CVE-2023-33381：在 MitraStar GPT-2741GNAC路由 上注入操作系统命令

设备：GPT-2741GNAC

固件版本：AR_g5.8_110WVN0b7_2

漏洞描述：

通过 SSH 登录后，我立即注意到可用命令和选项的集合有限。很明显，我确实被限制在一个受限的 shell 环境中。

在探索了几个已知的漏洞之后，我决定深入研究新的漏洞。首先，我登录管理门户并开始测试可能导致操作系统命令注入的各种功能。在 Diagnostic 菜单中，我遇到了一个特殊的功能，它允许我使用 ping 和 traceroute 命令测试连接。

所以，我决定通过添加一个“;”来尝试偷偷摸摸的东西。性格听从我的命令。我执行了“cat /etc/passwd”，你猜怎么着？命令运行成功。

我更进一步，执行“sed”命令，用完整的交互式 shell 替换“/etc/passwd”文件中的受限 shell 条目。

如下图所示，我所做的修改使我能够登录并自由执行“uname”和“cat”等命令

ROOT

由于我拥有完全的管理员权限，我忍不住深入研究以发现易受攻击的组件。在检查浏览器请求时，我注意到了一些有趣的事情。有两个 CGI 文件，“ping.cgi”和“DiagGeneral.cgi”，是请求的目标。

抓取文件后，我使用 Ghidra 进行逆向工程获得了一些乐趣。这是有趣的部分：在“ping.cgi”文件中，我注意到 PingIPAddr参数是直接从用户输入中获取的，没有进行任何适当的清理。从用户输入中获取的PingIPAddr参数被存储以供将来使用tcapi_set函数使用。

最后，在 DiagGeneral.cgi 文件中，使用tcapi_get函数检索 PingIPAddr 参数，然后直接在系统函数中使用，无需任何清理。此缺陷会产生一个命令注入漏洞，允许在系统上未经授权地执行任意命令。

参考：

https://github.com/duality084/CVE-2023-33381-MitraStar-GPT-2741GNAC