DIR-645远程命令执行漏洞

最新推荐文章于 2024-08-14 11:34:51 发布
最新推荐文章于 2024-08-14 11:34:51 发布
阅读量1k 收藏 1
点赞数
分类专栏: IoT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/117299537
版权

首先我们分析网上公开的exp确定漏洞相关组件及payload,之后通过IDA分析研究漏洞是如何触发的,最后在attifyos中进行模拟,验证漏洞。

本次实验的漏洞是某品牌路由器service.cgi远程命令执行漏洞。
Packet storm有exp:https://packetstormsecurity.com/files/145859/dlinkroutersservice-exec.txt

看看exp中的关键信息
在这里插入图片描述

大概知道需要访问service.cgi,post请求,payload中有event=checkfw%26
我们先试试看自己能否分析

解压压缩文件
在这里插入图片描述

提取得到固件根目录
在这里插入图片描述

进入提取的文件夹
在这里插入图片描述

看看引发漏洞的cgi文件,其位于htdocs下
在这里插入图片描述

是32位mips小端可执行文件

接下来使用IDA分析
在这里插入图片描述

在main函数中看到
在这里插入图片描述

如果main函数判断访问的时候service.cgi就调用servicecgi_main
跟进servicecgi_main
先看一下其交叉引用的图
在这里插入图片描述

大概知道漏洞产生的地方了,servicecgi_main-》lxmldbc_system->system
接着跟下去看看
在这里插入图片描述

看到其会先判断request method请求方法,处理get和post
但是可以看到其实都是走一样的路径
在这里插入图片描述

调用cgibin_parse_request
跟进cgibin_parse_request
在这里插入图片描述

会解析content_type,content_length,然后就是解析参数的工作,回到servicecgi_main
在这里插入图片描述

我们需要找到调用lxmldbc_system的,而上图中我们发现EVENT,SERVICE会调用
在前面xref from图中看到lxmldbc_sytem会调用system,跟进去看看调用system时有没有一些过滤等防护措施
在这里插入图片描述

注意到,lxmldbc_system调用system执行command时没有任何过滤,此处就是引发命令注入的漏洞所在
这样我们就知道如何利用了,在访问时加上EVENT,或者利用SERVICE(加上ACTION字段),然后使用一些常见的方法截断再加上我们的要执行的命令就可以了。注入命令后需要是“&”符号的urlencode编码(%26),因为&在http请求中是请求域分隔符,所以必须做编码转换。在其他分隔符使用时也可以进行urlencode编码

接下来进行复现

fat.py启动
在这里插入图片描述
在这里插入图片描述

一共会提示3次firmadyne的密码和1次oit的密码,遇到输入firmadyne的密码时候,我们输入firmadyne,遇到输入oit的密码时,我们输入attify123
在这里插入图片描述

看一下网卡,待会儿我们抓包时需要用到

在这里插入图片描述

接下来启动burp
java -jar /home/oit/tools/burpsuite_free_v1.7.23.jar
火狐访问fat.pyt给出的ip
在这里插入图片描述

默认命令为空,点击login即可进入
然后开始设置代理
来到burp
打开后先恢复初始设置,如图所示
在这里插入图片描述

在火狐处访问192.168.0.1/service.cgi?EVENT=test
此时burp抓到包后修改如图,下图是采用|进行截断
在这里插入图片描述

可以看到repeater返回了路径
再试试使用;截断,来执行ls命令
在这里插入图片描述

repeater返回了命令执行的结果
下图是使用urldencode编码来截断,%26为&
在这里插入图片描述

同样成功了
再试试换行符,其编码为%0a
在这里插入图片描述

同样是可以的
前面试的是event,而在ida分析中我们知道serivce也是可以的,接下来看看service的
在这里插入图片描述

也是同样的截断思路
在这里插入图片描述

在ida分析时我们说过get,post走的路径是一样的,所以这里尝试使用post
现在burp这里把get改为post
在这里插入图片描述

可以看到已经成为post了
在这里插入图片描述

然后使用event来利用
在这里插入图片描述

同样成功了

还可以尝试自己抓包看看,attifyos自带了wireshark
我这里直接给出一个已经抓好的
在这里插入图片描述

跟踪tcp流
可以看到返回的相应就是命令执行后的结果
在这里插入图片描述


参考:
https://www.cnvd.org.cn/flaw/show/CNVD-2018-01084
1.https://packetstormsecurity.com/files/145859/dlinkroutersservice-exec.txt

