路由器漏洞复现分析第二弹:CNVD-2018-01084

2018-02-21 421541人围观 ,发现 7 个不明物体 漏洞

*本文原创作者:kczwa1,本文属FreeBuf原创奖励计划,未经许可禁止转载

感谢基友zBetweener一直与我讨论此次分析中遇到的各种问题,没有他的帮助我无法完成此文。

1月17日,CNVD公开了D-LinkDIR 615/645/815 service.cgi远程命令执行漏洞(CNVD-2018-01084),freebuf上有前辈写了一篇漏洞复现和poc的文章(http://www.freebuf.com/new/160716.html)。

在上一篇文章(http://www.freebuf.com/vuls/160040.html)里实际操作了一下用qemu system模式模拟路由器环境,那这一次再通过分析CNVD-2018-01084实际操作一下用qemu user 模式配合IDA对固件做调试。

漏洞信息 :

D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞是由于service.cgi中拼接了HTTP POST请求中的数据,造成后台命令拼接,导致可执行任意命令。

一 运行环境分析

先下载到相关固件,dir815_FW_102.bin,此文件对应D-Link815路由器102版本固件 ,binwalk解开后找到cgibin文件.

IDA打开Cgibin看一下main函数,如果要运行到处理service.cgi函数的分支,需要将一个参数设为相应的字符串

图片.png

尝试了之前网上一些大神的脚本方法,用标准输入的参数方式或者是直接在qemu命令后面加参数的方式,如下的代码,都没能成功

echo "$INPUT" |chroot . ./qemu ./htdocs/cgibin

chroot . ./qemu  ./htdocs/cgibin service.cgi

后来发现需要用qemu -0 的方式来指定参数第一个参数

chroot. ./qemu  -0 “service.cgi” ./htdocs/cgibin.

运行cgibin,还需要配置一些必要的参数,搜索一下servicecgi_main,发现里面及其子函数cgibin_parse_request里面会取如下的环境变量,如果不配置相应的环境变量那么cgibin运行后会直接走到http 解析失败的分支。

图片.png

图片.png

图片.png

图片.png

因此在执行cgibin时还需要加入如下的环境变量

-E REQUEST_METHOD="POST" -E CONTENT_LENGTH=10 -EREQUEST_URI="service.cgi  -ECONTENT_TYPE="application/x-www-form-urlencoded"  -EHTTP_COOKIE="uid=aaaaa"

如果需要调试还要加入 -g 参数指定端口号,那么整合成如下的shell脚本:

#!/bin/bash

PORT=1234

cp $(which qemu-mipsel-static) ./qemu

chroot . ./qemu  -0 "service.cgi" -EREQUEST_METHOD="POST"  -E REQUEST_URI="service.cgi" -E CONTENT_LENGTH=$LEN -ECONTENT_TYPE="application/x-www-form-urlencoded"  -EHTTP_COOKIE="uid=aaaaa"  -g $PORT -E REMOTE_ADDR="127.0.0.1” ./htdocs/cgibin

Ubuntu下面先切换到root用户再运行此脚本,

图片.png

此时cgibin就已经在等待调试器连接的状态。

二 调试器设置

调试器可以选择如下的两种方法:

1. 用buildroot里面编译好的gdb来调试,

步骤如图所示,用gdb启动要调试的文件后设置相应的远程调试地址和端口

 图片.png

2.用IDA来远程调试,

图片.png

首先Ubuntu里安装wine,再用wine运行ida

用ida打开cgibin

图片.png

debugger option里设置

F9开始调试,选择文件和端口,参数等

图片.png

确认附加到远程进程里

图片.png

然后发现ida断在库函数里面

图片.png

F9运行,就到main函数入口处了

图片.png

三  调试过程

 CGI中一般通过getenv或stdlib库函数getenv来获得环境变量获取post过来的数据,

在cgibin中未找到stdin,scanf这样的函数或者字符串,因此把要注入的命令当做输入参数传递不能成功,仔细检查每一个genenv,把要注入的命令放到request_uri环境变量时候成功

图片.png

图片.png

当取到request_uri后,如下图,会去取”?”后面的内容,也就是我们注入的参数, 

图片.png

因此在我们的shell脚本里面需要如下修改: 

-E  REQUEST_URI="service.cgi\?EVENT=CHECKFW%26ls%26"

http解析成功后,就是验证cookie的sess_ispoweruser函数,直接修改了返回值v0过掉,

图片.png

接下来就是用去取request_uri里面的参数,里面可以存在event,action,service三种类型的命令,

图片.png

找到event参数后,v0的值为CHECKFW&ls&:

图片.png

继续往下进入lxmldbc_system函数,vsnprintf将v0的内容输出到s0,s0的值为” eventCHECKFW&ls& > /dev/null  “  ,已经是我们预期要执行的注入命令,然后赋值给a0作为system命令的第一个参数。

图片.png

在shell脚本里加入 -strace参数 ,可以看到此时的系统调用,如图,system函数执行了我们需要的参数,但是却报错 

图片.png

目前的qemu版本:

图片.png

造成以上错误的原因是,qemu2.5 user模式并未实现execve函数,需要下载带补丁版本的qemu2.9版本并调加-evecve参数,

图片.png

最终的shell脚本如下:

#!/bin/bash

PORT="1234"

chroot . ./qemu  -0 "service.cgi" -EREQUEST_METHOD="POST"  -E REQUEST_URI="service.cgi\?EVENT=CHECKFW%26ls%26" -ECONTENT_LENGTH=$LEN -ECONTENT_TYPE="application/x-www-form-urlencoded"  -E HTTP_COOKIE="uid=aaaaa" -g $PORT -E REMOTE_ADDR="127.0.0.1"  -execve -strace./htdocs/cgibin

再执行后如图,注入的ls命令成功执行

图片.png

*本文原创作者:kczwa1,本文属FreeBuf原创奖励计划,未经许可禁止转载

发表评论

已有 7 条评论

取消
Loading...
css.php