[原创]CVE-2018-17066复现（D-Link命令注入漏洞）

#1 楼主 2026-06-01 21:09:05

借鉴复现笔记：CVE-2018-17066漏洞概述：在该路由的前端页面中存在时间设置页面，但是我们手动输入的时间并没有被过滤，就会直接将数据传输到后端处理，经过一段函数调用后会将参数传入system作为参数从而实现命令注入！（任意命令执行）环境准备：kali2023因为自带bp不用安装了！！！利用链：
前端发送post请求将时间数据发送给后端-》websOpenListen监听请求-》收到请求后使用sub_4572A4函数进行时间设置-》由于未进行任何过滤导致doSystem("date -s \"%s\"", Var);会直接将传入的参数作为system的参数-》从而实现命令注入！固件下载地址：D-Link Technical Support (dlink.com.cn)
下载后就可以检查一下文件的属性了：

文件属性:U-Boot: OS Kernel Image("Linux Kernel Image")[Linux,MIPS,lzma]直接到Ubuntu里面提取一下固件文件：·
binwalk 是一种常用于数字取证和二进制分析的工具。你提供的命令 binwalk -Me DIR-816.img 是用来执行 binwalk 的特定操作的。下面解释一下命令中每个部分的含义：提取出来的文件：

SquashFS 是一套基于Linux内核使用的压缩只读文件系统。该文件系统能够压缩系统内的文档,inode以及目录，文件最大支持2^64字节，简介：squashfs介绍和安装_unsquashfs-CSDN博客
squashfs-root就是我们需要找到的根目录！我们主要分析的是goahead：
查看一下goahead的属性和链接：两种启动方法：运行后发现报错！

在ida找到该字符串：

分析该文件的报错原因是因为没有"/var/run/goahead.pid"

解决方案手动创建一个：完成第一个报错修复后重新仿真程序，程序继续执行时出现错误："waiting for nvram_daemon"，如下图所示。

根据ida继续找到字符串，发现不可以使用交叉引用，大概率是因为进行了混淆！

根据下面的字符串"goahead.c"的交叉引用找到了目标位置！还可以通过动态调试来定位！
分析发现原因,这两个字符串是通过偏移来定位的，还发现个问题这里的fopen的第二个参数是再调用fopen后才传入的不理解：这里就算IDA的伪代码了！

解决方案继续手动创建文件。继续运行发现有很多东西不存在继续创建，再看下最主要的报错是：
initWebs: failed to convert to binary ip data，缺少二进制ip数据

根据字符串锁定位置：

报错原因：nvram_bufget函数无法读取lan_ipaddr，而nvram_bufget是从/dev/nvram中读取数据。这里的解决方案：还有其他解决方案：由于报错函数是nvram_bufget所以我们只需要劫持这个函数所在的so文件我们就可以实现正常的ip地址获取了！
FirmAE提供的libnvram库源码：FirmAE/sources/libnvram/config.h at master · pr0v3rbs/FirmAE (github.com)
为了适配环境做一些相应的修改：接下来成功编译：经过上面的步骤发现网卡不对，在ubnutu上网卡为ens33，还是切换到kali进行实现步骤如上：先ida动态调试一下手动修改值：IDA动态调试附加上这个端口！
修改地址：0x45CDD4 （将v0的赋值修改为0，就不会报错了）

成功运行之后就会出现登录页面，在浏览器访问ip地址后：
成功！！在这里需要绕过路由的账号和密码！
有两种方式可以绕过：找到这个页面并且修改里面的前端检验逻辑，将非空检查这些代码去除：
这样就可以成功绕过！将账号密码都置空，从而绕过strcmp的对比！！成功锁定函数：

在该位置下断点并且修改v0为0
成功登入之后就可以访问访问：由于kali2023自带bp，所以可以直接使用bp拦截实现命令注入：

将ls写入date数据段，实现命令注入成功！
通过拼接字符串将ls嵌入命令中实现任意命令执行！
linux知识点：反引号用于命令替换，即在反引号内的命令会先执行，其输出结果会替换反引号的内容。现代脚本中，推荐使用 $() 形式，因为它更易读且支持嵌套。利用链：
前端发送post请求将时间数据发送给后端-》websOpenListen监听请求-》收到请求后使用sub_4572A4函数进行时间设置-》由于未进行任何过滤导致doSystem("date -s \"%s\"", Var);会直接将传入的参数作为system的参数-》从而实现命令注入！~/Pwn_CVE/CVE-2018-17066$ binwalk -Me DIR-816.img

---
来源: 看雪论坛
原文链接: https://bbs.kanxue.com/thread-282039.htm

#2 2026-06-01 21:09:05

师傅我有一个疑问啊，这个固件我尝试用qemu-system去弄发现跟qemu-user都会有一模一样的错误，就是说在做固件仿真的时候有必要用qemu-system嘛

#3 2026-06-01 21:09:05

师傅你们ida反编译mips都是用的什么插件呀？

#4 2026-06-01 21:09:05

mb_ohjamvjn

师傅你们ida反编译mips都是用的什么插件呀？

不需要额外的插件低版本的ida无法反汇编成伪代码,至少ida7.7以上,可以去吾爱破解下载

#5 2026-06-01 21:09:05

Brinmon

不需要额外的插件低版本的ida无法反汇编成伪代码,至少ida7.7以上,可以去吾爱破解下载

好的，谢谢师傅