Elwood Ying
关注
专栏目录
物联网漏洞挖掘入门--DLINK-DIR-645路由器栈溢出漏洞分析复现
墨痕诉清风的博客
09-11 3809
https://www.rapid7.de/db/modules/exploit/linux/http/dlink_hedwig_cgi_bof 这个栈溢出的原因是由于cookie的值过长导致的栈溢出。服务端取得客户端请求的HTTP头中Cookie字段中uid的值,格式化到栈上导致溢出。通过对漏洞点进行分析,搭建模拟环境并完成整个漏洞利用过程。 (文章中有不足之处,还请各位......
[ vulhub漏洞复现篇 ] Struts2 远程命令执行漏洞(S2-001)
qq_51577576的博客
08-21 1181
Struts2 远程命令执行漏洞(S2-001) 该漏洞因为用户提交表单数据并且验证失败时,后端会将用户之前提交的参数值使用 OGNL 表达式 %{value} 进行解析,然后重新填充到对应的表单数据中。例如注册或登录页面,提交失败后端一般会默认返回之前提交的数据,由于后端使用 %{value} 对提交的数据执行了一次 OGNL 表达式解析,所以可以直接构造 Payload 进行命令执行
DIR-645组合拳漏洞
Yale的博客
05-26 616
本次实验分析及复现的漏洞来自于2017年Hack2Win 黑客竞赛,举办方在公网上提供 D-Link 850L 路由器作为攻击目标,竞赛持续了两个月,最终确定了3个漏洞: Remote Command Execution via WAN and LAN Remote Unauthenticated Information Disclosure via WAN and LAN Unauthorized Remote Code Execution as root via LAN 第三个漏洞受限于环境无法复现,本
远程命令执行漏洞
最新发布
2201_75572825的博客
08-14 1307
一般出现这种漏洞,是因为应用系统从设计上需要给用户提供指定的远程命令操作的接口,比如我们常见的路由器、防火墙、入侵检测等设备的web管理界面上,一般会给用户提供一个ping操作的web界面,用户从web界面输入目标IP,提交后后台会对该IP地址进行一次ping测试,并返回测试结果。E. cmd1&&cmd2:首先执行命令cmd1再执行命令cmd2,但是前提条件是命令cmd1执行正确才会执行命令cmd2,在cmd1执行失败的情况下不会执行cmd2命令。相反,如果cmd1命令执行不成功,就会执行cmd2命令
Dir-645任意文件读取漏洞
Yale的博客
05-26 563
本次实验分析及复现的漏洞来自于2017年Hack2Win 黑客竞赛,举办方在公网上提供 D-Link 850L 路由器作为攻击目标,竞赛持续了两个月,最终确定了3个漏洞: Remote Command Execution via WAN and LAN Remote Unauthenticated Information Disclosure via WAN and LAN Unauthorized Remote Code Execution as root via LAN 第三个漏洞受限于环境无法复现,本
路由器模拟_DLink DIR645路由器栈溢出漏洞分析
weixin_39878716的博客
11-27 598
本文为看雪论坛优秀文章看雪论坛作者ID:21Gun5目录01-漏洞描述02-环境/工具03-漏洞分析04-漏洞利用4.1-选择攻击途径4.2-确定偏移4.3-构造payload4.4-完整exp05-漏洞测试06-参考01-漏洞描述https://www.exploit-db.com/exploits/33862This m...
D-Link DIR-645 信息泄露漏洞
weixin_30466039的博客
03-20 493
D-Link DIR-645getcfg.php文件由于过滤不严格导致信息泄露漏洞。 $SERVICE_COUNT = cut_count($_POST["SERVICES"], ","); TRACE_debug("GETCFG: got ".$SERVICE_COUNT." service(s): ".$_POST["SERVICES"]); $SERVICE_INDEX = 0...
SonicWall 远程命令执行漏洞
PeiQi的博客
01-26 3891
SonicWall SSL-VPN 远程命令执行漏洞 漏洞描述 SonicWall SSL-VPN 远程命令执行在1月24日被公开 EXP,此设备存在远程命令执行漏洞 漏洞影响 SonicWall SSL-VPN FOFA app=“SONICWALL-SSL-VPN” 漏洞复现 出现漏洞的文件为 /cgi-bin/jarrewrite.sh #!/bin/bash # jarrewrite.sh: # Script takes a jar/class file and a working dir
[漏洞挖掘与防护] 02.漏洞利用之MS08-067远程代码执行漏洞复现及深度防御
杨秀璋的专栏
07-14 670
上一篇文章将详细介绍Windows远程桌面服务漏洞(CVE-2019-0708),该高危漏洞利用方式是通过远程桌面端口3389,RDP协议进行攻击。这篇文章将详细讲解MS08-067远程代码执行漏洞(CVE-2008-4250)及防御过程,它是Windows Server服务RPC请求缓冲区溢出漏洞,利用445端口,并通过Metasploit工具获取shell及进行深入的操作。希望对入门的同学有帮助。
Apache APISIX Dashboard(CVE-2022-24112)命令执行漏洞方式利用
include_voidmain的博客
04-11 7924
