0x01 D-Link路由器漏洞研究分享

最新推荐文章于 2025-02-12 12:09:12 发布
最新推荐文章于 2025-02-12 12:09:12 发布
阅读量1.2k 收藏 1
点赞数 1
分类专栏: 物联网安全 文章标签: 物联网安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/q759451733/article/details/114459465
版权

0x0 简介

D-Link DIR-816 A2是中国台湾友讯(D-Link)公司的一款无线路由器。攻击者可借助 "datetime" 参数中的shell元字符利用该漏洞在系统上执行任意命令。

0x1 准备

固件版本 1.10B05:http://support.dlink.com.cn:9000/ProductInfo.aspx?m=DIR-816

漏洞存在的程序:goahead

0x2 工具

1.静态分析工具:IDA

2.系统文件获取:binwalk

3.动态调试工具:qemu、IDA

0x3 测试环境

本人使用Ubuntu 16.04虚拟机测试环境,qemu模拟器模拟D-Link DIR-816 A2固件运行真实情景。

0x4 goahead程序调试

1.使用binwalk进行固件解包(binwalk -Me DIR-816A2_v1.10CNB03_D77137.img)

2.通过binwalk可以解包出如下图的文件,squashfs-root就是我们需要的文件系统。

3.一般可以通过find -name "*index*" 可以搜索出web的根目录在哪个具体目录下。

4.通过file ../../bin/goahead 命令(由于本人已经进入到根目录下面,所以是../../bin/goahead),可以看出该系统是MIPS架构,则qemu模拟器需要使用MIPS方式的模拟器。

5.sudo qemu-mipsel -L ../../ -g 1234 ../../bin/goahead

-g 使用qemu并将程序挂载在1234端口,等待调试。

-L 是根目录的所在的位置。

可以使用IDA远程调试连接1234端口,进行调试,获取使用gdb也可以调试。

6.如下图操作,IDA即可开启远程调试。

7.经过测试,我们需要在0x45C728处下一个断点,因为此处的 bnez 会使程序退出,所以需要将V0寄存器的值修改为1。

8.同理需要在0x45cdbc地址下断点,并将V0寄存器修改为0。

9.两处地址都通过后,在网址中输入http://192.168.184.133/dir_login.asp,即可访问到登录页面。

10.想进入路由器web操作页面,就必须先登录,在web服务器程序中用户名为空,而web页面有JS校验,必须需要输入用户名才能进行登录校验,那么可以修改登录校验的寄存器,让其成功运行登录。

11.在0x4570fc地址处下断点,修改V0寄存器的值为0。因为此处的V0是用户名的值,在登录页面中,我们是随意输入,所以肯定是不会正确的,那么就只有修改为0后才能跳转到正确的登录流程。

12.登录成功后,会出现页面错误。

13.再在网址中输入http://192.168.184.133/d_wizard_step1_start.asp,即可进入到登录成功后的页面。看到如下图,即可证明已经登录成功。

14.登录认证后,点击维护,再点击时间与日期,最后点击应用,此处便是漏洞触发点。

15.最终可以通过构造datetime的值,执行任意命令。

0x5 总结

这个固件可以锻炼qemu模拟器的使用以及IDA简单调试能力,在没有真实路由器的情况下qemu是非常好用的一款模拟工具,模拟很多款路由器。该程序还存在多个命令执行漏洞,非常适合练手。命令执行漏洞相对来说比较简单,但是杀伤力巨大,很适合新手入门。

 

