CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

最新推荐文章于 2024-05-23 21:25:20 发布
最新推荐文章于 2024-05-23 21:25:20 发布
阅读量2.7k 收藏 2
点赞数

漏洞简介

· OpenWrt LuCI是一款用于OpenWrt(Linux发行版)的图形化配置界面。

· OpenWrt LuCI 0.10及之前版本中的admin/status/realtime/bandwidth_status和admin/status/realtime/wireless_status端点存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。

环境搭建

· 由于OpenWrt中自带LuCI,只需要使用虚拟机正常运行OpenWrt即可,在这里使用VMware运行OpenWrt虚拟机。

· OpenWrt版本:Chaos Calmer OpenWrt 15.05.1

· 下载地址:https://archive.openwrt.org/chaos_calmer/15.05.1/x86/generic/openwrt-15.05.1-x86-generic-combined-ext4.img.gz
安装成功后成功访问LuCI主页:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

设置登陆密码后成功登陆:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

为了直接分析LuCI源码,在虚拟机中找到LuCI的地址并使用tar打包:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

由于openwrt中没有文件下载工具,而LuCI已经把目录映射了,直接将打包文件移动至http映射目录下,走http下载LuCI源码:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

POC

传入Payload: http://192.168.153.4/cgi-bin/luci/admin/status/realtime/bandwidth_status/eth0$(id>cmd)

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

成功执行命令:PHP大马

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

漏洞分析

· LuCI采用了典型的MVC三层架构,并使用Lua脚本开发;在解析请求时,首先进入admin/status.lua中的controller入口进行路由,然后调用相应的model进行处理。
而漏洞的触发点是在controller的bandwidth_status函数中,该函数将用户传入的字符串直接格式化到命令中并执行,造成了RCE。

· 代码具体执行过程如下: 使用HTTP访问路径/admin/status/realtime/bandwidth_status(或wireless_status)/[param],首先进入index entry进行路由,在路由中使用dispatcher的call函数调用了action_bandwidth函数: Controller/index.lua:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

dispatcher.lua中的call函数:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

然后,进入action_bandwidth函数,url解析路由之后的部分将被当做参数传入,未过滤而使用%q直接将参数格式化到字符串中。%q将在iface外包裹双引号。
使用io.popen执行命令,在bash下,双引号中的$()或“会执行,从而达到命令执行的目的:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

此处相当于执行命令:sh -c luci-bwc –i “eth0$(id>cmd)” 2>/dev/null:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

使用EXP执行ping命令后,可以在openwrt下查看到执行的命令:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

exp脚本

脚本已上传:https://github.com/HACHp1/LuCI_RCE_exp 执行效果:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

斜杠绕过

在执行的命令中需要斜杠(/)时,由于路径解析的问题,斜杠无法使用,此时可以考虑使用bash内置变量来代替。

遇到的坑

· 最开始的时候考虑使用${HOME:0:1}来替代。然后发现并不能成功。但是直接在命令行中、重新开一个lua脚本执行、直接在lua交互处执行却都可以执行。

· 最后发现问题竟然是在LuCI中$HOME变量没有值,但是在正常情况是有值的,在此处卡的时间很长。

解决办法

在LuCI中,${PATH:0:1}是没有被更改的,可以直接使用。测试payload为:ls ${PATH:0:1}。

漏洞修复方案分析

查看源码修复漏洞的地方,新的源码使用gsub将iface中的单引号去掉,并在最外层加上了单引号,这样整个iface参数就仅作为字符串而不会被执行:奇热影视

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

在源码中输出一下:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

Iface参数被单引号包裹,作为r参数传入luci-bwc,不会执行ls命令:

CVE-2019-12272 OpenWrt图形化管理界面LuCI命令注入分析

写在最后

· 整个漏洞与半年前爆出的thinkphp RCE都与路由解析和controller相关,可见MVC构建的controller处比较容易出现安全漏洞。由于MVC模型的特性,Controller是MVC模式函数调用的入口,如果攻击者能够控制controller或者能够注入并利用controller,就容易出现漏洞。

