國外某大牛研究發(fā)現(xiàn),NetGear路由器wndr3700v4的固件存在認(rèn)證漏洞。一旦Web界面認(rèn)證繞過了,后續(xù)可以做的事情就會很多���。
讓客戶滿意是我們工作的目標(biāo)��,不斷超越客戶的期望值來自于我們對這個(gè)行業(yè)的熱愛。我們立志把好的技術(shù)通過有效�����、簡單的方式提供給客戶�����,將通過不懈努力成為客戶在信息化領(lǐng)域值得信任����、有價(jià)值的長期合作伙伴,公司提供的服務(wù)項(xiàng)目有:域名與空間��、虛擬空間�、營銷軟件�、網(wǎng)站建設(shè)、平陽網(wǎng)站維護(hù)���、網(wǎng)站推廣�����。
NetGear的wndr3700v4固件中有一個(gè)可執(zhí)行腳本 net-cgi �����,這個(gè)功能很像busy-box��。所以里面有很多的地方可以研究�����,這里我們比較感興趣的是 cmd_ping6() 這個(gè)模塊��。
這個(gè)功能利用char *host函數(shù)來工作的���,主要的功能是通過機(jī)器名或者IPv6來進(jìn)行ping操作�。這個(gè)是一個(gè)很常見的功能��,不過這個(gè)固件里面����,它使用了sprintf()這個(gè)函數(shù)���,它將字符串復(fù)制到shell命令中去執(zhí)行了,這是一個(gè)最簡單的緩沖區(qū)溢出漏洞,最終他會將輸入內(nèi)容傳遞到system()這個(gè)函數(shù)來執(zhí)行�。
那如果這個(gè)用戶沒有使用IPv6怎么辦呢?沒關(guān)系,只要命令被system()執(zhí)行了�����,管它ping命令是否成功執(zhí)行干毛?
回頭看一下��,這個(gè)漏洞是如何產(chǎn)生的�。
cmd_ping6()通過cgi_commit()調(diào)用,cgi_commit()通過sub_4052d0()調(diào)用��。
頁面執(zhí)行的時(shí)候�,是使用的ping6_traceroute6_hidden_info.htm這個(gè)頁面。
我們來試著執(zhí)行一些小命令測試一下:
雖然是一個(gè)小測試�,但是效果是立竿見影的,就算是遠(yuǎn)端�����,你也可以輕易的知道命令是否執(zhí)行成功了��。
對與這個(gè)漏洞,這名外國大牛利用Python寫出了一個(gè)EXP�,這個(gè)EXP主要執(zhí)行了以下幾個(gè)功能:
1.通過指紋識別����,驗(yàn)證是否存在漏洞。
2.將該設(shè)備的Web認(rèn)證禁用�。
3.通過命令注入,設(shè)置iptables�����,開啟telnet���,對外網(wǎng)開啟2323端口并監(jiān)聽��。
4.重新啟用Web認(rèn)證����,恢復(fù)其原始狀態(tài)�。
下載EXP:
Github https://github.com/zcutlip/exploit-poc/blob/master/netgear/wndr3700v4/ping6_cmd_injection/ping6_inject.py
運(yùn)行該EXP需要安裝Bowcaster。
https://github.com/zcutlip/bowcaster
美國網(wǎng)件公司-NETGEAR Inc.(NETGEAR)于1996年1月創(chuàng)立�����,長期致力于為中小規(guī)模企業(yè)用戶與 SOHO 用戶提供簡便易用并具有強(qiáng)大功能的網(wǎng)絡(luò)綜合解決方案?���?偛吭O(shè)在美國加州硅谷圣克拉拉市,業(yè)務(wù)遍及世界多個(gè)國家和地區(qū)�,是美國高科技企業(yè)連續(xù)八年增長速度最快的50家之一,并于2003年作為唯一的計(jì)算機(jī)網(wǎng)絡(luò)公司在美國 Nasdaq 交易所成功上市(股票代碼:NTGR)���。
網(wǎng)站欄目:NetGear路由器可以通過命令注入獲取ROOT權(quán)限
文章源于:
http://uogjgqi.cn/article/dpepohg.html