0x01 什么是Apache APISIX Dashboard Apache APISIX 是一个动态、实时、高性能的开源 API 网关,提供负载均衡、动态上游、灰度发布、服务熔断、身份认证、可观测性等丰富的流量管理功能。Apache APISIX 可以帮助企业快速、安全地处理 API 和微服务流量,包括网关、Kubernetes Ingress 和服务网格等。 0x02 漏洞详情 漏洞编号:CVE-2022-24112 影响版本:Apache APISIX < 2.12.1 Apache APIS
CVE 2019-11043 php fastcgi 远程命令执行漏洞
BROTHERYY的博客
01-05 1316
CVE 2019-11043一、漏洞介绍二、漏洞名称三、漏洞类型四、漏洞危害:五、漏洞来源:六、公布时间:七、涉及应用版本:八、修复版本:九、应用语言:十、漏洞复现: 一、漏洞介绍 nginx + php-fpm 配置不当,当nginx配置文件中有fastcgi_split_path_info,却没有if(!-f documentrootdocument_rootdocumentr​ootfastcgi_script_name){return 404;}的时候就会导致远程代码执行。 二、漏洞名称 php f
D-Link 路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告.pdf
02-28
近日,国家信息安全漏洞共享平台(CNVD)收录了D-Link DIR系列路由器身份验证信息泄露漏洞远程命令执行漏洞(CNVD-2017-20002、CNVD-2017-20001)。远程攻击者利用漏洞可获取路由器后台登录凭证并执行任意代码。相关利用代码已在互联网公开,受到影响的设备数量根据标定超过20万台,有可能会诱发大规模的网络攻击
UniFI-Dlink-DIR-615:Dlink DIR 615 漏洞利用
06-02
UniFI-Dlink-DIR-615 搜索 Unifi Dlink DIR-615 路由器的服务器详细信息 = Mathopd/1.5p6 country:MY 国家过滤器仅适用于注册用户,因此请确保您已注册 选择任何你想要的路由器 要获取用户的凭据,请输入以下 appendage = model/__show_info.php?REQUIRE_FILE=/var/etc/httpasswd 和噗! 如您所见,TM的运营商添加了另一个隐藏帐户,名称与以前的版本不同2010 及以下使用不同密码的用户名运算符。 所以你们需要枚举每个路由器的凭据,或者你可以只在 url 中包含 chap-secrets 文件,而不是首先获取 httpassword (/etc/ppp/chap-secrets)。 利用攻击 实际上,我包含 /etc/ppp/httpassword 的主要原因是让高级攻
D-Link DIR645 1.03绕过认证查看配置文件漏洞复现与分析
weixin_43137410的博客
08-26 1310
​ D-Link DIR645的1.03版本固件中存在一个绕过认证查看配置文件的信息泄露漏洞
揭秘家用路由器0day漏洞挖掘技术读书笔记 D-Link DIR-645 authentication.cgi溢出漏洞分析
houjingyi的博客
10-04 2141
固件下载地址 漏洞描述如下。 上一篇讲了DIR-815 hedwig.cgi中的漏洞成因及利用方式,这一篇来讲DIR-645 authentication.cgi中的漏洞成因及利用方式。下载之后解压缩得到dir645_FW_103.bin,通过binwalk提取出文件系统。 需要分析的还是/htdocs/cgibin这个程序。我们根据POC使用下面的脚本直接进行动态调试。 a
D-Link service.cgi远程命令执行漏洞复现
weixin_34311757的博客
01-25 400
1.1 概述 友讯集团(D-Link),成立于1986年,1994年10月于台湾证券交易所挂牌上市,为台湾第一家上市的网络公司,以自创D-Link品牌行销全球,产品遍及100多个国家。 1月17日,CNVD公开了D-LinkDIR 615/645/815 service.cgi远程命令执行漏洞(CNVD-2018-01084)。由于笔者近期对网络设备进行渗透技术略有研究,便复现了一下该漏洞。 1....
对DLT645-2007规约指令的简单解析
rat412的博客
01-08 1210
2007标准 示例:68 684098092104(倒序) 68 11(读表) 04 33333433(倒序) 20 16 说 明 代 码 帧起始符 68H 地址域 A0- A5 帧起始符 68H 控制码 C 数据域长度 ...
路由器漏洞挖掘之 DIR-850/645 命令执行漏洞复现
abc380620175的博客
06-10 1258
前言 这次来分析两个比较经典的路由器命令执行漏洞DIR-850 和 DIR-645 的 RCE,漏洞成因都是由于参数拼接不当造成的。 漏洞分析 根据前一篇文章中的任意文件读取漏洞,在读取到 DEVICE.ACCOUNT 配置文件中的敏感信息之后,我们就可以进一步利用,达到命令执行的目的,进而 getshell。 php 源代码 代码如下: 这里的 server 变量可控,导致在拼接时...
Dlink路由器 CNVD-2018-01084 远程命令执行漏洞 复现分析
weixin_44229639的博客
11-03 1178
Dlink路由器 CNVD-2018-01084复现分析 D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞是由于service.cgi中拼接了HTTP POST请求中的数据,造成后台命令拼接,导致可执行任意命令。 cnvd上的漏洞说明:https://www.cnvd.org.cn/flaw/show/CNVD-2018-01084 在官网获取漏洞版本的固件:DIR645A1_FW102B08.bin 解压
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值