《(CVE-2018-19986)D-Link DIR-818LW&828命令注入漏洞.docx》由会员分享,可在线阅读,更多相关《(CVE-2018-19986)D-Link DIR-818LW&828命令注入漏洞.docx(11页珍藏版)》请在第一文库网上搜索。
1、(CVE-2018-19986)D-1inkDIR-8181W&828命令注入漏洞一、漏洞简介D-1inkDIR-822和D-1inkD1R-8181W都是中国台湾友讯(D-1ink)公司的一款无线路由器。D-1inkDIR-8181WRev.A2.05.B03和DIR-822B1202KRb06中的RemOtePOM参数存在命令注入漏洞。该漏洞源于外部输入数据构造可执行命令过程中,网络系统或产品未正确过滤其中的特殊元素。攻击者可利用该漏洞执行非法命令。二、漏洞影响D-1inkDIR-8181WRev.A2.05.B03DIR-822B1202KRb06三、复现过程漏洞分析原理D-1inkDI
2、R-8181WRev.A2.05.B03和DIR-822B1202KRb06中,通过HNAP1协议访问SetROUterSettingS时,RemOtePOrt参数存在操作系统命令注入漏洞。在SetRO11terSettings.php源码中,RemOtPOrt参数没有经过任何检查,直接存放于$path_inf_wan1.web,并且在iptwan.php中的IPTWAN_bui1d_command函数中使用$Path_inf_wan1.7web变量作为iptab1es的参数,同样未做检查。构造SetRouterSettings.Xm1,使RemotePort中包含如te1netd的she11
3、命令,利用该漏洞执行非法操作系统命令。./etc/temp1ates/hnap/SetRouterSettings.php:$path_inf_wan1=XNODE_getpathbytarget(,“inf,,uid,$WAN1,0);#$WAN1=WAN-1;$nodebase=/runtime/hnap/SetRouterSettings/;JremotePort=query($nodebase.RemotePort);set($path_inf_wan1.web,JremotePort);./etc/services/IPTAB1ES/iptwan.phpfunctionIPTWAN_
4、bui1d_command($name)$path=XNODE2getpathbytarget(,iinf,uid,$name,0);$web=query($path./web);#web作为iptab1es的参数写入$_G1OBA1S“START”if(query($path.7inbfi1ter)!=,)$inbfn=cut(query($path.,inbfi1ter),1,$hostip=query($path.weba11owhostv4ip);if($hostip!=,)if(query($path.,inbfi1ter)!=)fwrite(a$_G1OBA1SSTARfwrite
5、(,:,y布(EM).t27(M7).M5H RrotTirawrerRrocm1 HnXKrServerSfYrMnDt:fr1,)10cItM2,3:“9rtfTrEoco0ing:CM-ZCetnt-ty*:tata1;c*aryttmiM*Mrku*1anguaye*7aivct1n,2.*0MW9=utf-t*Mp:EnVeIoPeZMto.tfS.M21V1iMa1mCMaIaUS:x9FW/mmw.9.org2WIT1M1ScMm.m1*vM*M9*chMM.m1.0rfMMMX*9*发送方收到之后,1ogin的action由request变成了1ogin,即发送用户名密码的过程
6、,密码是由用户私钥处理过的数据。1,C*tr1rtc1rcort:M7f.(MAgrt:N.tq:1.Act.1.IMtAcct*t-gtw.ruewAccF:M_w,n*f.一/:0-&XHI:0.一金KN1石i6;0三6二;;.wTJnTWr4*Met4J-rA1awM1tSS7.M(KNT.Hfe1卬OtfBM.;HIvZJWObr(1*4V11*)tMM4VyiC(5U(W1XIJTTTJ4J*t).0t::3:“,:1:3(:InternMocwWbyecap*vrd(4Yb1t)mIatefface (Mrw4.$rc1;IMt.Dt:It?IM2 Trani”SnteuPCco1
7、,SrcHrt:MDtRKt:XX:W5.Act:R1OT:* 01y3TOErH(W/”):K(H)MSrvro(:*rMtoemnm”mTrfrinneing*ciw*e1/11IT1Mt1MHMetj.N)TCMWCM*)fM1JM!WfrMJ41iMPtTWrMt.NmtcfUie4r*p0Mt11tata:It1toytt.RtE1MtRirtUp1jRQMt1”3WfSMR4t.aOnCM1Jv*.Sf6Awepfvw1o9im:uy/-.sw*/2Mi/njcMMiMtMo3f9fMNMSorfe:/VScMb*!.+:一*.:iMt:理解HNAP为了再深入理解HNAP,查看ht
8、docsCgibin二进制文件,简化流程如下:hnap_main()memset(acStack1708j0,0100);getenv(HTTP_AUTHORIZATION);soapaction=getenv(HTTP_SOAPACTION);request_method=getenv(REQUEST_METHOD);hnap_auth=getenv(,HTTP_HNAP_AUTH,);cookie=getenv(,HTTP_COOKIEJ;referer=getenv(HTTP-REFERER);memset(php_path,0,0x100);当未指定soapaction时,默认请求为GetDeviceSettingsif(soapaction=(char*)00)soapaction=e1se_si=strstr(soapactionjparse-param-va1ue(Var2jAction,action);parse-param-va1ue(uar2jUsernam
免费区 
