CVE-2020-24581 D-Link DSL-2888A 远程命令执行漏洞复现与分析





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于黄金城 用户退出 合作商登录 用户登录 申请试用

数据黄金城官网


数据库保险箱数据黄金城官网分类分级平台数据黄金城官网综合评估系统新一代数据黄金城官网一体化平台
存储域
数据库加密诺亚防勒索
访问域
数据库防水坝数据库防火墙数据库黄金城官网审计动态脱敏
流动域
静态脱敏数据水印 API审计 API防控医疗防统方
运行黄金城官网


新一代灾备一体化平台灾备一键通数据库运行黄金城官网管理平台
数据流动


数据流动平台静态脱敏数据水印
黄金城官网运维服务



运维服务
数据库运维服务中间件运维服务国产信创改造服务驻场运维服务供数服务
黄金城官网咨询服务
数据出境黄金城官网治理服务数据黄金城官网能力评估认证服务数据黄金城官网风险评估服务数据黄金城官网治理咨询服务数据分类分级咨询服务个人信息风险评估服务数据黄金城官网检查服务

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

公司动态行业资讯黄金城官网研究

热门阅读

用AI重新定义数据黄金城官网监测，让数据黄金城官网变简单

2026-03-17

金融机构数据黄金城官网能力体系建设与落地实践

2026-02-27

开工大吉｜策马扬鞭，跃启新程！

2026-02-25

浙江省委宣传部副部长、省委网信办主任赵磊：守正创新辩证施策全力推动网络生态治理工作迈上新台阶

2026-02-10

黄金城产品全面入围中直机关2025年网络设备框架协议采购项目

2026-02-04

相关文章

每周黄金城官网速递??? | 密西西比大学医学中心在遭受勒索软件攻击后恢复正常运营

2026-03-09

每周黄金城官网速递??? | LockBit5.0版本支持Windows、Linux与ESXi平台

2026-03-09

每周黄金城官网速递??? | Osiris勒索软件利用BYOVD技术禁用黄金城官网工具

2026-02-02

每周黄金城官网速递??? | DeadLock勒索软件团伙利用Polygon智能合约存储代理服务器地址

2026-01-19

每周黄金城官网速递??? | 勒索软件攻击导致心理健康机构超11万人数据泄露

2026-01-06

CVE-2020-24581 D-Link DSL-2888A 远程命令执行漏洞复现与分析

发布时间：2023-03-24 阅读次数： 1392 次

漏洞简介

D-Link DSL-2888A AU_2.31_V1.1.47ae55之前的版本存在远程命令执行漏洞，经过身份验证的用户可通过访问/cgi-bin/execute_cmd.cgi触发命令执行漏洞。

影响范围

D-Link DSL-2888A AU_2.31_V1.1.47ae55之前的版本

漏洞复现

首先在管理员密码栏处输入任意密码

点击登录后访问/cgi-bin/execute_cmd.cgi?timestamp=1&cmd=id即可触发命令执行漏洞

漏洞分析

执行命令binwal -Me ../IOT_BUG/CVE-2020-24581/DSL-2888A_AU_2.12_V1.1.47Z1-Image-all.bin --run-as=root将固件文件系统提�。崛『蟮哪柯冀峁谷缤妓�

执行命令

cd jffs2-root

进入文件系统，文件系统结构如图所示

该漏洞为web应用漏洞，该固件中web组件为dhttpd，执行命令find . -name “dhttpd”搜索web组件位置，搜索结果如图所示

如图所示，通过IDA打开dhttpd

该远程命令执行接口为/cgi-bin/execute_cmd.cgi，如图所示，在函数sub_9C4C中，如果访问路径中存在/cgi-bin，则调用sub_BEA0函数进行处理

跟进sub_BEA0函数，如图所示，在sub_BEA0函数的第52行将cgi文件与cgi-bin目录进行拼接，在第53行判断cgi文件是否存在，在第63行判断cgi文件是否存在执行权限

跟进sub_BEA0函数，如图所示，在sub_BEA0函数的第70行将获取当前文件路径，在71行在file查找”/”最后一次的位置，如果该位置存在，则在第76行进入file目录

跟进sub_BEA0函数，如图所示，在sub_BEA0函数的105-108行将进行cgi文件执行环境变量配置

跟进sub_BEA0函数，如图所示，在sub_BEA0函数的111-143行将进行身份校验

继续跟进sub_BEA0函数，如图所示，通过身份校验后，在第149行调用sub_BB5C函数对cgi文件进行处理

跟进sub_BB5C函数，在sub_BB5C函数的第40行调用execve函数执行cgi文件

查找存在漏洞的execute_cmd.cgi文件，execute_cmd.cgi文件位于文件系统下的www/cgi-bin目录

查看execute_cmd.cgi文件具体内容，execute_cmd.cgi文件具体内容如图所示，execute_cmd.cgi文件内容为获取QUERY_STRING中第二个参数的值，并通过反引号``以执行命令方式执行该值

在IDA中搜索QUERY_STRING，搜索结果如图所示

在js文件目录查找QueryString，查找结果如图所示

访问存在QueryString字符的ajax.js文件，ajax.js文件内容如图所示

故当通过身份校验时，构造uri：/cgi-bin/execute_cmd.cgi?timestamp=1&cmd=cmd可执行任意命令，由于该版本路由器在密码栏输入任意密码后即可绕过身份校验，所以不需知道设备密码即可触发命令执行漏洞

上一条：每周黄金城官网速递???|Play勒索组织攻击了荷兰航运公司Royal Dirkzwager
下一条：【漏洞通告】Spring Framework 身份认证绕过漏洞（CVE-2023-20860）

返回

快速入口

免费试用售后服务客户案例文档中心年度培训
热门产品

新一代灾备一体化平台数据流动平台数据库运行黄金城官网管理平台新一代数据黄金城官网一体化平台数据黄金城官网治理咨询服务数据分类分级咨询服务
解决方案

政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案
合作发展

渠道政策合作申请渠道专区
关于黄金城

关于我们大事记最新动态加入我们联系我们

关注或联系黄金城

官方订阅号

官方服务号

第59号

服务热线：400-811-3777

商务合作：marketing@mchz.com.cn

友情链接中央网信办公安部工信部 CNCERT 中国信通院中国软件测评中心国家工业信息黄金城官网发展研究中心赛迪研究院

Copyright ? 2024 杭州黄金城科技股份有限公司 All rights reserved.

浙公网安备 33010502006954号浙ICP备12021012号-1 网站地图网站声明及隐私保护政策

免费试用

服务热线

马上咨询

400-811-3777



【网站地图】【sitemap】