从零开始复现CVE-2023-20073漏洞教学文档<\/h1>

漏洞概述<\/h2>
CVE-2023-20073是思科(Cisco)多款路由器(RV340、RV340W、RV345和RV345P)中存在的未授权文件上传漏洞。攻击者可以通过上传文件到`\/tmp\/upload<\/code>目录并配合upload.cgi<\/code>实现存储型XSS攻击，最终可篡改设备登录页面。<\/p>`

复现环境准备<\/h2>

物理机<\/strong>: Windows 11<\/li>
宿主机<\/strong>: Ubuntu 22.04<\/li>
目标设备<\/strong>: 思科RV系列路由器模拟环境<\/li>
<\/ul>
固件获取与处理<\/h2>


下载固件<\/strong>:<\/p>

从思科官网下载对应型号的固件: Software Download - Cisco Systems<\/a><\/li>
<\/ul>
<\/li>

固件分离<\/strong>:<\/p>

使用binwalk<\/code>工具分离固件<\/li>
安装必要依赖:
sudo apt install lzop
<\/span><\/span><\/code><\/pre><\/li>
解压命令:
binwalk -Me <固件文件名>
<\/span><\/span><\/code><\/pre><\/li>
解压成功后，文件系统通常在rootfs<\/code>目录中<\/li>
<\/ul>
<\/li>
<\/ol>
QEMU环境搭建<\/h2>


确定架构<\/strong>:<\/p>

检查bin\/busybox<\/code>文件架构:
file bin\/busybox
<\/span><\/span><\/code><\/pre><\/li>
确认是32位小端序(LSB)ARM架构<\/li>
<\/ul>
<\/li>

下载QEMU镜像<\/strong>:<\/p>

从以下地址下载必要的QEMU组件:

Index of \/~aurel32\/qemu\/armhf<\/a><\/li>
<\/ul>
<\/li>
需要下载的三个文件:

debian_wheezy_armhf_standard.qcow2<\/code><\/li>
initrd.img-3.2.0-4-vexpress<\/code><\/li>
vmlinuz-3.2.0-4-vexpress<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

启动脚本<\/strong>:<\/p>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>qemu-system-arm -M vexpress-a9 -kernel vmlinuz-3.2.0-4-vexpress \
<\/span><\/span><\/span><\/span>-initrd initrd.img-3.2.0-4-vexpress -drive if<\/span>=<\/span>sd,file=<\/span>debian_wheezy_armhf_standard.qcow2 \
<\/span><\/span><\/span><\/span>-append "root=\/dev\/mmcblk0p2 console=ttyAMA0"<\/span> -net nic -net tap,ifname=<\/span>tap0,script=<\/span>no,downscript=<\/span>no -nographic
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
网络配置<\/h2>


创建网桥和tap设备<\/strong>:<\/p>
sudo brctl addbr br0
<\/span><\/span>sudo ip tuntap add tap0 mode tap
<\/span><\/span>sudo brctl addif br0 tap0
<\/span><\/span>sudo ip link set br0 up
<\/span><\/span>sudo ip link set tap0 up
<\/span><\/span>sudo dhclient br0
<\/span><\/span><\/code><\/pre><\/li>

QEMU网络问题排查<\/strong>:<\/p>

检查\/etc\/network\/interfaces<\/code>配置，确保网卡名正确<\/li>
确保宿主机br0<\/code>和tap0<\/code>配置正确<\/li>
如无DHCP服务，可手动分配IP:
ifconfig eth0 192.168.1.100 netmask 255.255.255.0
<\/span><\/span>route add default gw 192.168.1.1
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
<\/ol>
文件系统传输与准备<\/h2>


压缩并传输文件系统<\/strong>:<\/p>
tar czvf rootfs.tar.gz rootfs\/
<\/span><\/span>scp rootfs.tar.gz root@<qemu-ip>:\/root\/
<\/span><\/span><\/code><\/pre><\/li>

设置chroot环境<\/strong>:<\/p>
mkdir \/root\/rootfs
<\/span><\/span>tar xzvf rootfs.tar.gz -C \/root\/rootfs
<\/span><\/span>mount -t proc proc \/root\/rootfs\/proc
<\/span><\/span>mount -t devtmpfs dev \/root\/rootfs\/dev
<\/span><\/span>chroot \/root\/rootfs \/bin\/sh
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
服务启动<\/h2>


启动必要服务<\/strong>:<\/p>
\/etc\/init.d\/nginx start
<\/span><\/span>\/etc\/init.d\/uwsgi start
<\/span><\/span><\/code><\/pre><\/li>

