D-Link DIR-600 硬件版本 B5、固件版本 2.18 被发现包含通过 lxmldbc_system() 函数中的 ST 参数的命令注入漏洞。
下载链接:
可以直接用binwalk提取文件系统:
描述中漏洞是在xmldbc_system()函数当中,先用grep命令找一下哪些文件中有xmldbc_system这个字符串:
结果:
第一个就是要找的二进制文件,一般路由器等等固件的web都是cgi文件,所以这个是最有可能的。用IDA打开,搜索xmldbc_system()这个函数:
直接复制过去后就交给system函数执行了。
查看一下是哪些函数调用了xmldbc_system()函数:
首先是pigwidgeoncgi_main函数:
传入的是硬编码的字符串,不是这里。
接下来是pigwidgeoncgi_main函数:
可以看到所有的都是没进行过滤的,都是直接拼接的字符串,因此存在命令注入。但是还需要a1等于2,找一下主程序,其伪代码如下:
可以知道a1指的是参数的个数,也就是通过命令行的方式传一个参数"ssdcgi"就可以了。
使用qemu模拟并用gdb调试,使用qemu模拟如下:
设置GDB
连上以后在0x40E408处下断点,然后:
设置a0寄存器的值的原因是因为在ssdpcgi_main函数中会检查参数个数,必须要等于2,所以设置a0为2过检查。
然后在0x40E5BC处下断点,这里是查看一下是否会进入到service这个分支,因为漏洞是在这个分支的:
执行后执行到了0x40E5BC处,说明参数设置生效了,确实到了这个地方。然后在0x413F2C处下断点,这里是调用system函数的指令,主要是为了查看传给system函数的参数是否是拼接过后的命令,设置完断点后直接执行:
s0寄存器的中的值是拼接上ls命令后的字符串。
直接使用fat或者fap模拟。
这个漏洞与CVE-2019-20215挺像的,感觉是一模一样的,因此CVE-2019-20215的poc修改一下就能用,poc:
https://github.com/naihsin/IoT/blob/main/D-Link/DIR-600/cmd%20injection/README.md
https://medium.com/@s1kr10s/d-link-dir-859-unauthenticated-rce-in-ssdpcgi-http-st-cve-2019-20215-en-2e799acb8a73
https:
/
/
www.dlinktw.com.tw
/
techsupport
/
download.ashx?
file
=
3394
https:
/
/
www.dlinktw.com.tw
/
techsupport
/
download.ashx?
file
=
3394
binwalk -Me DIR-600_Bx_FW218WWb01.bin
binwalk -Me DIR-600_Bx_FW218WWb01.bin
grep
-rn
"./"
-e xmldbc_system
grep
-rn
"./"
-e xmldbc_system
int
__cdecl main(
int
argc,
const
char
**argv,
const
char
**envp)
{
const
char
*v3;
char
*v6;
int
(*v8)();
int
v9;
v3 = *argv;
v6 =
strrchr
(*argv, 47);
if
( v6 )
v3 = v6 + 1;
......
if
( !
strcmp
(v3,
"ssdpcgi"
) )
{
v8 = (
int
(*)())ssdpcgi_main;
v9 = argc;
return
((
int
(__fastcall *)(_DWORD, _DWORD, _DWORD))v8)(v9, argv, envp);
}
......
printf
(
"CGI.BIN, unknown command %s\n"
, v3);
return
1;
}
int
__cdecl main(
int
argc,
const
char
**argv,
const
char
**envp)
{
const
char
*v3;
char
*v6;
int
(*v8)();
int
v9;
v3 = *argv;
v6 =
strrchr
(*argv, 47);
if
( v6 )
v3 = v6 + 1;
......
if
( !
strcmp
(v3,
"ssdpcgi"
) )
{
v8 = (
int
(*)())ssdpcgi_main;
v9 = argc;
return
((
int
(__fastcall *)(_DWORD, _DWORD, _DWORD))v8)(v9, argv, envp);
}
......
printf
(
"CGI.BIN, unknown command %s\n"
, v3);
[培训]内核驱动高级班,冲击BAT一流互联网大厂工作,每周日13:00-18:00直播授课
最后于 2023-7-31 10:41
被mangovo编辑
,原因: 未选择话题