【Ladon】Draytek路由器密码审计、CVE-2020-8515命令注入漏洞利用

admin

102642
文章

87
评论

2022年2月12日18:00:01评论638 views字数 4011阅读13分22秒阅读模式

版本

Ladon>=9.1.2

模块

DraytekPoc 检测指定IP或URL是否存在CVE-2020-8515漏洞

DraytekPoc 无txt密码字典时，仅检测Draytek路由默认密码

DraytekExp CVE-2020-8515漏洞命令执行EXP

用法

Example: Ladon 192.168.1.8 DraytekPocExample: Ladon 192.168.1.8/24 DraytekPocExample: Ladon http://k8gege.org DraytekPocExample: Ladon ip24.txt DraytekPocExample: Ladon url.txt DraytekPocExample: Ladon cidr.txt DraytekPoc

PS：目标为IP（IP或批量C段）时检测80、443、8080、8181端口，已确认目标URL可指定URL，以减少对4个端口的探测浪费时间。

漏洞描述

DrayTek URI未能正确处理SHELL字符，远程攻击者可以利用该漏洞提交特殊的请求，可以ROOT权限执行任意命令。远程命令注入漏洞被标记为CVE-2020-8515，主要影响了DrayTek Vigor网络设备，包括企业交换机、路由器、负载均衡器和VPN网关。

PS: 该漏洞公开已快2年，但实战中还是能遇到一些机器

影响范围

Vigor2960 < v1.5.1Vigor300B < v1.5.1Vigor3900 < v1.5.1VigorSwitch20P2121 <= v2.3.2VigorSwitch20G1280 <= v2.3.2VigorSwitch20P1280 <= v2.3.2VigorSwitch20G2280 <= v2.3.2VigorSwitch20P2280 <= v2.3.2

漏洞检测

Poc检测指定URL是否存在CVE-2020-8515漏洞以及探测路由器版本，存在漏洞会返回漏洞编号，默认执行id命令。

【Ladon】Draytek路由器密码审计、CVE-2020-8515命令注入漏洞利用

密码审计

用法和SshScan、SmbScan检测密码一样，该模块区别在于不指定密码字典时检测Draytek默认密码，想要速度快检测默认密码即可。除非说目标真的很重要，可以只跑特定URL的帐密。

【Ladon】Draytek路由器密码审计、CVE-2020-8515命令注入漏洞利用

Exploit

使用Exp模块示例为uname -a查看系统版本，其它命令和Linux差不多，但可能很多命令执行不了。一是系统不存在，二是由于该漏洞的限制，部分存在的命令也执行不了。

【Ladon】Draytek路由器密码审计、CVE-2020-8515命令注入漏洞利用

深入利用后续有空的话再写，本文先简单说一下，拿到密码后，登陆路由器开启代理，再使用Ladon渗透内网即可，如使用Ladon noping 192.168.1.1/24 ms17010 t=8 探测17010快速拿下内网机器。对于没有密码，路由器getshell后从路由开socks代理，同样方法内渗即可，如果拿不下内网机器，也可专门用于代理上网（相信大家也遇到不少站点，只允许特定区域IP访问）。

