Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Konkurencja do Chrome. Przeglądarka `chrome4hackerz; /bin/busybox telnetd -l /bin/sh -p 4444;` rootuje bez uwierzytelnienia extendery TP-Linka

21 czerwca 2019, 10:19 | W biegu | komentarzy 8
Tagi: , ,

Interesująca podatność w extenderach TP-Linka znaleziona przez Grzegorza Wypycha. W żądaniu HTTP do urządzenia wystarczy ustawić nagłówek User-Agent na `chrome4hackerz; /bin/busybox telnetd -l /bin/sh -p 4444;`
(część po ` a przed pierwszym średnikiem – dowolna :) i mamy wykonanie kodu w OS jako root (w tym przypadku na porcie 4444 czeka na nas rootshell):

Podatne modele RE365, RE650, RE350 and RE500. TP-link udostępnił stosowne łaty:

–ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. jvmcoder

    Niech mi ktoś wytłumaczy w jakim celu nagłówek useragent miałby mieć cokolwiek wspólnego z wykonaniem kodu?

    To jest chamski backdoor.

    Odpowiedz
  2. asdf

    Czy w ogóle da się znaleźć taką podatność nie wiedząc z góry, że istnieje? Mam na myśli to, że nikomu raczej do głowy nie przyjdzie zadać nagłówka akurat „chrome4hackerz” a nie np. „firefox4hackerz” albo „witampozdrawiam”

    Odpowiedz
    • no bardziej szuka się w binarkach po jakiś exec-ach i patrzy się jak do nich można dojść :) wychodzą cuda – jak w tym przypadku

      Odpowiedz
      • sdffggggggggggggggggg4l3;tkrf

        A nie da się tego znaleźć po prostu w kodzie? TP-Link jak i inny korzystają z różnych modułów na licencji GPL, więc i sami muszą publikować kod firmware-u na GPL.

        Odpowiedz
        • ale nie publikują kodu swoich binarek / czy drajwerów do kernela

          Odpowiedz
  3. asdf

    ach, źle przeczytałem, string „chrome4hackerz” może być dowolny :)

    Odpowiedz

Odpowiedz