服务启动问题解决<\/strong>:<\/p>

参考ZIKH26师傅的解决方案: 从零开始复现CVE-2023-20073 | ZIKH26's Blog<\/a><\/li>
<\/ul>
<\/li>

防火墙配置<\/strong>:<\/p>
sudo iptables -A FORWARD -i br0 -j ACCEPT
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
漏洞分析<\/h2>


Nginx配置分析<\/strong>:<\/p>

检查\/etc\/nginx\/conf.d<\/code>目录<\/li>
发现\/api\/operations\/ciscosb-file:form-file-upload<\/code>接口允许未授权文件上传<\/li>
前提是http_authorization<\/code>字段不为空<\/li>
<\/ul>
<\/li>

文件上传流程<\/strong>:<\/p>

文件上传到\/tmp\/upload<\/code>目录<\/li>
通过web.upload.conf<\/code>配置转发到uwsgi处理<\/li>
最终调用\/www\/cgi-bin\/upload.cgi<\/code><\/li>
<\/ul>
<\/li>

二进制逆向分析<\/strong>:<\/p>

upload.cgi<\/code>的main函数会调用授权检查函数<\/li>
存在system("mv -f a2 v8\/a3")<\/code>命令执行<\/li>
参数a2<\/code>(文件路径)和a3<\/code>(目标文件名)可控<\/li>
\/tmp\/www\/login.html<\/code>是软链接，可被篡改<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞利用<\/h2>


动态调试准备<\/strong>:<\/p>

下载ARM架构的gdbserver: gdb-static-cross<\/a><\/li>
修改upload.cgi<\/code>二进制文件，使其在第一个跳转处循环<\/li>
设置权限:
chmod 777<\/span> \/www\/cgi-bin\/upload.cgi
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>

构造恶意请求<\/strong>:<\/p>

确保Authorization<\/code>头部不为空<\/li>
上传文件到\/tmp\/upload<\/code>目录<\/li>
通过调试确定上传后的文件名(如\/tmp\/upload\/0000000001<\/code>)<\/li>
<\/ul>
<\/li>

执行文件移动<\/strong>:<\/p>

触发mv -f \/tmp\/upload\/0000000001 \/tmp\/www\/login.html<\/code><\/li>
篡改后的登录页面将显示上传的内容<\/li>
<\/ul>
<\/li>

调试过程<\/strong>:<\/p>

启动gdbserver:
gdbserver :1234 \/www\/cgi-bin\/upload.cgi
<\/span><\/span><\/code><\/pre><\/li>
宿主机连接调试:
gdb-multiarch -q
<\/span><\/span>target remote <qemu-ip>:1234
<\/span><\/span><\/code><\/pre><\/li>
<\/ul>
<\/li>
<\/ol>
修复与恢复<\/h2>

重启服务可恢复原始登录页面<\/li>
思科官方已发布补丁，建议用户及时更新固件<\/li>
<\/ul>
总结<\/h2>
通过本教程，我们完整复现了CVE-2023-20073漏洞的利用过程，从环境搭建到漏洞分析，再到最终的漏洞利用。此漏洞的关键在于未授权文件上传和不当的文件移动操作，导致攻击者可以篡改登录页面。<\/p>

从零开始复现CVE-2023-20073漏洞教学文档<\/h1>

漏洞概述<\/h2> CVE-2023-20073是思科(Cisco)多款路由器(RV340、RV340W、RV345和RV345P)中存在的未授权文件上传漏洞。攻击者可以通过上传文件到\/tmp\/upload<\/code>目录并配合upload.cgi<\/code>实现存储型XSS攻击，最终可篡改设备登录页面。<\/p>

网络配置<\/h2> 创建网桥和tap设备<\/strong>:<\/p>

漏洞分析<\/h2> Nginx配置分析<\/strong>:<\/p>

总结<\/h2> 通过本教程，我们完整复现了CVE-2023-20073漏洞的利用过程，从环境搭建到漏洞分析，再到最终的漏洞利用。此漏洞的关键在于未授权文件上传和不当的文件移动操作，导致攻击者可以篡改登录页面。<\/p>

漏洞概述<\/h2>
CVE-2023-20073是思科(Cisco)多款路由器(RV340、RV340W、RV345和RV345P)中存在的未授权文件上传漏洞。攻击者可以通过上传文件到`\/tmp\/upload<\/code>目录并配合upload.cgi<\/code>实现存储型XSS攻击，最终可篡改设备登录页面。<\/p>`

总结<\/h2>
通过本教程，我们完整复现了CVE-2023-20073漏洞的利用过程，从环境搭建到漏洞分析，再到最终的漏洞利用。此漏洞的关键在于未授权文件上传和不当的文件移动操作，导致攻击者可以篡改登录页面。<\/p>