0x0配置式D-Link DIR-816 A2是中国台湾友信(D-Link )公司的无线路由器。 攻击者可以利用此漏洞,使用“datetime”参数的shell元字符在系统上执行任意命令。
是否要准备0x1固件版本1.10 b05:http://support.dlink.com.cn :9000/product info.aspx? m=DIR-816
漏洞程序: goahead
0x2工具1 .静态分析工具: IDA
2 .获取系统文件: zxdzhwalk
3 .动态调试工具: qemu、IDA
0x3测试环境本人使用Ubuntu 16.04虚拟机测试环境,qemu模拟器模拟D-Link DIR-816 A2固件并运行实际方案。
0x4 goahead程序调试使用zxdzhwalk的固件解包(zxdzhwalk-medir-816 a2 _ v 1.10 cnb 03 _ d 77137.img ) ) )。
zxdzhwalk可以解压缩下图所示的文件。 需要squashfs-root的文件系统。
3 .一般来说,您可以在find -name '*index* '中查找web的根目录位于哪个具体目录。
通过file ././zxdzh/goahead命令(因为我位于根目录下,所以././zxdzh/goahead ),可以看到此系统是MIPS体系结构。
5.sudo QEMU-mipsel-l ./- g 1234 ./zxd zh/go ahead
使用qemu将程序装载到1234端口并等待调试。
-L是根目录所在的位置。
可以使用IDA远程调试连接到1234端口进行调试。 也可以使用gdb调试获取。
6 .如下图所示,IDA可以打开远程调试。
7 .经过测试,0x45C728需要下一个断点。 这里的bnez会结束程序,所以需要将V0寄存器的值变更为1。
8 .同样,必须使用0x45cdbc地址设置断点,并将V0寄存器更改为0。
9 .通过这两个地址后,可以通过在网址中输入http://192.168.184.133/dir _ log in.ASP访问登录页。
10 .要进入路由器的web操作页,必须首先登录。 在web服务器程序中用户名为空。 此外,网页还提供了JS验证,如果需要输入用户名进行登录验证,则可以修改登录验证寄存器以确保成功登录。
用11.0x4570fc地址降低断点,将V0寄存器的值变更为0。 这里的V0是用户名的值,在登录页面上我们是随便输入的,所以肯定是不正确的。 这样的话,只有在修正为0之后才能跳转到正确的登录过程。
12 .如果登录成功,将出现页面错误。
13 .此外,在URL中输入http://192.168.184.133/d _ wizard _ step1_ start.ASP将进入成功登录后的页面。 请看下图,可以证明登录成功。
14 .登录认证后,单击“维护”,然后单击时间和日期,最后单击APP,这里就是漏洞触发点。
15 .最终,可以通过生成datetime的值来执行任何命令。
0x5总结此固件可以锻炼qemu模拟器的使用和IDA的简单调试能力,在没有实际路由器的情况下,qemu是一个非常友好的模拟工具,可以模拟许多路由器。 该程序还存在多个命令执行漏洞,非常适合练习。 指令执行不当比较简单,但杀伤力大,适合初学者入门。
转载----https://www.free buf.com/vuls/265046.html