参考资料

· https://www.jianshu.com/p/bfb93c4e8dc9

· https://forum.openwrt.org/t/vulnerable-releases-for-cve-2019-12272/38564

· https://blog.csdn.net/ballack_linux/article/details/81331527

· https://github.com/openwrt/luci/commit/9e4b8a91384562e3baee724a52b72e30b1aa006d

systemino
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Openwrt研习笔记六之Linux图形界面下远程连接软件比较及GCM推荐
草帽的后花园
02-26 3182
欢迎关注草帽的后花园新博客站:www.ourgarden.cu.cc 以前一直工作在linux的文字界面,一直以来都很不喜欢图形界面,并不是说linux的图形界面做的不好(这里是指redhat 6的gnome),而是喜欢那种纯文字的感觉,但由于工作需要,自己的工作机是windows xp,通过secureCRT或者Putty进行连接嘛,编译android太久,不能关闭自己的工作机,所
openwrt-安装图形界面
zhu378287521的博客
10-23 1万+
一般网上下载的固件都安装有图形界面,不过有时候也会有特例,下面简要记录luci图形界面的安装过程。 opkg update 更新软件库 opkg install luci opkg install luci-i18n-chinese 安装语言包,中文 启动 /etc/init.d/uhttpd enable /etc/init.d/uhttpd start ...
CVE-2019-19945漏洞复现 Openwrt针对uhttpd漏洞利用
weixin_51339377的博客
05-06 368
CVE-2019-19945漏洞原理和复现
OpenWrt安装图形配置界面LUCI
热门推荐
boliang319的专栏
07-29 1万+
1. 首先保证路由器可以连接互联网 2. 依次输入以下ming
探索OpenWRT的可视化界面Luci
gitblog_00006的博客
03-20 1271
探索OpenWRT的可视化界面Luci 项目地址:https://gitcode.com/openwrt/luci 在物联网和智能家居时代,对于网络设备的管理和配置,有一个强大且易用的工具是必不可少的。这就是OpenWRT的可视化前端——LuciLuci是一个基于Web的UI,旨在简化对OpenWRT开源固件的操作,使得非技术人员也能轻松地管理和定制自己的路由器。 项目简介 Luci是为Ope...
OpenWRT】添加3G/4G支持的图形化配置
丨晋丨
10-29 2689
原官方链接:https://openwrt.org/docs/guide-developer/build-image-with-3g-dongle-support 准备构建环境 首先,您需要一个完整的构建环境,无论是物理系统还是虚拟系统,如《OpenWrt开发人员指南》中所述。 您需要在构建系统上克隆OpenWrt git存储库,并将所有软件包提要与配置文件同步。 确保了解构建过程以防止构建失败。 配置软件包 选择目标架构和配置文件 运行make menuconfig。 选择要在.
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-14439)
05-08
Jackson官方github仓库发布安全issue,涉及漏洞CVE-2019-14361和CVE-2019-14439,均是针对CVE-2019-12384漏洞的绕过利用方式,当用户提交一个精心构造的恶意JSON数据到WEB服务器端时,可导致远程任意代码执行。...
CVE-2019-25024:CVE-2019-25024的完全利用代码是OpenRepeater中未经身份验证的命令注入漏洞
02-22
[CVE-2019-25024] OpenRepeater(ORP)/未经身份验证的命令注入忠告: 斜面CVE: ://cve.mitre.org/cgi-bin/cvename.cgi name=CVE-2019-25024 美国国家标准与技术研究院(NIST): : 稳定的: : VulDB: ://vuldb....
OPENWRT设置
12-09
OPENWRT设置 适用各种OPENWRT刷机路由器
MT7628学习笔记(16)——修改openwrt控制台启动界面图形和信息
丨晋丨
10-16 2280
