D-LINK DIR-830L路由器漏洞挖掘与分析教程<\/h1>

1. 厂商与设备概述<\/h2>

D-Link（友讯科技）<\/strong>：<\/p>

成立于1986年，全球前三大专业网络公司<\/li>
产品包括交换机、无线、宽带及数字家庭网络产品<\/li>
全球70余国设立超过160个行销据点<\/li> <\/ul>
DIR-830L A1路由器<\/strong>：<\/p>

固件版本：DIR830LA1_FW100B07<\/li>
固件下载地址：legacyfiles.us.dlink.com\/DIR-830L\/REVA\/FIRMWARE\/<\/li>
固件未加密，可使用binwalk -Me<\/code>提取<\/li> <\/ul> 2. 环境搭建与准备<\/h2> 仿真环境<\/h3> 使用FirmAE进行仿真：https:\/\/github.com\/pr0v3rbs\/FirmAE<\/li> <\/ul> 关键二进制文件<\/h3> 核心文件：sbin\/ncc2<\/code><\/li> Web与二进制文件间的桥梁：callback_xxx<\/code>类型函数<\/li> <\/ul> 3. 漏洞详细分析<\/h2> 3.1 cancelPing缓冲区溢出漏洞<\/h3> 漏洞点<\/strong>：<\/p> 位于callback_ccp_ping<\/code>函数<\/li> 触发格式：ccp_act=cancelPing&nextPage=xxxx<\/code><\/li> 变量char v10[260]<\/code>存在栈溢出风险<\/li> <\/ul> PoC<\/strong>：<\/p> 使用登录cookie（空密码）<\/li> 发送超长nextPage<\/code>参数请求<\/li> 需要发送两次请求<\/li> <\/ol> 3.2 ping_v4命令注入漏洞<\/h3> 漏洞点<\/strong>：<\/p> ping_addr<\/code>参数用户可控<\/li> 过滤不全面（仅过滤了;<\/code>）<\/li> 可使用%0a<\/code>换行符绕过<\/li> <\/ul> PoC<\/strong>：<\/p> ccp_act=ping_v4&ping_addr=127.0.0.1%0a[恶意命令] <\/code><\/pre> 3.3 ping_v6命令注入漏洞<\/h3> 漏洞点<\/strong>：<\/p> 与ping_v4原理相同<\/li> ping_addr<\/code>参数用户可控<\/li> <\/ul> PoC<\/strong>：<\/p> ccp_act=ping_v6&ping_addr=::1%0a[恶意命令] <\/code><\/pre> 3.4 sub_450E7C缓冲区溢出漏洞<\/h3> 漏洞点<\/strong>：<\/p> 在callback_ccp_get_set<\/code>中调用sub_450E7C<\/code><\/li> 使用危险函数sprintf<\/code>，参数完全可控<\/li> 访问路径：get_set.ccp<\/code><\/li> <\/ul> 3.5 web_access.ccp目录遍历漏洞<\/h3> 漏洞点<\/strong>：<\/p> callback_ccp_web_access<\/code>函数<\/li> 当ccp_act=setfolder<\/code>时调用sub_4B188C<\/code><\/li> 未过滤.<\/code>和\/<\/code>，导致路径穿越<\/li> <\/ul> 利用方式<\/strong>：<\/p> 在任意可写路径下创建文件夹<\/li> 示例：在\/www<\/code>目录创建poc4.html<\/li> <\/ul> 3.6 mydlink_api.ccp拒绝服务漏洞<\/h3> 漏洞点<\/strong>：<\/p> 不传任何payload会导致网页崩溃<\/li> <\/ul> 3.7 mydlink_api.ccp命令注入漏洞<\/h3> 漏洞点<\/strong>：<\/p> api_page<\/code>参数用户可控<\/li> 直接拼接至_system<\/code>调用中<\/li> <\/ul> PoC<\/strong>：<\/p> ccp_act=[恶意命令]&api_page=[恶意参数] <\/code><\/pre> 3.8 do_login硬编码凭证漏洞<\/h3> 漏洞点<\/strong>：<\/p> sbin\/ncc2<\/code>的do_login<\/code>函数中存在硬编码凭证<\/li> <\/ul> 3.9 pingV4Msg命令注入漏洞<\/h3> 初始限制<\/strong>：<\/p> 会先做DNS解析，解析失败则不执行system<\/li> <\/ul> 绕过方法<\/strong>：<\/p> 使用%0a<\/code>换行符绕过正则匹配<\/li> <\/ul> PoC<\/strong>：<\/p> ccp_act=pingV4Msg&ping_addr=127.0.0.1%0a[恶意命令] <\/code><\/pre> 4. 漏洞汇总表<\/h2> 编号<\/th> 漏洞类型<\/th> 影响组件<\/th> 攻击方式<\/th> 修复建议<\/th> <\/tr> <\/thead> 1<\/td> 缓冲区溢出<\/td> cancelPing<\/td> 发送超长nextPage参数<\/td> 增加输入长度检查<\/td> <\/tr> 2<\/td> 命令注入<\/td> ping_v4<\/td> 通过ping_addr注入，%0a绕过<\/td> 严格过滤用户输入<\/td> <\/tr> 3<\/td> 命令注入<\/td> ping_v6<\/td> 同上<\/td> 同上<\/td> <\/tr> 4<\/td> 缓冲区溢出<\/td> sub_450E7C<\/td> 发送超长Interface字段<\/td> 增加输入长度检查<\/td> <\/tr> 5<\/td> 目录遍历<\/td> web_access.ccp<\/td> 利用路径穿越上传文件<\/td> 严格过滤路径参数<\/td> <\/tr> 6<\/td> 拒绝服务<\/td> mydlink_api.ccp<\/td> 不传有效payload<\/td> 增加无效输入检测<\/td> <\/tr> 7<\/td> 命令注入<\/td> mydlink_api.ccp<\/td> 通过api_page注入<\/td> 严格过滤api_page参数<\/td> <\/tr> 8<\/td> 硬编码凭证<\/td> do_login<\/td> 使用硬编码凭证登录<\/td> 删除硬编码凭证<\/td> <\/tr> 9<\/td> 命令注入<\/td> pingV4Msg<\/td> 通过ping_addr注入，%0a绕过<\/td> 严格过滤ping_addr参数<\/td> <\/tr> <\/tbody> <\/table> 5. 漏洞挖掘经验总结<\/h2> 关键桥梁定位<\/strong>：<\/p> 找到web端和bin端连接的桥梁（如callback_xxx<\/code>函数）<\/li> <\/ul> <\/li> 搜索技巧<\/strong>：<\/p> 使用grep -r<\/code>搜索关键信息<\/li> 通过web端抓包参数定位关键二进制文件<\/li> <\/ul> <\/li> 绕过技巧<\/strong>：<\/p> Web安全中的bypass技巧（如%0a<\/code>换行符）同样适用于IoT的web端输入<\/li> <\/ul> <\/li> 漏洞模式识别<\/strong>：<\/p> 关注危险函数（system<\/code>、sprintf<\/code>等）<\/li> 检查用户输入过滤是否全面<\/li> 注意缓冲区大小限制<\/li> <\/ul> <\/li> 测试方法<\/strong>：<\/p> 对每个用户可控参数进行边界测试<\/li> 尝试各种特殊字符和超长输入<\/li> <\/ul> <\/li> <\/ol> 6. 免责声明<\/h2> 本文提到的所有漏洞均已报送CVE、CNVD，仅供学习交流使用，请勿用于非法用途。<\/p>

