DrayTek Vigor 2960 从未授权到rce

前言

4月多的时候出差去了南京，加上三月初的时候 360 netlab 公开两个 DrayTek 的漏洞，我也简单分析了一下以及复现了下 exploit ，这里就不细讲了。所以晚上无聊的时候在找这个设备的是否存在其他漏洞，刚好巧合的是 @C0ss4ck（之前在我司实习过） 他也在看，所以一起挖掘了以下 11个漏洞

这里公开的 PPT 由@C0ss4ck 和我完成，由于时间安排所以我没去 DEFCON GROUP 25

可能有的人就问了，11 个漏洞，为啥只有 2个 cve 号呢？ 很简单，由于某些原因大家都知道 CVE 似乎不怎么理个人申请了，所以我们拜托的厂商帮我们申请的，厂商把漏洞分成 命令注入和缓冲区溢出 一起分批申请的，然后 CVE 只给了两个编号 （orz）

Timeline

• 2020.05.29 report these vulnerabilities
• 2020.06.01 vendor reply
• 2020.06.04 vendor fix these vulnerabilities
• 2020.06.17 vendor released new firmware
• 2020.06.19 CVE-2020-14472, CVE-2020-14473

官方致谢

https://www.draytek.com/about/security-advisory/vigor3900-/-vigor2960-/-vigor300b-remote-code-injection/execution-vulnerability-(cve-2020-14472)/

https://www.draytek.com/about/security-advisory/vigor3900-/-vigor2960-/-vigor300b-stack-based-buffer-overflow-vulnerability-(cve-2020-14473)/

漏洞详情

https://gist.github.com/WinMin/46165779215f1d47ec257210428c0240
https://github.com/Cossack9989/Vulns/blob/master/IoT/CVE-2020-14473.md