存儲(chǔ)域
數(shù)據(jù)庫(kù)加密 諾亞防勒索訪問(wèn)域
數(shù)據(jù)庫(kù)防水壩 數(shù)據(jù)庫(kù)防火墻 數(shù)據(jù)庫(kù)安全審計(jì) 動(dòng)態(tài)脫敏流動(dòng)域
靜態(tài)脫敏 數(shù)據(jù)水印 API審計(jì) API防控 醫(yī)療防統(tǒng)方運(yùn)維服務(wù)
數(shù)據(jù)庫(kù)運(yùn)維服務(wù) 中間件運(yùn)維服務(wù) 國(guó)產(chǎn)信創(chuàng)改造服務(wù) 駐場(chǎng)運(yùn)維服務(wù) 供數(shù)服務(wù)安全咨詢服務(wù)
數(shù)據(jù)出境安全治理服務(wù) 數(shù)據(jù)安全能力評(píng)估認(rèn)證服務(wù) 數(shù)據(jù)安全風(fēng)險(xiǎn)評(píng)估服務(wù) 數(shù)據(jù)安全治理咨詢服務(wù) 數(shù)據(jù)分類分級(jí)咨詢服務(wù) 個(gè)人信息風(fēng)險(xiǎn)評(píng)估服務(wù) 數(shù)據(jù)安全檢查服務(wù)四年同行,韌性共鑄:西南某商行攜手美創(chuàng)科技再度通過(guò)年度容災(zāi)大考
2025-12-26
以“AI+數(shù)據(jù)安全”領(lǐng)雁!祝賀美創(chuàng)牽頭項(xiàng)目入選浙江省科技廳“尖兵領(lǐng)雁”計(jì)劃 !
2025-12-22
美創(chuàng)AI災(zāi)備專家:引領(lǐng)災(zāi)備領(lǐng)域邁入“智能化”時(shí)代
2025-12-15
熱點(diǎn)觀察|美創(chuàng)科技丁斐:數(shù)據(jù)安全 × 價(jià)值共創(chuàng)?可信數(shù)據(jù)空間的 “雙向奔赴”
2025-12-03
美創(chuàng)科技高校供應(yīng)鏈數(shù)據(jù)安全方案斬獲 2025 年度 “金智獎(jiǎng)”
2025-12-03
Strix自動(dòng)滲透測(cè)試平臺(tái)搭建與使用
2025-12-22
每周安全速遞3?? | 勒索軟件攻擊導(dǎo)致心理健康機(jī)構(gòu)超11萬(wàn)人數(shù)據(jù)泄露
2025-12-19
每周安全速遞3?? | 安卓勒索軟件DroidLock針對(duì)西班牙語(yǔ)言用戶進(jìn)行攻擊
2025-12-15
每周安全速遞3?? | 美國(guó)電信與汽車服務(wù)巨頭遭Cl0p勒索攻擊
2025-12-05
每周安全速遞3?? | ShinyHunters 開(kāi)發(fā)新型勒索軟件ShinySp1d3r
2025-11-21
D-Link DSL-2888A AU_2.31_V1.1.47ae55之前的版本存在遠(yuǎn)程命令執(zhí)行漏洞,經(jīng)過(guò)身份驗(yàn)證的用戶可通過(guò)訪問(wèn)/cgi-bin/execute_cmd.cgi觸發(fā)命令執(zhí)行漏洞。
D-Link DSL-2888A AU_2.31_V1.1.47ae55之前的版本
執(zhí)行命令binwal -Me ../IOT_BUG/CVE-2020-24581/DSL-2888A_AU_2.12_V1.1.47Z1-Image-all.bin --run-as=root將固件文件系統(tǒng)提取,提取后的目錄結(jié)構(gòu)如圖所示
執(zhí)行命令
cd jffs2-root
進(jìn)入文件系統(tǒng),文件系統(tǒng)結(jié)構(gòu)如圖所示
該漏洞為web應(yīng)用漏洞,該固件中web組件為dhttpd,執(zhí)行命令find . -name “dhttpd”搜索web組件位置,搜索結(jié)果如圖所示
如圖所示,通過(guò)IDA打開(kāi)dhttpd
該遠(yuǎn)程命令執(zhí)行接口為/cgi-bin/execute_cmd.cgi,如圖所示,在函數(shù)sub_9C4C中,如果訪問(wèn)路徑中存在/cgi-bin,則調(diào)用sub_BEA0函數(shù)進(jìn)行處理
跟進(jìn)sub_BEA0函數(shù),如圖所示,在sub_BEA0函數(shù)的第52行將cgi文件與cgi-bin目錄進(jìn)行拼接,在第53行判斷cgi文件是否存在,在第63行判斷cgi文件是否存在執(zhí)行權(quán)限
跟進(jìn)sub_BEA0函數(shù),如圖所示,在sub_BEA0函數(shù)的第70行將獲取當(dāng)前文件路徑,在71行在file查找”/”最后一次的位置,如果該位置存在,則在第76行進(jìn)入file目錄
跟進(jìn)sub_BEA0函數(shù),如圖所示,在sub_BEA0函數(shù)的105-108行將進(jìn)行cgi文件執(zhí)行環(huán)境變量配置
跟進(jìn)sub_BEA0函數(shù),如圖所示,在sub_BEA0函數(shù)的111-143行將進(jìn)行身份校驗(yàn)
繼續(xù)跟進(jìn)sub_BEA0函數(shù),如圖所示,通過(guò)身份校驗(yàn)后,在第149行調(diào)用sub_BB5C函數(shù)對(duì)cgi文件進(jìn)行處理
跟進(jìn)sub_BB5C函數(shù),在sub_BB5C函數(shù)的第40行調(diào)用execve函數(shù)執(zhí)行cgi文件
查看execute_cmd.cgi文件具體內(nèi)容,execute_cmd.cgi文件具體內(nèi)容如圖所示,execute_cmd.cgi文件內(nèi)容為獲取QUERY_STRING中第二個(gè)參數(shù)的值,并通過(guò)反引號(hào)``以執(zhí)行命令方式執(zhí)行該值
在IDA中搜索QUERY_STRING,搜索結(jié)果如圖所示
在js文件目錄查找QueryString,查找結(jié)果如圖所示
訪問(wèn)存在QueryString字符的ajax.js文件,ajax.js文件內(nèi)容如圖所示
故當(dāng)通過(guò)身份校驗(yàn)時(shí),構(gòu)造uri:/cgi-bin/execute_cmd.cgi?timestamp=1&cmd=cmd可執(zhí)行任意命令,由于該版本路由器在密碼欄輸入任意密碼后即可繞過(guò)身份校驗(yàn),所以不需知道設(shè)備密碼即可觸發(fā)命令執(zhí)行漏洞
官方訂閱號(hào)
官方服務(wù)號(hào)
第59號(hào)
浙公網(wǎng)安備 33010502006954號(hào) 
