CVE-2023-33381:MitraStar GPT-2741GNAC路由注入
2023-6-2 11:10:54 Author: Ots安全(查看原文) 阅读量:63 收藏

CVE-2023-33381:在 MitraStar GPT-2741GNAC路由 上注入操作系统命令

设备:GPT-2741GNAC

固件版本:AR_g5.8_110WVN0b7_2

漏洞描述:

通过 SSH 登录后,我立即注意到可用命令和选项的集合有限。很明显,我确实被限制在一个受限的 shell 环境中。


在探索了几个已知的漏洞之后,我决定深入研究新的漏洞。首先,我登录管理门户并开始测试可能导致操作系统命令注入的各种功能。在 Diagnostic 菜单中,我遇到了一个特殊的功能,它允许我使用 ping 和 traceroute 命令测试连接。


所以,我决定通过添加一个“;”来尝试偷偷摸摸的东西。性格听从我的命令。我执行了“cat /etc/passwd”,你猜怎么着?命令运行成功。


我更进一步,执行“sed”命令,用完整的交互式 shell 替换“/etc/passwd”文件中的受限 shell 条目。


如下图所示,我所做的修改使我能够登录并自由执行“uname”和“cat”等命令


ROOT

由于我拥有完全的管理员权限,我忍不住深入研究以发现易受攻击的组件。在检查浏览器请求时,我注意到了一些有趣的事情。有两个 CGI 文件,“ping.cgi”和“DiagGeneral.cgi”,是请求的目标。


抓取文件后,我使用 Ghidra 进行逆向工程获得了一些乐趣。这是有趣的部分:在“ping.cgi”文件中,我注意到 PingIPAddr参数是直接从用户输入中获取的,没有进行任何适当的清理。从用户输入中获取的PingIPAddr参数被存储以供将来使用tcapi_set函数使用。


最后,在 DiagGeneral.cgi 文件中,使用tcapi_get函数检索 PingIPAddr 参数,然后直接在系统函数中使用,无需任何清理。此缺陷会产生一个命令注入漏洞,允许在系统上未经授权地执行任意命令。


参考:

https://github.com/duality084/CVE-2023-33381-MitraStar-GPT-2741GNAC

感谢您抽出

.

.

来阅读本文

点它,分享点赞在看都在这里


文章来源: http://mp.weixin.qq.com/s?__biz=MzAxMjYyMzkwOA==&mid=2247498348&idx=2&sn=5981c43ea0d30a6edc9ad128fd2f84ed&chksm=9badb327acda3a31abc23d0446744ffef6ac2043ac119b998d52d38b5fa97b8a76021e8d3b8d#rd
如有侵权请联系:admin#unsafe.sh