【安全漏洞】CVE-2020-26567 DSR-250N 远程拒绝服务漏洞分析

漏洞信息

漏洞编号：CVE-2020-26567
漏洞详情：在路由器DSR-250N、DSR-500N路由器的固件版本3.17之前的固件中存在一个upgradeStatusReboot.cgi文件，未授权访问此文件能造成设备拒绝服务，不过这个漏洞在3.17B中已修复。

接下来我将从两个固件中来分析这个漏洞产生的原因，和其中的漏洞点，并且在分析的过程中，讲解一些分析固件中所要关注的点。

DSR-250N 固件分析

首先我们先获取来进行对DSR-250N固件的分析，我们很简单的就可以从D-Link Support 那里下载到我们要的固件DSR-250N_Ax_FW3.12_WW。

手动提取固件

拿到固件的第一步，大部分情况下都是用Binwalk来查看固件所带有的信息。用习惯了自动提取固件，这回，我们来手动分析固件然后提取我们需要的文件系统。
直接打开固件，我们先从固件文件系统最常见的中squashfs文件系统来入手，
以squashfs文件系统为例，我们首先要确定固件的magic签名头，常见的squashfs的头部特征有这些sqsh、hsqs、qshs、shsq、hsqt、tqsh、sqlz。
这里确定了固件的“hsqs”，发现了有两个，那么这个固件有可能是有两个squashfs类型的文件系统。

我们现在已经知道了文件的magic签名头，那么我们怎么确定squashfs文件系统的大小。
使用先将 “hsqs”的 magic 签名头的偏移地址开始 dump 出一段数据（一般 squashfs 文件系统的头部校验不会超过100字节）。然后使用 file 命令查看，可以看到 squashfs 文件的大小了。

然后我们将第一部分的squashfs文件从固件中 dump 出来，并且随后使用 unsquashfs 解开。

成功的解开文件系统中的内容，第一部分的固件解出来了，第二部分提取方式一样，这里就不再做赘述。

固件分析

根据漏洞详情，可以直接有效的定位到漏洞点upgradeStatusReboot.cgi，文件位于/www/中，一般来说，cgi文件都是和html的界面放在一起的,因此可以直接去/var/www/查找。

看到文件中的内容，很明显，文件中带有重启reboot的命令

漏洞文件找到了，接下来我们要知道是如何触发这个文件的，cgi文件的作用往往伴随着http的服务，我们应该往固件中web组件去分析，很快，我就在 /sslvpn/bin/ 中找到了 httpd 组件，这是一个在嵌入式设备中最常见的web服务的框架。
并且在文件系统的找到了 sslvpnInit 文件，里面可以看到启动webserver httpd 的命令，并且这个文件还有一个 httpkeepAlive.sh 的后台启动，根据文件命名，这是一个 httpd 的守护进程文件

接着定位 sslvpnInit 的调用方式，可以定位到 /etc/platformInit文件中，而 platformInit 却在系统自启动文件中被执行（/etc/init.d/rcS）

接着在对httpd 的逆向工程中，发现了httpd在启动的过程中，需要加载的文件，刚好的那个upgradeStatusReboot.cgi文件就在/var/www/ 文件中，正因为在启动的时候就需要加载这些文件，并且是不需要授权就可以访问，因此可以触发这个文件的命令。那为什么在还有一个 scgi-bin 的路径呢？这里我们留着放到DSR-500N固件中再分析。

DSR-500 固件分析

DSR-500文件系统的提取方式和DSR-250一样，这里我们也很快的定位漏洞文件

查找一下这个文件有可能在那些文件中调用到，这里我们看到kepler.config 和 httpdKeepAlive.sh 文件。同时还看到了thttpd 文件，根据以往的固件分析，这大概率是DSR-500 设备的提供设备web服务的组件。

在/etc/ 文件中，根据thttpd 文件，找到了thttpdInit文件，这个文件应该是thttpd的初始文件，文件内容主要的内容如下，可以看到此文件启动了thttpd组件，并且根据上面的kepler.config 和 httpdKeepAlive.sh文件，基本可以确定，可以根据80端口或者https设置的端口进行未授权访问platform.cgi、dbglog.cgi、quickvpn.cgi、upgradeStatus.cgi、upgradeStatusReboot.cgi 这几个文件。

我在我关注的一个文件userInit 中，这边根据Country 设置安全等级，但是我并没有发现这种设置有什么效果。

反而是发现了不同的漏洞触发点，结合上面的设置，在Russia 的固件，可以通过/scgi-bin/来触发漏洞，而其他地区的固件则是通过 /cgi-bin/ 来触发。

漏洞复现

总结

这里讲述了如果不使用binwalk 的情况下，如何手动的从固件中提取文件系统，并且对漏洞进行分析。
而且根据搜索引擎的搜索，SCGI是什么？其实这些都是为了更好的取代CGI的功能，SCGI全称Simple Common Gateway Interface。顾名思义，这个就是简单咯。scgi也是客户端/服务器端形式，客户端发送请求，处理，服务器端响应请求。简而言之，SCGI定义了发送或者响应报文形式的协议。

福利！！！

分享我整理的网安学习资料call me

【免费获取资料】