烽火（fiberhome）hg-110 设备目录穿越漏洞考 - 知道创宇.pdf

文档名称：烽火HG-110 设备录穿越漏洞考 密级 公开 烽火 （Fiberhome）HG-110 设备目录 穿越漏洞考 [第一版 2015/03/31 晚] 知道创宇安全研究团队 北京知道创宇信息技术有限公司第1 页 文档名称：烽火HG-110 设备录穿越漏洞考 1. 更新情况 版本 时间 描述 第一版 2015/3/31 晚 第一版完成。 2. 漏洞概要 近期，国外安全研究员发布了针对全球 ADSL 设备存在目录穿越漏洞的研究（http://www.c /article/2899874/network-security/at-least-700000-routers-given-to-customers-by-isps-are -vulnerable-to-hacking.html#tk.rss_all ），这个漏洞早在2011 年就被提出了，影响烽火 （Fiberhom e ）HG-110 型号设备 （/exploits/35597/ ），本着学习的态度，笔者对该 漏洞进行了一番考证，写在这里。 a) 漏洞描述 烽火（Fiberhome ）HG-110 型号设备目录穿越漏洞（/exploits/3559 7/ ），是由于 webproc 文件在处理参数 getpage 传递过来的文件访问时没有合适过滤，导致用户 可以利用../../跳转访问web 目录之外的系统文件。 b) 漏洞分析 烽火（Fiberhome ）HG-110 型号设备目录穿越漏洞在 exploit-db 上被提交了两次（http://ww /exploits/35597/ ，/exploits/28450/ ）其中poc 35597 需要 登录授权才能触发漏洞，poc 28450 的poc 可以绕过权限认证；笔者在 ZoomEye 上检索 HG-11 0，可惜找不到任何实例，但是检索到了另外一款存在漏洞的设备，由于无法得知其设备名称， 简称为PLC 设备吧（管理页面内有PLC 字样），本文漏洞分析就以它为例。 在跟踪烽火（Fiberhome ）HG-110 设备时，发现其实netgear 竟然也存在这个漏洞，该漏洞 被提交在exploit-db 上（/exploits/35325/ ）,影响NETGEAR WNR500 设 备 （固件），WNR500 设备固件是开源的，可以从这里下载： /app/answers/detail/a_id/2649/~/netgearopen-source-code-for-programmers- (gpl)， 北京知道创宇信息技术有限公司第2 页 文档名称：烽火HG-110 设备录穿越漏洞考 在WNR500 最新固件 的源码中，我们发现，代码的版权属于TW 公司，经过检索， TW 属于一家国内的IT 公司 （/ ），代码截图： 由此可以推测，烽火公司和NETGEAR 公司均使用了TW 公司的固件，才导致出现相同的漏 洞。同时，难道仅此两家吗？不，PLC 也存在同样问题，或许有更多使用该固件的设备，只是 未发掘出来。 PLC 在登录后存在同样问题，可以读取系统配置文件config.xml ： 02/cgi- bin/webproc?getpage=../../etc/config.xmlvar:page=deviceinfovar:retag=1 结果如图： 可以读取内存信息： 02/cgi-bin/webproc?getpage=../../dev/memvar:page=deviceinfovar:retag=1 结果如图： 北京知道创宇信息技术有限公司第3 页 文档名称：烽火HG-110 设备录穿越漏洞考 可以读取系统帐号信息： 02/cgi- bin/web