D-link DAP-1860命令注入远程代码执行漏洞分析

birdpwn 新闻 2019年12月18日发布
Favorite收藏

导语:在2019年9月,我在D-Link路由器(DAP-1860)上发现了2个漏洞,这些 命令注入导致未经身份验证的远程代码执行和身份验证绕过。

0x01  漏洞介绍

在2019年9月,我在D-Link路由器(DAP-1860)上发现了2个漏洞,这些 命令注入导致未经身份验证的远程代码执行和身份验证绕过。存在一些严重漏洞,因为我无需身份验证即可成功进行攻击。如果你的路由器是从D-Link及其DAP-1860购买的,请更新固件或与供应商联系以寻求帮助,因为我发现的漏洞在DAP-1860的最新版本固件中依然存在。

以下是DAP-1860的Web Admin界面:

0x02  CVE 2019-19597(命令注入导致RCE)

当我试图了解如何在DAP-1860的Web Admin上进行身份验证时,当用户发送HNAP请求时,我在此设备的uhttpd服务器中发现了一个问题。用户发送HNAP请求时,如果需要身份验证,则uhttpd服务器将检查HNAP_AUTH header的值。下面是用于验证HNAP_AUTH的代码。

查看第243至246行的代码,我发现了一个命令注入漏洞。用户可以控制HNAP_TIME和SOAPAction的值,在这种情况下,通过HNAP_TIME参数注入命令,以下是在设备上运行命令的请求。

如果你要执行未经身份验证的请求,则必须绕过某些条件,在这篇文章中我无法提供这种方法,因为这对D-Link的客户是危险的。

0x03  CVE 2019-19598(验证绕过)

在为供应商报告了上面的漏洞之后,我还在DAP-1860上发现了另一个漏洞。当用户发送HNAP请求时,服务器会将HNAP_AUTH header分为hnap_code和hnap_timestamp两部分。使用已存储在/ var / hnap / timestamp文件(current_timestamp)中的值来验证Hnap_timestamp值。之后,hnap_timestamp值存储在/ var / hnap / timestamp中。查看下图,如果hnap_timestamp <= current_timestamp并且hnap_timestamp> = current_timestamp – local_3c,变量的值9设置为0。

查看下图中的第241行,如果变量local_3c!= 1,可以通过HNAP_AUTH验证函数。通过这种方式,可以绕过身份验证并访问所有HNAP API。

最后,要绕过身份验证,首先必须发送请求以覆盖服务器的current_timestamp,此后,用hnap_timestamp等于服务器的current_timestamp发出请求,此请求将访问所有HNAP api而无需证书。

0x04  漏洞披露

· 30/09/2019:已将DAP-1860中的漏洞报告给D-Link。

· 2019年2月10日:在2天前再次向D-Link报告了D-Link没有回应。

· 2019年2月10日:D-Link回复电子邮件以通知该漏洞已发送给研发团队进行验证。

· 2019年9月10日:D-Link确认此问题并正在修补。

· 2019年9月10日:向D-Link报告DAP-1860中的其他漏洞。

· 2019年11月10日:D-Link回复电子邮件以通知该漏洞已发送给研发团队进行验证。

· 24/10/2019:D-Link确认2个问题。

· 14/11/2019:D-Link发行版固件已修复并  发布该漏洞

0x05  总结学习

命令注入漏洞:

用户可以控制HNAP_TIME和SOAPAction的值,可以通过HNAP_TIME参数注入命令,可以发现挖掘命令注入漏洞要注意身份验证接口的相关参数。

验证绕过漏洞:

当用户发送HNAP请求时,服务器会将HNAP_AUTH header分为hnap_code和hnap_timestamp两部分。使用已存储在/ var / hnap / timestamp文件(current_timestamp)中的值来验证Hnap_timestamp值。

要绕过身份验证,首先必须发送请求以覆盖服务器的current_timestamp文件,此后,用hnap_timestamp等于服务器的current_timestamp发出请求,此请求将访问所有HNAP api而无需证书。

这两个漏洞组合就可以完成登录验证绕过再实现命令注入攻击。

本文翻译自:https://chung96vn.wordpress.com/2019/11/15/d-link-dap-1860-vulnerabilities/如若转载,请注明原文地址: https://beta.4hou.com/info/news/22144.html
点赞 5
  • 分享至
取消

感谢您的支持,我会继续努力的!

扫码支持

打开微信扫一扫后点击右上角即可分享哟

发表评论