路由器安全研究：D-Link DIR-823G v1.02 B05 复现与利用思路

前言 D-Link DIR-823G v1.02 B05存在命令注入漏洞，攻击者可以通过POST的方式往 /HNAP1发送精心构造的请求，执行任意的操作系统命令。 漏洞分析 binwalk提取固件，成功获取到固件。 现在我们已经进入到应用里了，那么我们在进行分析固件的时候，应该怎么去分析这个情况？首先，我们去分析别人的漏洞，别人是会告诉哪里会出现问题。但是我们现在假设我们是分析一个未知固件，我们就得先知道这个固件有哪些应用，启动了哪些服务，最清晰和简便的方式就是去看我们etc文件下面，里面有个叫init.d的目录，里面是关于启动项的内容。 我们首先来看rcS下面的内容 vim rcS 首先是设置ip，然后挂载了两个文件系统分别是proc，这是与进程相关的文件系统，包括当前进程启动存放在哪个地址。 还有ramfs文件系统，根据以前的笔记，可知ramfs文件系统跟RAM相关。 然后下面就是判断是否还有挂载别的文件系统。 然后mkdir就是创建各种各样的文件夹，都有对应的功能，比如说创建了pptp文件夹，针对拨号上网的功能，然后还有smbd服务，可以看到创建了一个usb的文件夹，说明该固件有可以跟usb也就是U盘相关的操作，接下来都是一些配置信息。 继续往下翻 可以看到该固件启动了web server的web服务，也就是httpd的内容，这里启动的是goahead，通过这个名字，我们可以确定web服务就是goahead，如果想要分析web服务的话，就直接分析goahead就可以。 我们回到squashfs-root目录下，搜索goahead的一些简单情况 grep -ir "goahead" . 最下面是两个启动项的内容，可以忽略，然后第一行是bin的可执行应用，这个其实就是我们最后分析的内容。 那如何分析呢？它是一个HNAP1请求，那就可以去检索我们的HANP1请求 grep -ir "HNAP1" . 可以看到它检索到一些js代码，js代码对我们来说一般，(比较我们是找二进制相关的漏洞) 但是，我们可以发现它匹配了一个二进制程序，也就是goahead。 这里我们先科普一下goahead的一些情况： GoAhead ，它是一个源码,免费、功能强大、可以在多个平台运行的嵌入式WebServer。 goahead的websUrlHandlerDefine函数允许用户自定义不同url的处理函数。 它在进行编写与它相关的请求，是通过websUrlHandlerDefine来确定的。 websUrlHandlerDefine(T( "/HNAP1" )，NULL,0, websHNAPHandler,0); websUrlHandlerDefine(T( "/goform" )，NULL,0, websFormHandler,0); websUrlHandlerDefine(T( "/cgi.bin" )，NULL,0, websCgiHandler,0); 使用ghidra进行逆向分析，goahead二进制文件在squashfs-root目录下的bin目录下 那进入到goahead反编译界面该如何分析呢？一种是找到main函数去进行分析，比较耗时 一种是通过关键字来搜索，反推调用情况，来推测每个功能的解析情况 ctrl+shift+E 匹配成功，停在指定区域 但是它所对应的反编译代码还是很多的，所以我们可以通过反编译出来的函数名，进行查看它的调用关系。 一路往下翻，终于找到我们所要的东西 而且我们看到，这个函数继续往上调的话就是main函数了，所以其实一开始也是可以从main函数来分析的(0.0) 所以现在我们可以重点来分析这个函数 前面还是做一些判断，然后请求还有不止HNAP1，对应的都是一个函数。 同一个函数做的事情，类似于websUrlHandlerDefine这个函数，那HANP1对应的函数是 FUN_0042383c，那就双击进去看看 这里就是漏洞点，这里执行了memset和snprintf，一般来说这里应该是不存在漏洞点，但是下面一条语句是system，也就是把格式化化的字符串直接就拿到了system函数作为参数传递进去，而snprintf这里的参数有个echo，有个单引号问题。 比如说正常代码 #!/bin/bash read -p "Enter your name: " name echo 'Hello, ' $name '!' 攻击步骤 ： 正常输入 ：用户输入 Alice ，输出： Hello, Alice! 恶意输入 ：用户输入 '$(id)' ，此时脚本实际执行的命令变为： echo 'Hello, ''$(id)'!' 输出： Hello, $(id)! 单引号内的 $(id) 不会被执行 ，暂时安全。 更危险的