*本文中涉及到的相关漏洞已报送厂商并得到修复,本文仅限技术研究与讨论,严禁用于非法用途,否则产生的一切后果自行承担。
*本文原创作者:阿哲学长,本文属FreeBuf原创奖励计划,未经许可禁止转载
1.1 概述
友讯集团(D-Link),成立于1986年,1994年10月于台湾证券交易所挂牌上市,为台湾第一家上市的网络公司,以自创D-Link品牌行销全球,产品遍及100多个国家。
1月17日,CNVD公开了D-LinkDIR 615/645/815 service.cgi远程命令执行漏洞(CNVD-2018-01084)。由于笔者近期对网络设备进行渗透技术略有研究,便复现了一下该漏洞。
1.2 漏洞描述
D-Link DIR 615/645/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞是由于service.cgi中拼接了HTTP POST请求中的数据,造成后台命令拼接,导致可执行任意命令。
1.3 影响版本
D-Link DIR 615
D-Link DIR 645
D-Link DIR 815
1.4 复现材料
网络空间搜索引擎:ZoomEye
漏洞利用POC:https://github.com/Cr0n1c/dlink_shell_poc/blob/master/dlink_auth_rce
1.5 复现步骤
1、使用ZoomEye对影响版本网络设备进行搜索。
图1 ZoomEye首页
2、搜索出相应的网络设备。
图2 ZoomEye搜索页面
3、启动D-Link脚本,脚本参数定义:
-h 帮助
-u输入攻击地址,格式为http://xx.xx.xx.xx:xxxx
-x开始攻击利用
-pD-Link密码,正常情况下,这个参数不需要输入
图3 脚本帮助页面
4、使用脚本对目标地址进行攻击
图4 对目标地址进行攻击
5、成功入侵,列出相关文件列表
图5 成功入侵
1.6 总结
笔者经过测试发现,仅D-Link DIR 645复现成功,并且该脚本还具有爆破D-Link DIR 645密码功能。
图6 爆出密码
图7 D-Link后台登陆
图8 成功登陆
*本文原创作者:阿哲学长,本文属FreeBuf原创奖励计划,未经许可禁止转载