编号<\/th>	漏洞类型<\/th>	影响组件<\/th>	攻击方式<\/th>	修复建议<\/th> <\/tr> <\/thead>
1<\/td>	缓冲区溢出<\/td>	cancelPing<\/td>	发送超长nextPage参数<\/td>	增加输入长度检查<\/td> <\/tr>
2<\/td>	命令注入<\/td>	ping_v4<\/td>	通过ping_addr注入，%0a绕过<\/td>	严格过滤用户输入<\/td> <\/tr>
3<\/td>	命令注入<\/td>	ping_v6<\/td>	同上<\/td>	同上<\/td> <\/tr>
4<\/td>	缓冲区溢出<\/td>	sub_450E7C<\/td>	发送超长Interface字段<\/td>	增加输入长度检查<\/td> <\/tr>
5<\/td>	目录遍历<\/td>	web_access.ccp<\/td>	利用路径穿越上传文件<\/td>	严格过滤路径参数<\/td> <\/tr>
6<\/td>	拒绝服务<\/td>	mydlink_api.ccp<\/td>	不传有效payload<\/td>	增加无效输入检测<\/td> <\/tr>
7<\/td>	命令注入<\/td>	mydlink_api.ccp<\/td>	通过api_page注入<\/td>	严格过滤api_page参数<\/td> <\/tr>
8<\/td>	硬编码凭证<\/td>	do_login<\/td>	使用硬编码凭证登录<\/td>	删除硬编码凭证<\/td> <\/tr>
9<\/td>	命令注入<\/td>	pingV4Msg<\/td>	通过ping_addr注入，%0a绕过<\/td>	严格过滤ping_addr参数<\/td> <\/tr> <\/tbody> <\/table> 5. 漏洞挖掘经验总结<\/h2> 关键桥梁定位<\/strong>：<\/p> 找到web端和bin端连接的桥梁（如`callback_xxx<\/code>函数）<\/li> <\/ul> <\/li>` 搜索技巧<\/strong>：<\/p> 使用grep -r<\/code>搜索关键信息<\/li> 通过web端抓包参数定位关键二进制文件<\/li> <\/ul> <\/li> 绕过技巧<\/strong>：<\/p> Web安全中的bypass技巧（如%0a<\/code>换行符）同样适用于IoT的web端输入<\/li> <\/ul> <\/li> 漏洞模式识别<\/strong>：<\/p> 关注危险函数（system<\/code>、sprintf<\/code>等）<\/li> 检查用户输入过滤是否全面<\/li> 注意缓冲区大小限制<\/li> <\/ul> <\/li> 测试方法<\/strong>：<\/p> 对每个用户可控参数进行边界测试<\/li> 尝试各种特殊字符和超长输入<\/li> <\/ul> <\/li> <\/ol> 6. 免责声明<\/h2> 本文提到的所有漏洞均已报送CVE、CNVD，仅供学习交流使用，请勿用于非法用途。<\/p>