漏洞詳情

CVE-2022-1262，多款D-Link 路由器固件映像上的 /bin/protest二進(jìn)制文件容易受到命令注入的攻擊。這允許經(jīng)過(guò)身份驗(yàn)證的攻擊者以 root 身份執(zhí)行任意 shell 命令，并且可以很容易地用于在設(shè)備上獲取 root shell。

固件解密

dlink的dir系列解密方法很相似，大多都是在上一版本中存在固件解密文件，一般是以qemu用戶態(tài)運(yùn)行解密程序就可以完成，如果找不到未加密的版本或者中間版本的固件時(shí)，可找型號(hào)相近的固件，實(shí)際測(cè)試中，某些型號(hào)的固件解密程序確實(shí)是通用的，大致操作如下，根據(jù)架構(gòu)切換執(zhí)行根目錄，運(yùn)行相應(yīng)二進(jìn)制解密文件

漏洞復(fù)現(xiàn)

在路由器文件系統(tǒng)根目錄下，chroot切換根路徑

啟動(dòng)cli，以進(jìn)入router終端。

（在實(shí)際運(yùn)行的設(shè)備中，這里是一個(gè)后門，使用telnet連接，賬戶為admin，web口令+硬編碼@twsz2018，如passwd@twsz2018，即可進(jìn)入

直接運(yùn)行系統(tǒng)命令會(huì)出錯(cuò)，加上分號(hào)截?cái)?，可以成功?zhí)行系統(tǒng)命令

漏洞分析

IDA分析/bin/protest，已知存在命令注入漏洞，首先查看system調(diào)用，有一處會(huì)將輸入的client_secret值拼接到字符串使用system()去執(zhí)行，復(fù)現(xiàn)時(shí)第一條回顯信息和偽代碼片段上方的printf信息吻合，說(shuō)明程序確實(shí)執(zhí)行到system()上方，也就沒(méi)有再去調(diào)試看

編輯：黃飛