D-Link DIR-600 硬件版本 B5、固件版本 2.18 被发现包含通过 lxmldbc_system() 函数中的 ST 参数的命令注入漏洞。

下载链接：

可以直接用binwalk提取文件系统：

描述中漏洞是在xmldbc_system()函数当中，先用grep命令找一下哪些文件中有xmldbc_system这个字符串：

结果：

第一个就是要找的二进制文件，一般路由器等等固件的web都是cgi文件，所以这个是最有可能的。用IDA打开，搜索xmldbc_system()这个函数：

直接复制过去后就交给system函数执行了。

查看一下是哪些函数调用了xmldbc_system()函数：

首先是pigwidgeoncgi_main函数：

传入的是硬编码的字符串，不是这里。

接下来是pigwidgeoncgi_main函数：

可以看到所有的都是没进行过滤的，都是直接拼接的字符串，因此存在命令注入。但是还需要a1等于2，找一下主程序，其伪代码如下：

可以知道a1指的是参数的个数，也就是通过命令行的方式传一个参数"ssdcgi"就可以了。

使用qemu模拟并用gdb调试，使用qemu模拟如下：

设置GDB

连上以后在0x40E408处下断点，然后：

设置a0寄存器的值的原因是因为在ssdpcgi_main函数中会检查参数个数，必须要等于2，所以设置a0为2过检查。

然后在0x40E5BC处下断点，这里是查看一下是否会进入到service这个分支，因为漏洞是在这个分支的：

执行后执行到了0x40E5BC处，说明参数设置生效了，确实到了这个地方。然后在0x413F2C处下断点，这里是调用system函数的指令，主要是为了查看传给system函数的参数是否是拼接过后的命令，设置完断点后直接执行：

s0寄存器的中的值是拼接上ls命令后的字符串。

直接使用fat或者fap模拟。

这个漏洞与CVE-2019-20215挺像的，感觉是一模一样的，因此CVE-2019-20215的poc修改一下就能用，poc：

https://github.com/naihsin/IoT/blob/main/D-Link/DIR-600/cmd%20injection/README.md
https://medium.com/@s1kr10s/d-link-dir-859-unauthenticated-rce-in-ssdpcgi-http-st-cve-2019-20215-en-2e799acb8a73

[招生]科锐逆向工程师培训(2024年11月15日实地，远程教学同时开班, 第51期)