D-Link路由器命令执行漏洞分析(CVE-2022-26258)技术文档

D-Link路由器命令执行漏洞分析(CVE-2022-26258)技术文档 漏洞概述 CVE-2022-26258是D-Link路由器中存在的一个命令执行漏洞，位于 /lan.asp 页面中，由于对"Device Name"参数处理不当，导致攻击者能够注入并执行任意系统命令。 漏洞分析 漏洞位置 漏洞存在于 /lan.asp 页面中 关键参数： lan_device_name 后端处理文件： get_set.ccp 漏洞触发流程 用户提交的 lan_device_name 参数值被拼接到 paramStr 中 通过 copyDataToDataModelFormat 函数返回 paramStr 最终提交给 get_set.ccp 处理 关键二进制文件分析 通过分析发现，以下四个二进制文件包含 get_set 相关调用： ncc2 bulkListen 其他两个未命名文件 其中 ncc2 是开机自启的服务，是主要的处理程序。 代码分析 ncc2初始化过程 ： 检测fork子进程 设置信号量和信号处理函数 通过 ncc_load_hw_cfg 设置PIN码 命令执行点分析 ： 搜索 system 和 _system 函数 发现 sub_4F6DFC 函数中存在两条路径： 第一条路径：a2参数不可控 第二条路径：v4是 getObj 函数的返回值Obj，需要绕过 hasInjectionString 的判断 过滤绕过 ： hasInjectionString 函数仅进行简单过滤 未过滤冒号( : )和换行符( \n ) 可使用 \n 来绕过过滤实现命令注入 漏洞复现步骤 环境准备 使用FIRMAE进行环境模拟 访问路由器管理界面(默认密码为空) 利用步骤 登录路由器管理界面 修改请求参数： 将 lan_device_name 参数修改为： %0atelnetd -l /bin/sh%0a 注意 ：必须在原始请求包上直接修改，不能重放后修改再发送，否则会导致多次发送引发崩溃 发送修改后的请求 等待约10秒让命令执行 使用telnet连接路由器获取shell 额外漏洞发现 通过分析发现还存在其他潜在漏洞点： 在 tools_vct.asp 页面中 涉及 ping.cpp 的处理 代码结构与主漏洞相似，可能存在类似的命令注入问题 安全建议 及时更新路由器固件 修改默认管理密码 限制管理界面访问权限 对用户输入进行严格过滤，特别是特殊字符和命令分隔符 技术要点总结 漏洞本质 ：未充分过滤用户输入导致的命令注入 关键绕过技术 ：使用换行符( \n )绕过过滤 利用条件 ：需要认证(已登录状态) 影响范围 ：特定版本的D-Link路由器 参考 原始漏洞分析文章：先知社区 CVE编号：CVE-2022-26258 受影响设备：特定型号的D-Link路由器