漏算法而且还存在碰撞缺陷，任意字符组合很大几率能碰撞出与登录密码同样加密结果的字符串，所以管你密码是啥我都能进去。

TP-Link（WR842N v4）官方解决方案：

http://service.tp-link.com.cn/detail_download_2043.html

乌云网原文链接：

http://www.wooyun.org/bugs/wooyun-2015-0110062