原文連結:D-Link Router CVE-2021-27342 Vulnerability Writeup
GitHub連結:Exploit for D-Link telnetd vulnerability CVE-2021-27342
補充:面向web應用的SQL注入和XSS漏洞黑盒測試工具(WASec)
作者在買到一個D-Link DIR-842路由器後發現使用admin使用者登入web界面可以打開Telnet服務,通過Telnet服務可以以admin身份遠端連接配接路由器,可以執行高權限的任何事,是以可以找一找Telnet中的漏洞。
作者使用黑盒測試的方式發現了一個漏洞,可以利用這個漏洞暴力破解Telnet的密碼。作者發現路由器的Telnet認證使用一種反暴力破解的機制,即當使用者輸入密碼錯誤的情況下,會傳回一個延遲的響應,來限制使用者嘗試猜測密碼的速度。這就引入了一個基于時間的側信道攻擊。
路由器的Telnet認證方式為,若輸入密碼正确,則立即傳回;而當輸入密碼錯誤,則會延遲3秒,并傳回登入失敗的響應。作者利用這一特性,進行密碼的暴力破解,即若沒有在0.05s(可以認為是立即傳回,該數值會根據網絡情況變化,不過肯定是要在3s以内)内獲得登陸成功的響應,就說明該密碼錯誤,那麼立即重建立立一個連接配接進行其他密碼的嘗試。這就避免了3s的延遲等待,加快了破解的速度。
作者還利用以上破解的密碼登入Telnet,并擷取了admin權限,即遠端登入了路由器,并将telnet服務二進制程式代碼copy到本地【作者的這一系列操作值得參考】。借助IDA反彙編,查找sleep的交叉引用,發現了延遲3s的關鍵函數sleep_zzz_nap_time。該函數在調用時,參數為3,并且在執行後傳回登陸失敗的響應。源代碼與黑盒測試發現的特性完全一緻。
現在還不知道作者是如何進行黑盒測試的,本人對這一方面缺乏研究,待之後學習。
![配置DHCP服務(圖文版)。[圖]](data:image/gif;base64,R0lGODlhAQABAIAAAP///wAAACwAAAAAAQABAAACAkQBADs=)