Netgear-R8300-UPnP RCE漏洞分析复现-水滴实验室

最新推荐文章于 2023-02-09 19:26:09 发布
最新推荐文章于 2023-02-09 19:26:09 发布
阅读量1.1k 收藏
点赞数
文章标签: 安全 区块链 数据挖掘 机器学习 数据库
原文链接:http://wx.eversec.eversunshine.com.cn/#/index/discovery/item/707?isChild=0&channelIdList=1&navsFlag=false
版权

根据Netgear官方在2020年7月31日发布的公告,在Netgear R8300型号的路由器中,UPNP服务存在缓冲区溢出漏洞(PSV-2020-0211)。
通过对Netgear-R8300-UPnP栈溢出漏洞的复现,掌握在仿真情况下对nvram相关问题的处理,注重细节的利用。值得借鉴的是,在漏洞利用过程中,NULL字符截断问题的解决思路。(文章中若有不足之处,请大家见谅)
漏洞分析
固件下载地址
https://www.downloads.netgear.com/files/GDC/R8300/R8300-V1.0.2.130_1.0.99.zip
提取文件系统
binwalk -Me R8300-V1.0.2.130_1.0.99.chk
/usr/sbin/upnpd 程序中漏洞点解析
upnp服务开启1900端口,在upnp_main函数执行流程时,通过recvfrom函数接收数据并传递给ssdp_http_method_check函数,在ssdp_http_method_check内部执行strcpy操作时,未对输入的数据做任何安全检查,造成栈溢出。
源码如下:
int upnp_main()
{
//…
recvBuf[0] = 0;
//接收通过1900端口发送的数据,保存在 recvBuf 缓冲区中。
v28 = recvfrom(dword_C4580_upnp_http_fd_1900, recvBuf, 0x1FFFu, 0, (struct sockaddr *)&v63, (socklen_t *)&v71);
v29 = v64;
stru_C44FC.__fds_bits[(unsigned int)dword_C4580_upnp_http_fd_1900 >> 5] &= ~(1 << (dword_C4580_upnp_http_fd_1900 & 0x1F));
if ( v29 )
{
if ( v28 )
{
inet_ntoa_b();
recvBuf[v28] = 0;
if ( acosNvramConfig_match(“upnp_turn_on”, “1”) )
//接受的数据recvBuf传递给ssdp_http_method_check函数
ssdp_http_method_check(
recvBuf,
(int)&v59,
(unsigned __int16)(HIWORD(v63) << 8) | (unsigned __int16)(HIWORD(v63) >> 8));
}
else
{
printferror(2, “%s(%d):EOF…\n”, “upnp_main”, 883);
}
}
//…
}

signed int __fastcall ssdp_http_method_check(const char *recvBuf, int a2, int a3)
{
//…
int v4; // r6
int v39; // [sp+18h] [bp-640h]
int v40; // [sp+24h] [bp-634h]
int *v51; // [sp+628h] [bp-30h]
//…
printferror(3, “%s(%d):\n”, “ssdp_http_method_check”, 203);
if ( dword_93AE0 == 1 )
return 0;
v51 = &v40;
//1. 未对recvBuf进行长度检查
//2. strcpy未进行复制的数据长度进行限制
strcpy((char *)&v40, recvBuf);
v7 = sub_B60C((const char **)&v51, (const char *)&v52);
v8 = v7;
//…
}

闪闪发光的彭彭
关注
Linksys RE7000无线扩展器 RCE漏洞复现(CVE-2024-25852)
