看我如何利用发现的漏洞接管D-Link路由器

前言

我曾发现了D-Link路由器不同型号的多个漏洞,今天我要分享的是我最近发现的D-Link路由器的三个漏洞,综合利用这三个漏洞,可以获取D-Link路由器管理权限,实现对其成功接管。

目录遍历漏洞 - CVE-2018-10822

CVSS v3评分:8.6

漏洞描述:D-Link路由器Web界面中存在的目录遍历漏洞

漏洞危害: 允许攻击者利用HTTP请求,在“GET /uir” 后添加 /.. 或 //读取任意文件,漏洞存在原因在于D-Link路由器未完全修复的CVE-2017-6190

影响产品:

DWR-116型号中固件版本低于 1.06 DIR-140L型号中固件版本低于 1.02 DIR-640L型号中固件版本低于 1.02 DWR-512型号中固件版本低于 2.02 DWR-712型号中固件版本低于 2.02 DWR-912型号中固件版本低于 2.02 DWR-921型号中固件版本低于 2.02 DWR-111型号中固件版本低于 1.01

漏洞验证:

$ curl http://routerip/uir//etc/passwd

安全研究者Patryk Bogdan早前曾上报过该漏洞(CVE-2017-6190),但D-Link官方只在某些版本产品中进行了修复,一些新版产品中却未完全修复。

明文密码储存漏洞 - CVE-2018-10824

漏洞描述:D-Link路由器存有用户设置的明文密码

漏洞危害:攻击者可以读取存在于/tmp/目录下的用户明文密码

影响产品:

DWR-116型号中固件版本低于 1.06 DIR-140L型号中固件版本低于 1.02 DIR-640L型号中固件版本低于 1.02 DWR-512型号中固件版本低于 2.02 DWR-712型号中固件版本低于 2.02 DWR-912型号中固件版本低于 2.02 DWR-921型号中固件版本低于 2.02 DWR-111型号中固件版本低于 1.01

漏洞验证:由于目前D-Link存在大量未修复的该漏洞相关产品,为了避免对用户造成安全损害,我把具体的明文密码储存目录用XXX作了隐藏代替,明文密码具体储存位置为/tmp/XXX/0 文件中,具备上述目录遍历漏洞的攻击者可以轻松获取得到,从而实现提权。

$ curl http://routerip/uir//tmp/XXX/0

这条命令无需验证,即可获得一个二进制的config配置文件,其中包含了管理员的用户名密码和其它敏感配置信息,从而获取对D-Link路由器的控制权。

命令注入漏洞 - CVE-2018-10823

CVSS v3评分: 9.1

漏洞描述:获得身份验证的攻击者可以通过在chkisg.htm页面中注入shell命令以执行任意代码,实现设备的深入控制。

影响产品:

DWR-116型号中固件版本低于1.06 DWR-512型号中固件版本低于2.02 DWR-712型号中固件版本低于2.02 DWR-912型号中固件版本低于2.02 DWR-921型号中固件版本低于2.02 DWR-111型号中固件版本低于1.01

漏洞验证:

1、登录路由器

2、请求以下链接:

$ curl http://routerip/chkisg.htm%3FSip%3D1.1.1.1%20%7C%20cat%20%2Fetc%2Fpasswd

3、查看响应的passwd文件内容。

综合利用

综合利用以上三个漏洞,可以轻松获得对D-Link路由器的代码执行和完全控制权。

CVSS v3综合利用评分: 10.0

*参考来源: sploit,clouds编译,转载请注明来自FreeBuf.COM

原文发布于微信公众号 - FreeBuf(freebuf)

原文发表时间:2018-11-10

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

发表于

我来说两句

0 条评论
登录 后参与评论

相关文章

来自专栏编程思想之路

Android蓝牙配对弹出框过程分析 Android蓝牙配对弹出框过程分析

Android蓝牙配对弹出框过程分析 根据远程蓝牙设备(remote devices)的要求,手机端发起与远程蓝牙设备Bluetooth remote ...

49090
来自专栏玄魂工作室

CTF实战20 渗透测试-后渗透攻击

一般情况下Linux的本地提权要用nc反弹出来,因为Linux下提升权限后得到的是交互式shell,需反弹才能进行下一步命令的执行

28940
来自专栏黑白安全

黑客组织“隐匿者”技术升级再次暴力威胁入侵全网用户

区块链安全咨询公司 曲速未来 表示:"隐匿者"最早出现在2014年,此后一直从事入侵服务器或者个人主机的黑色产业,他们通过植入后门程序控制这些设备(肉鸡),然后...

27060
来自专栏知识分享

232转485转换器改进为有电源的可以双向传输

自己打开外壳在里面485een芯片的电源引脚上加了一个纽扣电池,电池是我同事李士响帮我焊接的,感谢一下他,这样就不需要在 ? 上接5~12伏电压就可以接收485...

302110
来自专栏无原型不设计

[桌面版] 在 Mockplus 2.1 (预览版)中使用母版

Mockplus 2.1 预览版新增母版功能,可以直接复用组件,减少重复设计。 首先可以看一个母版的使用演示: ? 下面详细介绍一下母版的相关操作: 1...

34650
来自专栏吾爱乐享

只需两步就能实现WordPress自动检查文章是否被百度收录

14920
来自专栏黑白安全

互联漏洞[提权挂黑]

XSS (cross-site script) 跨站脚本自1996年诞生以来,一直被OWASP(open web application security pr...

16540
来自专栏腾讯云安全的专栏

刚需 |Wannacry 勒索蠕虫病毒用户修复指引

22150
来自专栏SAP最佳业务实践

SAP最佳业务实践:FI–应收帐款(157)-17中国金税

4.17 中国金税 在中国,所有的增值税一般纳税人必须通过金穗系统来开具增值税发票。 SAP系统提供与金穗系统的接口,以便利增值税发票的处理和打印。 销售与...

463120
来自专栏开源项目

最全“勒索病毒”的应对方案

5月12日,“勒索病毒”在全球爆发了。截止到目前为止,包括英国、中国、美国、俄罗斯和意大利等在内的全球多个国家均受到此次病毒的攻击。 “勒索病毒”有什么危害? ...

54890

扫码关注云+社区

领取腾讯云代金券