默认密码

http://www.draytek.com.cn/support/FaqcontentShow.php?article_id=220初始用户名密码/默认用户名密码：
VigorFly 200默认用户名密码 admin/adminVigorFly 210默认用户名密码 admin/adminVigor 2110默认用户名密码 admin/adminVigor 2120默认用户名密码 admin/adminVigor 2910默认用户名密码 admin/adminVigor 2912默认用户名密码 admin/adminVigor 2920默认用户名密码 admin/adminVigor 2922默认用户名密码 admin/adminVigor 2925默认用户名密码 admin/adminVigor 2930默认用户名密码 admin/adminVigor 2950默认用户名密码 admin/adminVigor 2955默认用户名密码 admin/adminVigor 2960默认用户名密码 admin/adminVigor 3900默认用户名密码 admin/adminVigor 3300默认用户名密码 draytek/1234
https://www.draytek.co.uk/support/guides/kb-defaultpassword
Vigor 120     admin     <blank>Vigor 130    admin     adminVigorNIC 132     admin     adminVigor 2760 Series (Linux & DrayOS)    admin     adminVigor 2762 Series     admin     adminVigor 2832 Series     admin     adminVigor 2860 Series     admin     adminVigor 2862 Series     admin     adminVigor 2925 Series     admin     adminVigor 2926 Series     admin     adminVigor 2952     admin     adminVigor 2960     admin     adminVigor 3220     admin     adminVigor 3900     admin     adminVigorBX2000 Series     admin     adminVigorAP 710     admin     adminVigorAP 810     admin     adminVigorAP 902     admin     adminVigorAP 903     admin     adminVigorAP 910C     admin     adminVigorSwitch P1100     admin     adminVigorSwitch P2261    admin     adminVigorSwitch G2260    admin     adminVigorSwitch G1241     admin     adminOlder DrayTek Products
Model    
Username    
PasswordVigor 100, 110     admin     <blank>Vigor 2110 Series    admin     adminVigor 2130 Series     admin     adminVigor 2600 Series    admin     <blank>Vigor 2700 Series     admin     <blank>Vigor 2710 Series    admin     adminVigor 2750 Series    admin     adminVigor 2800 Series     admin     <blank>Vigor 2820 Series (3.3.5.1+)     admin     adminVigor 2820 Series (before 3.3.5.1)     admin     <blank>Vigor 2830 Series    admin     adminVigor 2850 Series    admin     adminVigor 2900 Series    admin     <blank>Vigor 2910 Series    admin     <blank>Vigor 2920 Series    admin     adminVigor 2930 Series     admin     <blank>Vigor 2950, 2955     admin     <blank>Vigor 3200     admin     adminVigor 3300     draytek     1234Vigor 3300Vplus     draytek     1234VigorPro 5510     admin     adminVigorAP 700Serial numbers 095670000001 to 112670000025    admin     adminVigorAP 700Serial number 114670000001 and later    admin     1234VigorAP 800     admin     adminVigorAP 900     admin     adminVigorIPPBX 2820 Series     admin     <blank>VigorIPPBX 3510     admin     <blank>VigorPhone 350     admin     adminVigorPro 5510     admin     <blank>VigorSwitch P2260     admin     adminVigorSwitch G2240     admin     adminVigorSwitch G1240     admin     adminVigorSwitch G1260     admin     admin
https://www.cleancss.com/router-default/DRAYTEKModel     IP Address     Username     Password2800         none     none2920n             V2920N             VIGOR         admin     adminVigor 120             Vigor 120     192.168.1.1     none     noneVigor 2110     192.168.1.1     admin     adminVigor 2130         admin     adminVigor 2130n         admin     adminVigor 2130Vn     192.168.1.1     admin     adminVigor 2132F         admin     adminVigor 2132FVn         admin     adminVigor 2200 USB         admin     noneVigor 2200E         none     noneVigor 2200USB     192.168.1.1         Vigor 2200USB     192.168.1.1     none     noneVigor 2500     192.168.1.1     admin     adminVigor 2500         none     noneVigor 2500V     192.168.1.1     admin     adminVigor 2500V         admin     noneVigor 2600         admin     (none)VIGOR 2600         admin     noneVigor 2600 Plus Series Annex A         admin     none

#     Username     Password1    admin    admin2    (blank)    (blank)3    admin    (blank)4    'blank'     'blank'5    draytek    12346    ''blank''    (blank)7    draytek    (blank)8        admin

原文始发于微信公众号（K8实验室）：【Ladon】Draytek路由器密码审计、CVE-2020-8515命令注入漏洞利用

左青龙
微信扫一扫

右白虎
微信扫一扫

【Ladon】Draytek路由器密码审计、CVE-2020-8515命令注入漏洞利用

软件定义车辆的网络安全白皮书

T-BOX与CAN通信

MCU和MPU的区别

静态E / E架构与机器学习相结合的汽车入侵检测优势

车规级芯片封装技术的详解

Hyundai预防互联自动驾驶汽车的网络安全威胁.

使用生成式 AI 开展安全工程

基于微纳卫星的电磁频谱监测系统技术

美国HawkEye 360电磁频谱监测卫星

第三代CAN总线 CAN-XL

发表评论

在线咨询

微信