关键信息 1. 漏洞概述 漏洞类型: 未授权命令注入 受影响产品: TOTOLINK N600R 受影响固件版本: V4.1_0cn_7816, R20220506 漏洞位置: Awb_cset.cgi二进制文件中的langType参数处理 2. 漏洞细节 问题描述: 在Awb_cset.cgi二进制文件中,程序将用户输入的langType参数直接拼接到system()调用的参数中,缺乏有效的验证和清理,导致命令注入漏洞。 关键代码片段: 影响: 攻击者可以利用此漏洞执行任意系统命令。 3. POC (概念验证) 请求示例: 4. 效果演示 命令执行结果: 攻击者成功在目标设备上执行了ls命令,并将结果保存到123.txt文件中。 ``` 这些信息表明,TOTOLINK N600R路由器存在严重的命令注入漏洞,攻击者可以通过构造特定的HTTP请求来执行任意系统命令,从而对设备进行控制或破坏。