0xSec
04-20 842
Linksys RE7000无线扩展器在访问控制功能点的“AccessControlList”参数中存在命令执行漏洞。未经身份验证的远程攻击者可以利用该漏洞获取设备管理员权限。
如何挖掘UPnP服务漏洞-入门篇
郁离歌丶的博客
06-30 2460
本文首发于xray社区:https://mp.weixin.qq.com/s/VK5CiWa5IIiMMwf–26miA 周末测了一下屋里的几个iot设备,顺便学习了一下对于UPnP的服务如何去挖掘漏洞。这里记录一下UPnP的学习笔记。 UPnP UPnP是因特网及LAN中使用的以TCP/IP协议为基础的技术。通过无线网络上网的用户都是处于内网,为了保证一些P2P软件正常工作,开启UPnP是必须的,而目前大多数无线路由器等iot设备都具有此功能。 只要 NAT 设备(路由器)支持 UPnP,并开启。那么,当
华为路由器 CVE 2017-17215 命令注入漏洞复现
weixin_44229639的博客
12-09 4100
华为路由器 CVE 2017-17215 命令注入漏洞复现
Netgear R6400v2 堆溢出漏洞分析与利用
zhangge3663的博客
03-29 3050
2020 年 6 月,ZDI发布了一个关于Netgear R6700型号设备上堆溢出漏洞安全公告,随后又发布了一篇关于该漏洞的博客,其中对该漏洞进行了详细分析,并给出了完整的漏洞利用代码。该漏洞存在于对应设备的httpd组件中,在处理配置文件上传请求时,由于对请求内容的处理不当,在后续申请内存空间时存在整数溢出问题,从而造成堆溢出问题。攻击者利用这一漏洞可以在目标设备上实现代码执行,且无需认证。 此前,关于IoT设备上公开的带完整漏洞利用的堆溢出漏洞比较少(好像公开的堆溢出漏洞就不多...),正好手边有
速修复!Netgear 61款路由器和调制解调器中存在多个严重的预认证RCE漏洞
smellycat000的专栏
11-18 258
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士网络设备厂商Netgear 修复了今年的第五批严重的远程代码漏洞,这些漏洞影响的是 Netgear 的SOHO 路由器。安全公司 GRI...
如何利用栈溢出执行指定的的代码_分析Netgear R7000路由器栈溢出漏洞
weixin_39583029的博客
12-06 417
0x00 绪论经过一整天的辛苦研究,放松下来,做点容易的事是件消遣。与10到15年前相比,现代软件开发流程极大地改善了商业软件的质量,但消费级网络设备却大为落后。因此,当需要找点乐子增强信心时,我喜欢分析SOHO设备。本文将审计Netgear R7000路由器,分析其产生的漏洞以及随后的漏洞利用开发过程。可以在我们的NotQuite0DayFriday仓库中找到此博客文章中描述的漏洞的w...
美国网件 Netgear-R6800分区备份 mtd0_mtd1_mtd16 三个分区备份bin文件
04-03
Netgear R6800是一款高性能的无线路由器,由美国知名网络设备制造商Netgear生产。这款路由器采用先进的硬件配置和软件技术,旨在提供稳定、快速的网络连接。在本文中,我们将深入探讨针对Netgear R6800的分区备份...
Netgear-R7800-Openwrt-NSS
04-17
行动OpenWrt 使用GitHub Actions构建OpenWrt 用法 单击按钮创建一个新的存储库。 使用源代码生成.config文件。 (您可以通过工作流文件中的环境变量来更改它。) 将.config文件推送到GitHub存储库。...
tomato-Netgear-R6300V1
09-07
tomato-Netgear-R6300V1_122--20140901.Hyzoom.RT_AC-32M-AIO-AR-TR-PY-GAE-XUNLEI-NGINX-MYSQL-64K.chk
美国网件Netgear R6700v2 R6800 R6900v2的PandoraBox固件,直接从原厂固件升级界面升级!
04-03
此固件5G信号可以调到160Mhz,速度可以达到1733Mbps,美国网件Netgear R6700v2 R6800 R6900v2三个型号通用的PandoraBox固件,直接从原厂固件升级界面升级! 管理地址:192.168.1.1 用户 root 密码 admin 如果你要...
