介绍：

腾达 AC9是专为家庭用户设计的高性能1200M无线路由器无线路由器。可以更好地发挥光纤宽带网络的优势，畅享更快、更好的4K超清视频与竞技游戏效果，AC9配置5个千兆网口，搭配美国博通高性能900MHz CPU、128MB DDR3内存。基于内置的信号收发增强模块和Beamforming+智能信号技术，WiFi穿墙能力强劲，覆盖范围最高可达350㎡，可有效规避WiFi盲区。

漏洞概述：

固件版本为V15.03.05.19的Tenda ac9 v1.0路由器中，路由/goform/SetSambaCfg存在命令注入漏洞，可能导致远程任意代码执行。

影响版本：

Tenda ac9 v1.0 V15.03.05.19

FOFA:

app="Tenda-路由器"

搭建环境：

身边没有相关路由器设备，固件模拟测试在kali 2020 上，kali 地址下载：

https://old.kali.org/kali-images/kali-2020.4/kali-linux-2020.4-installer-amd64.iso

然后安装qemu，我这边很早之前就安装过了，大概安装过程参考如下：

https://hailuoai.com/share/chat/yBDovjW6

接下来下来固件，固件下载地址如下：

https://www.tenda.com.cn/material/show/102682

下载完成，解压压缩包为bin 文件

接着解压bin文件进入路由器文件系统

binwalk -Me ac9_kf_V15.03.05.19\(6318_\)_cn.bin --run-as=root

解压很顺利，没有什么加密

其中squashfs-root 就是路由器的文件系统

查看固件系统架构参数，可以看到是32位arm 架构

file bin/busybox

尝试使用qemu-arm-static模拟

cp $(which qemu-arm-static) ./                       # 复制qemu-arm-static到squashfs-root 
sudo chroot . ./qemu-arm-static bin/httpd            # 模拟启动bin/httpd 并设置squashfs-root目录为根目录

但是一直卡在Welcome to ... 无法进行。复制bin/httpd文件,用IDA Pro 打开

注意：前提是需要提前安装keypatch，keypatch安装参考如下：

https://blog.csdn.net/StepTp/article/details/121889051

安装完成加载的时候控制台会显示

Keypatch Patcher's shortcut key is Ctrl-Alt-K 
Use the same hotkey Ctrl-Alt-K to open 'Fill Range' window on a selected range of code 
To revert (undo) the last patching, choose menu Edit | Keypatch | Undo last patching 
Keypatch Search is available from menu Edit | Keypatch | Search 
Find more information about Keypatch at http://keystone-engine.org/keypatch 
========================================