CVE-2023-33381:在 MitraStar GPT-2741GNAC路由 上注入操作系统命令
设备:GPT-2741GNAC
固件版本:AR_g5.8_110WVN0b7_2
漏洞描述:
通过 SSH 登录后,我立即注意到可用命令和选项的集合有限。很明显,我确实被限制在一个受限的 shell 环境中。
在探索了几个已知的漏洞之后,我决定深入研究新的漏洞。首先,我登录管理门户并开始测试可能导致操作系统命令注入的各种功能。在 Diagnostic 菜单中,我遇到了一个特殊的功能,它允许我使用 ping 和 traceroute 命令测试连接。
所以,我决定通过添加一个“;”来尝试偷偷摸摸的东西。性格听从我的命令。我执行了“cat /etc/passwd”,你猜怎么着?命令运行成功。
我更进一步,执行“sed”命令,用完整的交互式 shell 替换“/etc/passwd”文件中的受限 shell 条目。
如下图所示,我所做的修改使我能够登录并自由执行“uname”和“cat”等命令
ROOT
由于我拥有完全的管理员权限,我忍不住深入研究以发现易受攻击的组件。在检查浏览器请求时,我注意到了一些有趣的事情。有两个 CGI 文件,“ping.cgi”和“DiagGeneral.cgi”,是请求的目标。
抓取文件后,我使用 Ghidra 进行逆向工程获得了一些乐趣。这是有趣的部分:在“ping.cgi”文件中,我注意到 PingIPAddr参数是直接从用户输入中获取的,没有进行任何适当的清理。从用户输入中获取的PingIPAddr参数被存储以供将来使用tcapi_set函数使用。
最后,在 DiagGeneral.cgi 文件中,使用tcapi_get函数检索 PingIPAddr 参数,然后直接在系统函数中使用,无需任何清理。此缺陷会产生一个命令注入漏洞,允许在系统上未经授权地执行任意命令。
参考:
https://github.com/duality084/CVE-2023-33381-MitraStar-GPT-2741GNAC
原文始发于微信公众号(Ots安全):CVE-2023-33381:MitraStar GPT-2741GNAC路由注入
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论