Netgear R7000 梅林固件 378.56_2
11-08
网件netgear R7000 梅林固件 378.56_2
NetGear多款路由器远程命令注入漏洞分析(更新补丁分析)
ShadowAssassin的专栏
12-22 2795
转自:http://bobao.360.cn/learning/detail/3287.html 本不想写这个文章的,只是在评论作者的问题时,提示字数太多,我一再缩减字数,发现还是评论不了,没办法呢只能在此写下问题,评论个连接: 本人在分析时,基本上也是按照原作者的文章来的,只是发下原作者写的有些问题,这里说明下: ======================================
【从零复现CVE漏洞】Tenda 路由器栈溢出复现(CVE-2018-18708)
最新发布
m0_55368674的博客
02-09 2625
Tenda 路由器栈溢出复现(CVE-2018-18708)
upnp漏洞
luminous_you的博客
04-02 1242
原理 该模块利用libupnp的SSDP处理器的unique_service_name()函数中的缓冲区溢出。libupnp库可用于数千种设备,被称为UPnP设备的英特尔SDK或UPnP设备的便携式SDK。由于许多设备的大小限制,此漏洞利用单独的TCP侦听器暂存实际有效负载。 模块选项 要显示可用选项,请在Metasploit控制台中加载模块,然后运行命令“显示选项”或“显示高级”: 利用 msf > use exploit/multi/upnp/libupnp_ssdp_overflow msf e
一步到位的 UPnP 远程溢出漏洞实战
weixin_34326429的博客
03-24 913
  远程溢出***漏洞 (Remote Buffer Overflow Vulnerability) 是远程直接***被黑电脑或服务器最典型、最常见的漏洞,原因无它,只要溢出成功并运行 ShellCode 程序就可以直接进入被黑电脑中,而且几乎都有最高权限,算是最简单、快速的一步到位***法,因此近年来许多***乐此不疲的查找这类漏洞 ,而不论是利用那个漏洞,***的操作与行...
CVE2016-8863libupnp缓冲区溢出漏洞原理分析及Poc
weixin_30512043的博客
09-22 798
1、libupnp问题分析: (1)问题简述: 根据客户给出的报告,通过设备安装的libupnp软件版本来判断,存在缓冲区溢出漏洞:CVE-2016-8863。 (2)漏洞原理分析: 该漏洞发生在upnpSDK库中,upnp/src/gena/gena_device.c.文件的create_url_list函数中,由于对输入数据未进行有效检验,造成对缓冲区溢出,可以导致服...
常见端口漏洞
Jim的博客
09-04 2万+
Windows中可以通过Internet信息服务(IIS)来提供FTP连接和管理,也可以单独安装FTP服务器软件来实现FTP功能,比如常见的FTP Serv-U。
路由器UPnP功能具体作用,有什么坏处,
热门推荐
鹿鸣天涯
02-28 7万+
UPnP的全称是Universal Plug and Play。UPnP规范基于TCP/IP协议bai和针对设备彼此间通讯而制订的新的Internet协议。事实上,UPnP的制定正是希望未来所有联入Internet中的设备能够不受网关阻碍的相互通信。 进入路由器的Web控制界面,打开路由器的UPnP功能,在浏览器中输入路由器的地址,进入路由器的管理页面之后,找到UPnP功能,并将其设置为Enable。 一、开启UPnP的作用 1、UPnP开启后能方便智能bai监控设备直接透传到因特网,无需做烦琐的映射
路由器模拟_DLink DIR645路由器栈溢出漏洞分析
weixin_39878716的博客
11-27 580
本文为看雪论坛优秀文章看雪论坛作者ID:21Gun5目录01-漏洞描述02-环境/工具03-漏洞分析04-漏洞利用4.1-选择攻击途径4.2-确定偏移4.3-构造payload4.4-完整exp05-漏洞测试06-参考01-漏洞描述https://www.exploit-db.com/exploits/33862This m...
NETGEAR大型Wi-Fi无线网络控制器方案详解
"Netgear 提供的大型规模Wi-Fi无线网络方案36-46836,旨在满足大规模企业网络的需求。该方案采用第三代分布式架构的无线控制器,支持802.11N标准,提供高达900Mbps的无线网络速度。方案可容纳高达15000个无线终端或...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值