CVE-2020-14472
https://github.com/Cossack9989/Vulns/blob/master/IoT/CVE-2020-14472.md
下载解压固件
https://www.draytek.com.tw/ftp/Vigor2960/Firmware
使用ubi
ubireader_extract_images Vigor2960_v1.5.0.all #得到ubi文件
ubireader_extract_files file.ubi
漏洞点在/www/cgi-bin/mainfunction.cgi
流程分析
进入main函数
如果v4不符合条件
在action对应的字符串旁边找到对应的函数
漏洞点
1
命令执行漏洞
对应action为get_subconfig
sub_EA24两个参数可控
进去看
参数2最终被赋值到v16并被执行
2
doOpenVPN
可以看到控制option的值可以走到下面的分支,代码执行
3.
dogetunnel