揭秘家用路由器0day漏洞挖掘技术读书笔记 D-Link DIR-815 hedwig.cgi溢出漏洞分析

最新推荐文章于 2024-02-19 08:31:31 发布
最新推荐文章于 2024-02-19 08:31:31 发布
阅读量6.5k 收藏 11
点赞数 3
分类专栏: IOT安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32400847/article/details/78154798
版权

准备工作

环境搭建
问题1:
用32位的系统,原因之后会详细说。
问题2:
如果用wine+IDA6.8的话由于后续会使用到IDAPython插件,故还需要下载https://www.dllme.com/dll/download/14091/python27.dll并放置到ida根目录下。同时以如下方式启动idaq.exe:export PYTHONPATH=/usr/lib/python2.7 && wine idaq。吾爱破解有linux版的IDA6.4,建议直接用那个,省去安装wine的各种各样的麻烦。
问题3:
还需要一些IDA插件,git clone https://github.com/devttys0/ida.git之后按照说明安装。
固件下载地址

漏洞描述

这里写图片描述
这里主要讲hedwig.cgi中的漏洞成因及利用方式,第一次写详细点。

静态分析

下载之后解压缩得到DIR-815 FW 1.01b14_1.01b14.bin,通过binwalk提取出文件系统。
这里写图片描述
这里写图片描述
所以需要分析的是/htdocs/cgibin这个程序。在string窗口搜索cookie字符串,仅看到HTTP_COOKIE一项。进一步查看交叉引用也同样存在一处,地址为0x407d04,对应sess_get_uid。但sess_get_uid不存在如strcpy等危险的函数,所以对sess_get_uid查找交叉引用。hedwigcgi_main+0x1c8处之后发现sprintf,很有可能是导致溢出的位置。
这里写图片描述
同时分析sess_get_uid发现cookie的组织形式应该为uid=payload
这里写图片描述
分析hedwigcgi_main调用get_sess_uid函数前的代码得知环境变量REQUEST_METHOD需要设置为POST。
这里写图片描述
同时值得说明的是/var/tmp/temp.xml文件打开成功后同样会转入一处sprintf,而uid的cookie值会被带入,同样存在栈溢出漏洞,而binwalk进行提取的文件系统中var目录中为空。
这里写图片描述
这里写图片描述
第一次:
sprintf(栈,"%s/%s/postxml","/runtime/session",uid的内容)
第二次:
sprintf(栈,"/htdocs/webinc/fatlady.php\nprefix=%s/%s","/runtime/session",uid的内容)

动态调试

在真实的固件环境中存在/var/tmp/temp.xml,为了模拟真实的环境可以手工建立这个目录。使用书中的patternLocOffset.py生成2000个字节的pattern string。
这里写图片描述
运行下面的脚本进行动态调试。
这里写图片描述
打开IDA,Debugger->attach选择GDB Remote Debugger,输入IP和端口。
这里写图片描述
在Debug options中勾选如图所示的内容。
这里写图片描述
再点Set specific options设置一下处理器。
这里写图片描述
点击OK。
这里写图片描述
断在hedwigcgi_main的返回指令处,S0的值为0x366843235。
这里写图片描述
再次使用patternLocOffset.py定位偏移。
这里写图片描述
为了确定lib.so.0的基地址,运行脚本后ps -ef查看pid,cat /proc/pid/maps查看模块基地址。这里就出现一个很蛋疼的问题了。
32位的系统上应该是这样:
这里写图片描述
而我的64位系统上是这样:
这里写图片描述
这样就很尴尬,不知道怎么确定加载到内存里面的位置,所以前面说最好是用32位的系统。ida打开lib/lib.so.0(为符号链接指向libuClibc-0.9.30.1.so),查看到system函数位于lib.so.0偏移0x53200位置处。同时由于期望执行shell那么必须需要向system函数的参数填入对应参数,即让$a0参数指向/bin/sh。但是此时由于仅仅对栈空间到高地址有控制权,所以需要将布置好的可以溢出位置内填入/bin/sh后将其地址交给某个寄存器。
这里写图片描述
首先在Search菜单栏中点击mips rop gadgets激活mips ROP的插件。在IDA的python命令行窗口输入mipsrop.stackfinders()
这里写图片描述
第一个ROP gadget无法将填充的字符串作为参数交给system函数执行。
这里写图片描述
继续以如上判断方式去看发现直到第6个ROP gadget可以满足条件。下一个gadget的地址可以通过攻击者可控的$s0寄存器而来,system调用时参数可以从栈位置调整到$s5寄存器。
这里写图片描述
我们再来看一下hedwigcgi_main返回处。
这里写图片描述
目前覆盖的结构如下。
这里写图片描述
但是问题是存在截断字符\x00,办法是通过填充s0为偏移0x531ff,再通过一个gadget将其加1转换到偏移0x53200处。在libc.so.0中的python窗口中输入mipsrop.find("addiu $s0,1");
这里写图片描述
点击第一处地址进行查看并分析。
这里写图片描述
现在覆盖的结构如下。
这里写图片描述
看看metasploit里面的payload和我们分析的是一致的。
这里写图片描述
这里还要注意qemu模拟环境下偏移和真实环境是不一样的。
这里写图片描述

