2026-01-15 00:02:31 网络安全文章来源：ZONE.CI 全球网 0 阅读模式

文章总结： PowerMeterM500智能电表网关的meter_collectd服务在8080端口接收抄表指令时，exec_meter_cmd函数直接将用户可控的meter_id参数拼入system执行，无过滤导致命令注入，攻击者可获root权限；IDA逆向确认输入未经任何校验，设备以高权限运行且更新慢，长期暴露风险，违反EN18031输入验证要求，需白名单校验、替换危险函数并建立固件安全更新机制。 综合评分： 88 文章分类： IoT安全,漏洞分析,逆向分析,安全建设,政策法规

cover_image

智能电表远程抄表设备命令注⼊漏洞逆向分析

原创

网络安全实验室

GTG网络安全实验室

2026年1月13日 15:31 广东

本次分析的⽬标设备为PowerMeter M500 智能电表远程抄表⽹关，该设备部署于⼩区配电房，通过电⼒载波 / 4G ⽹络采集电表数据并上传⾄电⼒公司管理平台。

。

漏洞背景

设备的 meter_collectd 服务提供 HTTP 接⼝（默认 8080 端⼝）接收远程抄表指令，核⼼函数exec_meter_cmd 在处理⽤⼾传⼊的电表编号参数时，未做任何过滤直接拼接⾄ system 函数执⾏，攻击者可构造恶意电表编号参数，注⼊任意系统命令，获取设备 root 权限。

查看相关⼆进制⽂件信息：

IDA Pro逆向分析

使⽤IDA Pro对该⽂件进⾏逆向分析。

在 IDA 的 Functions window 中找到 exec_meter_cmd 函数

反汇编代码关键分析点：

· snprintf 调⽤时， a1 寄存器传⼊⽤⼾可控的 meter_id ， a0 为格式化字符串 cat/mnt/meter/%s.dat > /tmp/meter_data.txt ，直接拼接形成系统命令；

· system 函数调⽤时， a0 寄存器传⼊拼接后的完整命令，⽆任何过滤机制；

· MIPS 架构中，函数参数通过 a0-a3 寄存器传递，可清晰看到⽤⼾输⼊直接参与命令构造与

执⾏。

· system 函数（地址 401A60 ）是命令注⼊的核⼼⾼危函数，对⽐安全函数（如 execvp ），system 会启动 /bin/sh 解析命令，⽀持管道、分隔符等语法，是命令注⼊的关键诱因；

· ⽆任何输⼊过滤函数调⽤（如 strtok 、 isalnum ），确认输⼊未做安全处理。

看⼀下该漏洞点所在函数的伪代码：

· meter_id 作为函数参数直接传⼊ snprintf ，拼接成系统命令字符串；

· 拼接后的 sys_cmd 直接传⼊ system 函数执⾏，⽆任何过滤 / 转义；

· meter_id 来⾃ HTTP 请求参数，完全受⽤⼾控制，满⾜命令注⼊的所有条件。

漏洞验证

本地开启nc监听反弹Shell

发送payload

本地端 NC 监听窗⼝获取到设备的 root shel

总结

命令注⼊是 IoT 设备中⾼发的安全漏洞，核⼼原因是开发⼈员忽视输⼊校验、滥⽤危险系统函数。这类漏洞在智能电表、⼯业⽹关、智能家居控制器等具备远程指令交互能⼒的设备中尤为突出，⼀⽅⾯是因为嵌⼊式开发场景往往更注重功能实现效率，容易忽略输⼊数据的安全性校验，对 system 、 popen 等危险函数的使⽤缺乏⻛险评估；另⼀⽅⾯，IoT 设备普遍采⽤封闭的嵌⼊式系统，固件更新迭代慢，漏洞⼀旦存在就可能⻓期暴露在攻击⻛险中，且设备往往以⾼权限账⼾运⾏，漏洞被利⽤后会直接导致设备被完全控制，进⽽引发数据泄露、业务篡改甚⾄⼤规模设备劫持等连锁危害。

从合规⻆度来看，命令注⼊漏洞直接违反 EN 18031-1 中关于输⼊验证的规范要求，会直接影响设备的市场准⼊资格。因此，防范此类漏洞需要从开发阶段⼊⼿，将输⼊⽩名单校验、危险函数替换、权限最⼩化等安全措施融⼊研发全流程，同时建⽴常态化的固件安全检测与更新机制，通过 “开发防护 + 运维加固” 的双重⼿段，切实提升 IoT 设备的安全合规⽔平。

🔒 安全升级！GTG认证护航物联⽹安全新时代

GTG网络安全实验室

🔐 GTG⼴测集团是国内领先的 IoT安全认证专家，尤其擅⻓ EN 18031标准（欧洲物联⽹安全法规）的测试与认证！

支持全球网络安全认证检测项目：

🏆 GTG如何为您的IoT产品保驾护航？

✅ EN 18031合规认证：确保您的产品符合欧洲市场准⼊要求

✅ 渗透测试 & 漏洞评估：模拟⿊客攻击，提前发现安全隐患

✅ 安全架构设计咨询：从底层优化产品安全性能

✅ 全球法规适配：协助企业满⾜不同国家的IoT安全标准（如中国GB/T、英国PSTI）

💡 为什么选择GTG？

· 国内专业的IoT安全检测机构

· 已经为多家企业提供安全认证服务

· ⾃有攻防实验室，配备专业红队模拟APT攻击场景

更多相关内容

欢迎关注视频号“GTG网络安全实验室”

私信可获取“EN 18031自测工具包”

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：GTG网络安全实验室网络安全实验室《智能电表远程抄表设备命令注⼊漏洞逆向分析》