黑客
登录
客服
网络安全,渗透测试

TL-WR841N命令注入挖掘和利用方法(CVE-2020-35576)

日期:2021/5/11 10:39:05

Tp-link TL-WR841N是中国普联(Tp-link)公司的一款无线路由器。 TP-Link TL-WR841N 存在参数注入漏洞,该漏洞允许远程经过身份验证的恶意用户在系统上执行任意命令,攻击者可以利用这个漏洞在系统上执行任意命令。

受影响的固件

TL-WR841N(JP)_V13_161028
<=0.9.1 4.0 v0188.0 Build 161028 Rel.66845n (latest at time of report)

CVSS 分数:7.2

从流量中发现BUG

路由器提供许多系统诊断工具,包括Ping和Traceroute,用户可以输入指令在路由器系统上执行这些命令。从经验来看,Webcams和Smart Speakers这类IoT设备都存在因为系统诊断工具存在而导致的高危漏洞,所以尝试从客户端和路由器交互过程分析是否存在可能的安全漏洞。

客户通过浏览前使用路由器的Tarceroute功能时候会发送如下请求:

[TRACEROUTE_DIAG#0,0,0,0,0,0#0,0,0,0,0,0]0,8
maxHopCount=20
timeout=50
numberOfTries=1
host=127.0.0.1
dataBlockSize=64
X_TP_ConnName=ewan_ipoe_d
diagnosticsState=Requested
X_TP_HopSeq=0

如果执行成功返回[error]0,如果失败范围一个非0数值。

跟踪请求,客户端浏览器会先发送如下请求初始化Traceroute功能:

[ACT_OP_TRACERT#0,0,0,0,0,0#0,0,0,0,0,0]0,0

同样,如果路由器没有出错会返回[error]0,然后客户端浏览器会继续发送如下请求:

[TRACEROUTE_DIAG#0,0,0,0,0,0#0,0,0,0,0,0]0,3
diagnosticsState
X_TP_HopSeq
X_TP_Result

然后路由器响应:

[0,0,0,0,0,0]0
diagnosticsState=Requested
X_TP_HopSeq=0
X_TP_Result={results}
[error]0

所有这些请求都是客户端发起,总共有三个,也就是说在Traceroute调用期间浏览器发送的三个请