Part1 漏洞状态

Part2 漏洞描述

Part3 漏洞验证

1. 验证环境
路由器模拟器：192.168.0.1
2. 验证过程
登录路由器后台。修改密码

拦截数据包
new_password、confirm_password参数修改为QUFBQUFBQUFNVEl6TkRVMk56Z25DbTl3ZEdsdmJpQjNhWHBoY21RZ0p6SmdiSE0rZEdWemRDNTBlSFJnSndwdmNIUnBiMjRnYVc1bWIzSWdKekE9


发送另一个数据包触发漏洞


访问http://192.168.0.1/HNAP1/test.txt

Part4 漏洞分析

PHP语言存在许多危险函数，如eavl、exec等，通过代码审计发现使用了高危函数exec。
在GetJumpConfig.php文件中。
第18行使用了exec高危函数，且直接拼接data参数变量。
第17行data变量由$result[‘Wizard_value’]获取。
第16行get_option_info函数只是处理system_info变量。
第9行，通过read_cfg_info函数读取数据。
在read_cfg_info函数中可以看到读取的是数据为/etc/config/my_system。


寻找修改/etc/config/my_system数据的代码。
在SetPasswdSettings.php文件中找到了写入my_system的代码。
第35行，login_cfg_info写入数据到/etc/config/my_system。
第34行，处理new_password数据得到login_cfg_info
第21行，获取用户提交的new_password参数。
功能点在用户修改密码的地方。

Part5 修复缓解建议

厂商暂未发布修复措施解决此安全问题，建议使用此设备的用户随时关注厂商主页或参考网址以获取解决办法：
https://www.dlink.com/en/security-bulletin
————————————————
获取更多情报
联系我们，获取更多漏洞情报详情及处置建议，让企业远离漏洞威胁。
电话：18511745601
邮箱：shiliangang@andisec.com