A7100RU 漏洞总结 漏洞概述 在 TOTOLINK A7100RU 路由器的 组件中发现了一个命令注入漏洞。该漏洞允许远程攻击者通过构造特定的 参数,利用 格式化字符串漏洞将恶意命令注入到系统调用中,最终通过 函数执行任意操作系统命令。 影响范围 厂商 (Vendor): TOTOLINK 产品 (Product): A7100RU 版本 (Version): 7.4cu.2313_b20191024 PoC 代码与利用逻辑 1. 漏洞代码片段 ( 函数): 该函数读取用户提供的 参数,并将其拼接到命令字符串中。 2. 执行逻辑 ( 函数): 该函数最终调用 执行命令。 3. Proof of Concept (PoC): 攻击者设置 为 ,路由器将执行该命令。 HTTP 请求示例: 结果** 提交上述数据包后,发现 命令在 Ubuntu 终端中成功执行,证实了远程命令注入漏洞的存在。