漏洞詳情

CVE-2022-1262，多款D-Link 路由器固件映像上的 /bin/protest二進(jìn)制文件容易受到命令注入的攻擊。這允許經(jīng)過身份驗證的攻擊者以 root 身份執(zhí)行任意 shell 命令，并且可以很容易地用于在設(shè)備上獲取 root shell。

固件解密

dlink的dir系列解密方法很相似，大多都是在上一版本中存在固件解密文件，一般是以qemu用戶態(tài)運行解密程序就可以完成，如果找不到未加密的版本或者中間版本的固件時，可找型號相近的固件，實際測試中，某些型號的固件解密程序確實是通用的，大致操作如下，根據(jù)架構(gòu)切換執(zhí)行根目錄，運行相應(yīng)二進(jìn)制解密文件

漏洞復(fù)現(xiàn)

在路由器文件系統(tǒng)根目錄下，chroot切換根路徑

啟動cli，以進(jìn)入router終端。

（在實際運行的設(shè)備中，這里是一個后門，使用telnet連接，賬戶為admin，web口令+硬編碼@twsz2018，如passwd@twsz2018，即可進(jìn)入

直接運行系統(tǒng)命令會出錯，加上分號截斷，可以成功執(zhí)行系統(tǒng)命令

漏洞分析

IDA分析/bin/protest，已知存在命令注入漏洞，首先查看system調(diào)用，有一處會將輸入的client_secret值拼接到字符串使用system()去執(zhí)行，復(fù)現(xiàn)時第一條回顯信息和偽代碼片段上方的printf信息吻合，說明程序確實執(zhí)行到system()上方，也就沒有再去調(diào)試看

編輯：黃飛