漏洞詳情

CVE-2022-1262，多款D-Link 路由器固件映像上的 /bin/protest二進制文件容易受到命令注入的攻擊。這允許經過身份驗證的攻擊者以 root 身份執行任意 shell 命令，并且可以很容易地用于在設備上獲取 root shell。

固件解密

dlink的dir系列解密方法很相似，大多都是在上一版本中存在固件解密文件，一般是以qemu用戶態運行解密程序就可以完成，如果找不到未加密的版本或者中間版本的固件時，可找型號相近的固件，實際測試中，某些型號的固件解密程序確實是通用的，大致操作如下，根據架構切換執行根目錄，運行相應二進制解密文件

漏洞復現

在路由器文件系統根目錄下，chroot切換根路徑

啟動cli，以進入router終端。

（在實際運行的設備中，這里是一個后門，使用telnet連接，賬戶為admin，web口令+硬編碼@twsz2018，如passwd@twsz2018，即可進入

直接運行系統命令會出錯，加上分號截斷，可以成功執行系統命令

漏洞分析

IDA分析/bin/protest，已知存在命令注入漏洞，首先查看system調用，有一處會將輸入的client_secret值拼接到字符串使用system()去執行，復現時第一條回顯信息和偽代碼片段上方的printf信息吻合，說明程序確實執行到system()上方，也就沒有再去調試看

編輯：黃飛