转载-->https://www.freebuf.com/vuls/265046.html

D-Link NAS 未授权RCE漏洞复现(CVE-2024-3273)
0xSec
04-09 1508
D-Link NAS nas_sharing.cgi接口存在命令执行漏洞,该漏洞存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理程序组件。漏洞成因是通过硬编码帐户(用户名:“messagebus”和空密码)造成的后门以及通过“system”参数的命令注入问题。未经身份验证的攻击者可利用此漏洞获取服务器权限。
DIR-815 路由器多次溢出漏洞分析
tigerOrtiger的博客
06-01 1797
漏洞信息 固件下载地址 ftp://ftp2.dlink.com/PRODUCTS/DIR-815/REVA/DIR-815_FIRMWARE_1.01.ZIP 漏洞成因分析 【漏洞信息】 根据漏洞信息,可以知道漏洞存在于漏洞组件hedwig.cgi 中。而hedwig.cgi 在cgibin 中。 而漏洞产生的原因是Cookie的值超长早场缓冲区溢出。 这里使用IDA 打开 cgibin 。 查找HTTP_COOKIE 。直接查找字符串,查看交叉引用。定位到sess_get_uid 函数。 在ses
DLink816固件 DIR816_A1_FW101CNB02.img
04-11
DLink816固件 DIR816_A1_FW101CNB02.img中文固件 dlink路由器固件
Dlink路由器模拟器
weixin_34099526的博客
03-09 337
http://support.dlink.com/Emulators/dgl4100/17/Advanced_Special_Applications.html
0x01 设备漏洞---Binwalk神器使用
q759451733的博客
01-23 510
1.固件扫描: binwalk xxx.bin 2.提取文件: 选项"-e"按照预定义的配置文件中的提取方法从固件中提取探测到的文件及系统 binwalk -e xxx.bin 选项"-M"根据magic签名扫描结果进行递归提取,仅对"-e"和"-dd"选项有效 binwalk -Me xxx.bin 选项"-d"用于限制递归提取的深度,默认深度为8,仅当"-M"选项存在时有效 ...
D-LINK DIR-816 A1固件
03-02
D-LINK DIR-816 A1最新固件,很不容易才找到,英文版的,自己用起来还可以,比以前稳定
使用qemu进行路由器环境的虚拟搭建
底层社会中的弱智
06-27 6044
跟着墨鱼实验室的大佬学习复现 参考原文:https://mp.weixin.qq.com/s/ew9SY8SMDvtMptF6k1TKdw 本次针对的路由器固件是华为路由器 下载地址 链接:https://pan.baidu.com/s/1soGEzvU1dBHau-r0WTFaNQ 提取码:0000 使用binwalk提取文件系统 binwalk –Vme HG532eV100R001C01B020_upgrade_packet.bin 出现了报错,查看下报错内容: 是缺少sasqu
D-Link DIR505路由器溢出漏洞实战
牛叫兽的测试学习和分享
12-14 5212
IOT安全,溢出漏洞学习实践
【CVE-2019-16920】多款D-Link路由器的未授权RCE漏洞复现
Blog of Jaoing
04-22 2257
友讯科技股份有限公司(D-Link Corporation)是一家台湾科技公司,总部位于台北市内湖区,于1986年由高次轩成立。公司专注于电脑网络设备的设计开发,自创“D-Link”品牌,主要生产制造消费者及企业所使用的无线网络和以太网硬件产品......
【工业安全-CVE-2019-17621-D-Link Dir-859L 路由器远程代码执行漏洞
最新发布
weixin_65311462的博客
02-12 1386
1.漏洞描述2.环境搭建3.漏洞复现4.漏洞分析4.1:代码分析4.2:流量分析。
D-LINK DP310驱动.rar
04-30
附件为DP 310 系统光盘自带的内容,其中PS_admin 工具用于设置D_link 打印服务器的IP,更方便更直观。
D-Link DIR-815 A1版 更新固件 1.04b03
06-14
适用于DIR-815 硬件版本A1 固件日期:2013年07月31日 更新项目:增加安全
DlinkDP310打印服务器找回ip,第二章 DLink_DP310打印服务器用户手册.pdf
weixin_36250220的博客
07-29 989
D-Link DP-310便携式打印服务器用户手册V1.00(CN)目录装箱清单 4装箱清单 4系统要求 4介绍 5外部特性 7以太网端口 7DC 电源插口 7LED 指示灯 8并行打印机端口 9设置DP-310 10安装打印服务器 10电源自检(POST ) 10开始 11使用PS-Wizard 12自动运行程序的安装 12PS-Wizard 12安装PS-Wizard 13使用PS-W...
固件解包--binwalk分析
samli的博客
09-23 3486