一、修改目标 openwrt原图形: 修改目标效果: 二、找到 /package/base-files/files/etc/banner 文件替换自己的图形 字符画生成在线工具1,字符画生成在线工具2 输出效果: 临时修改可以直接修改 /etc/banner 文件: 附:字体效果预览 (使用字符画在线工具1) rectangles 字体效果(openwrt官方效果) __ _____ _____ _ ...
OpenWrt 广告植入原型搭建
技术无止境
08-14 1959
第一步:准备固件 编译OpenWrt固件-选择Privoxy 第二步:修改配置文件 配置user.filter, user.action, config文件。 config文件中需要指定监听都地址与端口号 [cpp] view plain copy root@YSWiFi:/etc/privoxy# cat
703n的OpenWrt配置三:安装Web界面
hexw7的专栏
08-10 5329
刚开始捣鼓openwrt的时候被同学吐槽,连图形界面都没有还不如原厂固件。确实没有web前端很不方便,现在有了空间,首先就先安装Luci吧。 做好了前面的准备安装软件还是很简单的,首先还是要更新一下软件包:opkg update然后安装:opkg install luci luci-i18n-chinese这时还访问不了web,需要先打开luci:/etc/init.d/uhttpd start
CVE-2020-7982 OpenWrt 远程命令执行漏洞学习(完结)
最新发布
weixin_51339377的博客
05-23 1217
OpenWrt是一款应用于嵌入式设备如路由器等的Linux操作系统。类似于kali等linux系统中的apt-get等,该系统中下载应用使用的是opgk工具,其通过非加密的HTTP连接来下载应用。但是其下载的应用使用了SHA256sum哈希值来进行检验,所以将下载到的数据包进行哈希值的比对即可知道是否下载的数据包被修改,所以理论上来说是没有安全隐患的。
BUUCTF--[FireshellCTF2020]ScreenShooter
qq_46263951的博客
08-26 561
进入页面后首先是让我们输入一个网址,当我们访问百度网址时它会返回百度网页的截图 看大佬的wp上是说这里存在的是CVE-2019-17221漏洞 PhantomJS 到 2.1.1 有一个任意文件读取漏洞,如 file:// URI 的 XMLHttpRequest 所示。该漏洞存在于网页模块的 page.open() 函数中,该函数加载指定的 URL 并调用给定的回调。攻击者可以提供特制的 HTML 文件作为用户输入,允许读取文件系统上的任意文件。例如,如果 page.render() ...
log4j CVE-2019-17571 漏洞复现
01-02 1万+
一、漏洞描述 Log4j1.2版本中包含一个SocketServer类,在未经验证的情况下,该SocketServe类很容易接受序列化的日志事件并对其进行反序列化,在结合反序列化工具使用时,可以利用该类远程执行任意代码。 二、漏洞复现 2.1 启动SocketServer端 import org.apache.log4j.Logger; import org.apache.log...
【1day】复现锐捷 NBR 路由器 存在任意文件上传漏洞
记录并分享学习安全的知识点..
08-21 926
锐捷NBR路由器是锐捷网络科技有限公司推出的一款高性能企业级路由器。NBR是"Next-Generation Broadband Router"的缩写,意为"下一代宽带路由器"。该路由器具有强大的处理能力和丰富的功能,适用于中小型企业、校园网络和数据中心等场景。锐捷 NBR 路由器 存在任意文件上传漏洞,可能导致执行恶意代码、服务器拒绝服务、数据泄露、网站篡改和横向渗透等危害。
Jackson 最新反序列化漏洞(CVE-2019-14361和CVE-2019-144391
07-14
你提到的 Jackson 最新反序列化漏洞是 CVE-2019-14361 和 CVE-2019-14439。这些漏洞都是与 Jackson 库中的反序列化功能相关的安全问题。 CVE-2019-14361 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.9.x 版本。 CVE-2019-14439 是一个远程代码执行漏洞,攻击者可以通过构造恶意的序列化数据来执行任意代码。该漏洞主要影响 Jackson-databind 库的 2.6.x 至 2.9.x 版本。 为了解决这些漏洞,建议开发人员尽快升级到最新版本的 Jackson-databind 库。另外,还可以考虑限制反序列化操作的使用,以减少潜在的风险。记住及时关注安全公告,并采取相应的措施来保护应用程序免受可能的攻击。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值