某路由器二进制漏洞挖掘过程

摘要：半个月前，我在对Wavlink品牌WL-NU516U1型号路由器进行安全测试时，发现其管理界面存在一处命令注入漏洞。

1.前言

半个月前，我在对Wavlink品牌WL-NU516U1型号路由器进行安全测试时，发现其管理界面存在一处命令注入漏洞。

该漏洞源于系统对用户输入过滤不严，攻击者可通过特制的HTTP请求在设备中执行任意系统命令，从而完全控制设备。

经过深入分析与验证，确认该漏洞具有高危害性，可导致设备被完全接管。

我写了详细的技术报告，包括漏洞成因、利用方式和修复建议，并通过正规渠道向Wavlink厂商及CVE机构提交。

近日，该漏洞已正式获得CVE编号CVE-2025-9149。

wavlink官网

2.漏洞概述

Wavlink是一家专注于网络设备和通信解决方案的公司，提供优质的路由器、扩展器和网络配件。其下的WAVLINK-NU516U1型号的固件，功能用于提供打印机服务器网卡，其管理后台存在命令注入漏洞，允许攻击者完成os命令执行。

固件下载地址：

3.漏洞详情

对固件binwalk -Me [固件位置] 解包

binwalk -Me WAVLINK-NU516U1-WO-A-2024-04-25-b516aec-GDBYFM.bin

获得其解包文件，而我们要找到/squashfs-root/etc/lighttpd/www/cgi-bin中的wireless.cgi二进制文件，

它的位置在 cgi-bin目录下，它是Lighttpd Web服务器的一个后端CGI程序。

当用户通过浏览器访问路由器的管理界面，比如说随便点击“无线设置”页面提交表单时，Lighttpd Web服务器会接收到这个HTTP请求。

Web服务器根据请求的URL，判断需要由哪个CGI程序来处理，对于无线设置相关的请求，它就会找到并执行这个 wireless.cgi文件。

wireless.cgi程序开始运行，它解析HTTP请求中的数据，比如你提交的表单项，然后可能会调用其他系统工具，如内置的 iwconfig、wpa_supplicant，或者直接读写配置文件， /etc/config/wireless来执行具体的无线网络配置更改。

处理完毕后，wireless.cgi会生成一个HTTP响应，比如一个成功响应的HTML页面，并将其输出到标准输出。

Web服务器捕获到这个输出，并将其打包成完整的HTTP响应，发送回给用户的浏览器。

与用户浏览器直接进行网络通信的是 Lighttpd Web服务器。

wireless.cgi是一个被Web服务器调用的后台程序，负责处理具体的业务逻辑。它是间接与外界通信的关键环节。

所以，这个wireless.cgi虽不直接与外界进行通信，但是它却负责处理用户从外部输入的数据，比如说HTTP请求参数，如果它对这些输入的处理不当，例如没有经过严格过滤就直接拼接成系统命令，就非常容易产生命令注入、缓冲区溢出等漏洞。

找到之后，拿IDA打开，观察其函数，先看main函数，首先用了fgets函数获取标准输入，拿到了用户提交的page参数值。

sub_405EA8函数将page参数值设置为GuestWifi，会跳转进入sub_4032E4函数。

sub_4032E4函数内，获取了Guest_ssid参数值，该值可以post传参可控，而且这段代码是典型的“功能开关”设计，程序在处理HTTP请求参数时，会依次读取多个配置值。

从参数名可以推断，guestEn代表 “Guest Enable”，即访客网络功能的总开关，代码首先获取这个开关的值 (v2 = sub_405EA8("guestEn", a1,0));，并将其保存到变量 v4中，而Guest_ssid是依赖项，Guest_ssid是访客网络功能下的一个子配置项，它的逻辑处理必然依赖于总开关 guestEn是否开启。

随后Guest_ssid参数值被传入sub_407504函数内。

而往上看会发现，必须v4为1，才会去执行sub_407504函数，否则就会跳到label_11的地方去，而v4在往上看则能够发现是字符串guestEn的值。

【---- 帮助网安学习，以下学习资料免费领！领取资料加 v@x：YJ-2021-1，备注 “一点号” 获取！】

① 网安学习成长路径思维导图
② 60 + 网安经典常用工具包
③ 100+SRC 漏洞分析报告
④ 150 + 网安攻防实战技术电子书
⑤ 最权威 CISSP 认证考试指南 + 题库
⑥ 超 1800 页 CTF 实战技巧手册
⑦ 最新网安大厂面试题合集（含答案）
⑧ APP 客户端安全检测指南（安卓 + IOS）

所以构造poc的时候，必须将guestEn设置为1