首页 > 其他分享 >Cisco RV32X系列路由器 从1day分析到0day挖掘

Cisco RV32X系列路由器 从1day分析到0day挖掘

时间:2023-04-07 12:34:33浏览次数:54  
标签:这个 Cisco 函数 漏洞 0day 1day cisco 固件

前言

拿到一个iot设备,笔者比较喜欢先去看一下它的历史漏洞,也许可以从中得到一些启发。发现Cisco之前修补过这个系列设备的命令注入漏洞。

https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-rv-command-inject-BY4c5zd

1day分析

因为漏洞通告中有相关固件版本,于是我就去diff了一下修补前和修补后两个固件。

ssi.cgi这个文件当中,笔者发现修复之后的固件比修复前的固件多出了两个函数,那么大概率就是通过这两个函数对存在命令注入的地方加上了检查以修复命令注入漏洞。直接看一下修复之后的固件里的NK_CHECK_LANGUAGE函数。很明显,这个函数的作用是对参数进行了判断和设置,和我们预想的一致。那么旧版本固件中存在的命令注入漏洞大概率出现在这个函数的上层函数中。

通过交叉引用,我们可以很轻松地找到其上层函数是NK_UiLanguageChange,我们看一下修补前的固件中的这个函数实现了什么功能。通过函数名,大体可以判断出这个函数的作用应该是切换界面的语言。这个函数首先获取了submitStatuschangelanguage的值,经过一些判断后,把changelanguage的值作为参数传进CreateFormatFile函数中。

我们继续去看一下CreateFormatFile函数。很明显,这个函数由于传进来的参数param_1没有进过任何检查,存在一个命令注入漏洞。

这个漏洞的修复方式也很简单,直接用NK_CHECK_LANGUAGE函数对参数进行了过滤。

捕获0day

漏洞分析

知道这个漏洞的前因后果之后,笔者就在想这个被修复之后的固件当中是否依旧可能存在一些没有过滤或者过滤不完整的地方。就去看了一些感觉可能存在漏洞的函数,后来就找到了NK_UiSetPassword这个函数,这个函数的作用是更改用户的密码。

虽然这个函数中对参数进行了一定的过滤,但是这里对于危险字符过滤的并不是很严谨,所以这里也存在一个命令注入漏洞。

其它地方应该也会存在不少类似的漏洞,但是笔者这里就没有继续去看了,感兴趣的师傅也许可以去找看看。

Poc

https://github.com/fxc233/iot-vul/tree/main/Cisco/Cisco%20RV32X

Notices

目前该漏洞已经提交给了思科厂商,思科已确认了该漏洞。https://sec.cloudapps.cisco.com/security/center/content/CiscoSecurityAdvisory/cisco-sa-sb-rv01x_rv32x_rce-nzAGWWDD

文章首发

https://mp.weixin.qq.com/s/UwsQH9nr1D4FzK2lhy_W2A

标签:这个,Cisco,函数,漏洞,0day,1day,cisco,固件
From: https://www.cnblogs.com/pwnfeifei/p/17292412.html

相关文章

  • 博客首发Cisco实验
    第一步(划分VLAN):  主机方:     1.根据划分好的子网表格填写主机IP、子网掩码、默认网关。  2.添加给每个部门划分的VLAN,给VLAN配置IP、子网掩码:    interfacevlan70      ipaddress192.168.2.226255.255.255.240      n......
  • cisco rv34x漏洞复现(利用失败)(求助帖)
    前言:某公司技术面时提示我在漏洞利用方向上经验不足,并且需要提交一份无poc的漏洞报告,才有了今天的这篇文章记录在翻找漏洞的时候看到这个漏洞d   看到是缓冲区溢......
  • 思科(cisco)交换机配置远程ssh连接
    配置单机远程ssh连接实验环境如图一台pc机、一台Cisco的switch;Cisco配置命令如下Switch>Switch>enable//进入特权模式Switch#configureterminal//切换全局......
  • CISCO-配置路由器的双向PAP和CHAP身份认证
    CISCO-配置路由器的CHAP身份认证一、拓扑图二、IP地址规划表设备接口IP地址R1S0/0/0172.16.10.1/30R1G0/0192.168.10.254/24R2S0/0/0172.16.10.2/30R2G0/0192.168.20.254/24......
  • What's the Cisco Packet Tracer? Is it free?
    What'stheCiscoPacketTracer?Isitfree?CiscoPacketTracerisasimulationsoftwarethatallowsuserstodesign,configure,andtroubleshootcomputernetw......
  • Pwn2Own Austin 2021 Cisco RV34x RCE 漏洞链复现
    前言这个RCE漏洞利用链的实现是由几个逻辑洞的结合而导致的,这几天我花了一些时间复现了一遍,在此记录一下。固件解压我下载的是RV345v1.0.03.24,从官网下载到压缩包解压......
  • Cisco-EIGRP的配置实例(Cisco的私有路由协议)
    什么时EIGRPEIGRP:EnhancedInteriorGatewayRoutingProtocol即增强内部网关路由协议。也翻译为加强型内部网关路由协议。EIGRP是Cisco公司的私有协议(2013年已经公有......
  • mac使用Openconnect代替Cisco Anyconnect
    2020-05-22CiscoAnyconnect这玩意感觉不好使,换掉它,换成开源的Openconnect。使用brew安装贼方便,先安装homebrew,参考知乎大神的脚本,已经替换为了国内地址。/bin/zsh-c......
  • Cisco ISR路由器与Hillstone 防火墙对接IPsec
    用户需求:公司总部有一台Hillstone防火墙,分公司有一台CiscoISR路由器,现在用户想在分公司访问总部的内网资源,于有就有了这一次的IPsec对接。配置过程:一、CiscoISR路由器cryp......
  • Cisco _OSPF_GRE隧道
    Cisco路由器的动态路由加上GRE隧道,R1和R4路由器通过Gre实现内部网络的通信,不通过R2和R3路由器进行通信。一、基础配置1、配置各路由器的lo0口IP地址R1lo01.1.1.......