漏洞信息

本系列产品中的前三篇文章内容参照以下：

根据CVE-2017-17215学习培训路由器漏洞分析，从入行到舍弃

路由器漏洞复现分析第二弹：CNVD-2018-01084

路由器漏洞复现分析第三弹：DVRF INTRO题型分析

TrendNET路由器管理权限绕开漏洞， *** 攻击根据设定$AUTHORIZED_GROUP >=1绕开管理权限认证

漏洞参照信息:

受影响的路由器版本号

TEW-751DR – v1.03B03

TEW-753DRU – v1.03B01

根据zoomeye检索,能寻找508台机器设备,关键客户遍布于英国和北爱尔兰.

应用curl -d “SERVICES=DEVICE.ACCOUNT AUTHORIZED_GROUP=1′ 指令能够立即获得到路由器的登录名和登陆密码

漏洞分析

此次分析应用固定件的是TEW751DR_FW103B03.

Binwalk解压工具后寻找getcfg.php,部位如图所示

当AUTHORIZED_GROUP>=0的情况下,getcfg就一切正常实行编码作用.

POC中传到的主要参数为SERVICES=DEVICE.ACCOUNT

$file最终能够拼凑为/htdocs/webinc/getcfg/DEVICE.ACCOUNT.xml.php

开启这一文档,能够见到它能载入机器设备的各种各样信息包含登录名和登陆密码

导致认证漏洞的函数在htdoc/cgibin的 phpcgi_main函数,当cgibin_parse_request函数解决http要求的情况下,sub_405AC0函数会获得AUTHORIZED_GROUP共存出来, 以后再启用sess_validate()作认证,因而能够非受权客户能够立即给AUTHORIZED_GROUP取值来绕开认证

应用以下脚本 *** 调节存有漏洞的cgibin:

chroot . -0"phpcgi" -E REQUEST_METHOD="POST" -EREQUEST_URI="getcfg?AUTHORIZED_GROUP=1" -E CONTENT_LENGTH=18 -ECONTENT_TYPE="application/x-www-form-urlencoded" -g $PORT -EREMOTE_ADDR="127.0.0.1" -strace "kkkkkkkkkkkk"

cgibin_parse_request中的parse_uri函数会启用sub_405AC0，这里从request_uri中取”?”后的标识符,做为主要参数传到sub_403864

sub_405AC0启用后能看早已把”AUTHORIZED_GROUP=1”存进静态变量

再执行到sess_validate()实行结束

后边再将获得的这一值载入/var/run/xmldb_sock