Vigor3900 CVE-2021-43118 命令注入漏洞分析

文章预览

此固件是2024中国工业互联网安全大赛智能家电行业赛道选拔赛决赛的一道题目，其中就可以直接用CVE直接命令执行。本人对IoT一直在尝试学习，这次的比赛见到了很多师傅非常厉害，这也是一个非常好的让我深入IoT漏洞挖掘和利用世界的契机。所以我打算完整分析一次这个赛题/固件，希望大家都有所收获。 一 漏洞信息 DrayTek Vigor 是一款arm架构路由器。该路由器存在一个远程命令注入漏洞，攻击者可以利用该漏洞，通过在 mainfunction.cgi 中注入格式错误的查询字符串，构造恶意的 HTTP 消息，从而在远程执行任意代码。 受影响版本： ◆DrayTek Vigor3900 1.5.1.3 ◆DrayTek Vigor2960 1.5.1.3 ◆DrayTek Vigor300B 1.5.1.3 二 仿真 1. 基于qemu的Sevnup模拟启动 直接使用命令启动系统级固件模拟，成功。 2. 找到服务并启动 使用命令 find ./ -name *.httpd 发现了几个httpd,其中主要是light ………………………………