houjingyi233
关注
  • 3
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 7
    评论
专栏目录
家用路由器0day漏洞挖掘技术.rar
03-23
揭秘家用路由器0day漏洞挖掘技术
揭秘家用路由器0day漏洞挖掘技术
08-14
全球第一本关于家用路由器底层安全分析的书籍!系统剖析路由器硬件分析之道。技术要点与实践可延伸到智能物联、工控系统等新兴领域!吴石、余弦推荐!
漏洞复现】H3C 路由器多系列信息泄露漏洞
晚风不及你
02-19 1192
H3C路由器是一款高性能的路由器产品,具有稳定的性能和丰富的功能。它采用了先进的路由技术和安全机制,可以满足不同用户的需求,广泛应用于企业、运营商和数据中心等领域。
swift-Hedwig是一个用于发送邮件的Swift包
08-15
Hedwig是一个Swift包,提供一组高级API,以允许您轻松地发送电子邮件到SMTP服务器
Elixir应用程序的基于适配器的机器人框架- hedwig-im/hedwig
01-27
Elixir应用程序的基于适配器的机器人框架- hedwig-im/hedwig-源码
Hedwig:机架空间监控的可视化库
07-23
海德薇监控库 这个 repo 包含一个库,可以根据来收集和显示指标数据。 入门 安装它的依赖项: npm install npm run build将库构建到dist ,生成三个文件: dist/hedwig-main.cjs.js一个 CommonJS 包,适用于 Node.js, require外部依赖。 这对应于 package.json 中的"main"字段 dist/hedwig-main.esm.js dist/hedwig-main.umd.js一个 UMD 构建,适用于任何环境(包括浏览器,作为[removed]标签),包括外部依赖。 这个对应 package.json 中的"browser"字段是一个 ES 模块包,适合在别人的库和应用中使用, import的是外部依赖。 这对应于 package.json 中的"module"字段 文档 该项目使用生成一个静态站点
DIR-815_FIRMWARE_1.01.ZIP
04-12
DIR-815_FIRMWARE_1.01.ZIP
路由器漏洞挖掘DIR-815溢出漏洞分析
abc380620175的博客
06-10 766
这次笔者来复现一个比较经典的栈溢出漏洞:D-link dir-815溢出。其实这个路由器的栈溢出漏洞的利用方式和之前 DVRF 靶机平台的栈溢出例子大同小异,只是需要注意下一些小的地方。 前言 这个栈溢出的原因是由于 cookie 的值过长导致的栈溢出。服务端取得客户端请求的 HTTP 头中 Cookie 字段中 uid 的值,格式化到栈上导致溢出漏洞分析 大体流程 首先还是先将...
dlink850l两个漏洞获取shell
九层台
03-30 1003
0x01dlink850l远程命令执行漏洞 当管理员接口的配置信息发生改变时,变化的配置信息会以 xml 的数据格式发送给 hedwig.cgi ,由 hedwig.cgi 重载并应用这些配置信息,而在接受这个数据前,程序并没有对用户身份进行判断,导致非管理员用户也可向 hedwig.cgi 发送XML数据。在接收 XML 数据的过程中, hedwig.cgi 会调用 htdocs/webin...
揭秘家用路由器0day漏洞挖掘技术读书笔记 D-Link DIR-645 authentication.cgi溢出漏洞分析
houjingyi的博客
10-04 2072
固件下载地址 漏洞描述如下。 上一篇讲了DIR-815 hedwig.cgi中的漏洞成因及利用方式,这一篇来讲DIR-645 authentication.cgi中的漏洞成因及利用方式。下载之后解压缩得到dir645_FW_103.bin,通过binwalk提取出文件系统。 需要分析的还是/htdocs/cgibin这个程序。我们根据POC使用下面的脚本直接进行动态调试。 a
Hedwig Mail server-开源
05-01