Binwalk binwalk完整安装 binwalk/INSTALL.md at master · ReFirmLabs/binwalk · GitHub binwalk -h Binwalk v2.2.0-ff34b12 Craig Heffner, ReFirmLabs https://github.com/ReFirmLabs/binwalk Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] ... Sig...
qemu虚拟机模拟固件环境搭建
weixin_52111404的博客
07-30 7752
qemu虚拟机模拟固件环境搭建并配置路由器漏洞分析环境
【调试笔记-20240521-Linux-编译 QEMU/x86_64 可运行的 OpenWrt 固件】
David唐辉的博客
05-21 2742
本文记录在 Linux 环境下编译运行 QEMU/x86_64 虚拟机系统可运行的 OpenWrt 固件。实验使用的电脑如下:本文介绍了在 Ubuntu 22.04 中编译 QEMU 可运行的 OpenWrt 固件的步骤,并指出过程中遇到的问题及解决方法。
openwrt的解构固件包与构建固件包(请多指教)
pandaSIX的博客
04-28 3970
openwrt 的解构固件方式与构建固件包
Tenda AC15路由器仿真——IDA+QEMU
The54No1的博客
03-07 2196
使用IDA对tenda AC15路由器进行仿真
IOT固件模拟-dir605L_FW_113(函数劫持)
qq_43390703的博客
10-24 8946
复现基本操作 固件提取 首先需要进行下载并且进行固件解压。 在进行固件解压的时候,前面由于环境问题一直解压失败,与路由器相关的文件夹是空的在squashfs-root下没有任何东西,自习查看报错提示,需要注意相关binwalk插件或者是依赖的安装,本人环境需要进行sasquatch 安装,完成安装后,binwalk的解压结果多了:squashfs-root-0,进入就是正常的目录结构了。 # 安装依赖库文件 $ sudo apt-get install build-essential liblzma-dev
用java是实现收到数据,先按照如下规则转义0X7D0X01--> 0X7D 0X7D0X02--> 0X5B 0X7D0X03--> 0X5D 0X7D0X04--> 0X2C 0X7D0X05--> 0X2A,然后保存成jpg格式图片。
05-30
收到数据后,可以先将数据进行转义,然后再将转义后的数据保存为 jpg 格式的图片,可以参考以下示例代码实现: ```java import java.io.*; public class DataHandler { public static void main(String[] args) { // 接收到的数据 byte[] receivedData = new byte[]{0x7D, 0x01, 0x7D, 0x02, 0x7D, 0x03, 0x7D, 0x04, 0x7D, 0x05}; // 转义数据 byte[] escapedData = escapeData(receivedData); // 保存为 jpg 格式的图片 saveJpgFile(escapedData); } // 转义数据 private static byte[] escapeData(byte[] data) { ByteArrayOutputStream outputStream = new ByteArrayOutputStream(); for (byte b : data) { switch (b) { case 0x7D: outputStream.write(0x7D); outputStream.write(0x01); break; case 0x02: outputStream.write(0x5B); break; case 0x03: outputStream.write(0x5D); break; case 0x04: outputStream.write(0x2C); break; case 0x05: outputStream.write(0x2A); break; default: outputStream.write(b); break; } } return outputStream.toByteArray(); } // 保存为 jpg 格式的图片 private static void saveJpgFile(byte[] data) { FileOutputStream fileOutputStream = null; try { fileOutputStream = new FileOutputStream("image.jpg"); fileOutputStream.write(data); } catch (IOException e) { e.printStackTrace(); } finally { if (fileOutputStream != null) { try { fileOutputStream.close(); } catch (IOException e) { e.printStackTrace(); } } } } } ``` 在这个示例代码中,我们使用了 ByteArrayOutputStream 和 FileOutputStream 类分别进行数据转义和保存图片。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值