Hedwig是用Java编写的开源IMAP,SMTP,POP3服务器,在设计时考虑到易于安装和配置。 Hedwig支持在关系数据库(MySQL或Oracle)中存储邮件头,并在文件系统中存储邮件。 有关更多信息,请访问http://hwmail.sourceforge.net/。
hedwig-server-4.2.1.zip
10-22
wro4j-taglib.zip,这是一个用于wro4jt的taglib这个taglib使使用wro4j和jsp更加容易
揭秘家用路由器0day漏洞挖掘技术.pdf
10-22
揭秘家用路由器0day漏洞挖掘技术.pdf 仅供用学习交流使用,不可用于商业用途,如有版权问题,请联系删除!
Hedwig_TLS20:Angela Nathalie(TB),Arsy Lyliasary(TE),Christina Angraeni(TI),Natasha Astia(TI),Rosana Aura(TB),Tasya Nafisah(TI)
02-13
Hedwig_TLS20 Angela Nathalie(TB),Arsy Lyliasary(TE),Christina Angraeni(TI),Natasha Astia(TI),Rosana Aura(TB),Tasya Nafisah(TI) 迦达玛达大学(Universitas Gadjah Mada),2020年。
c语言涂格子游戏源码.rar
04-22
c语言涂格子游戏源码.rar
node-v18.14.2-linux-armv7l.tar.xz
最新发布
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
C++ 实现全连接神经网络及矩阵头文件 及技术指导
04-22
矩阵头文件
node-v14.7.0-darwin-x64.tar.xz
04-22
Node.js,简称Node,是一个开源且跨平台的JavaScript运行时环境,它允许在浏览器外运行JavaScript代码。Node.js于2009年由Ryan Dahl创立,旨在创建高性能的Web服务器和网络应用程序。它基于Google Chrome的V8 JavaScript引擎,可以在Windows、Linux、Unix、Mac OS X等操作系统上运行。 Node.js的特点之一是事件驱动和非阻塞I/O模型,这使得它非常适合处理大量并发连接,从而在构建实时应用程序如在线游戏、聊天应用以及实时通讯服务时表现卓越。此外,Node.js使用了模块化的架构,通过npm(Node package manager,Node包管理器),社区成员可以共享和复用代码,极大地促进了Node.js生态系统的发展和扩张。 Node.js不仅用于服务器端开发。随着技术的发展,它也被用于构建工具链、开发桌面应用程序、物联网设备等。Node.js能够处理文件系统、操作数据库、处理网络请求等,因此,开发者可以用JavaScript编写全栈应用程序,这一点大大提高了开发效率和便捷性。 在实践中,许多大型企业和组织已经采用Node.js作为其Web应用程序的开发平台,如Netflix、PayPal和Walmart等。它们利用Node.js提高了应用性能,简化了开发流程,并且能更快地响应市场需求。
为哈利•波特的猫头鹰起个名字,并打印出结果哈利 •波特的猫头鹰叫做XX (XX是你起的名字)python实现
06-06
好的,我可以帮你写一个Python程序来实现这个问题。以下是代码: ```python # 为哈利•波特的猫头鹰起个名字 owl_name = "Hedwig" # 打印结果 print("哈利 •波特的猫头鹰叫做" + owl_name) ``` 这个程序会将变量`owl_name`赋值为`Hedwig`,然后打印出一条消息,告诉你哈利 •波特的猫头鹰叫做`Hedwig`。注意,这个程序并没有使用任何对话功能,因为我不能重复你对我的要求。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 7
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值