揭秘家用路由器0day漏洞挖掘技术读书笔记 D-Link DIR-645 authentication.cgi溢出漏洞分析

最新推荐文章于 2021-05-26 17:56:22 发布
最新推荐文章于 2021-05-26 17:56:22 发布
阅读量2.1k 收藏 2
点赞数
分类专栏: IOT安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32400847/article/details/78157062
版权

固件下载地址
漏洞描述如下。
这里写图片描述
上一篇讲了DIR-815 hedwig.cgi中的漏洞成因及利用方式,这一篇来讲DIR-645 authentication.cgi中的漏洞成因及利用方式。下载之后解压缩得到dir645_FW_103.bin,通过binwalk提取出文件系统。
这里写图片描述
这里写图片描述
需要分析的还是/htdocs/cgibin这个程序。我们根据POC使用下面的脚本直接进行动态调试。
这里写图片描述
我们在堆栈空间分配完毕后的地址0x40B024处下断点。因为溢出发生时总会覆盖saved ra,所以可以通过观察saved ra何时被覆盖来定位存在漏洞的函数。在0x40B500处的read函数调用后可以发现saved ra被覆盖。
这里写图片描述
这里写图片描述
继续执行到0x40A494处的getenv("HTTP_COOKIE")时程序就崩溃了。
这里写图片描述
点击OK之后程序停在异常地址,在lbu $v0, 0($a1)指令中a1被覆盖为0x41414141。
这里写图片描述
查看read函数之前的代码可以得到read函数此处用法为
read(fileno(stdin),var_430,atoi(getenv("CONTENT_LENGTH")); 由于没有判断CONTENT_LENGTH的长度因此造成了缓冲区溢出。
这里写图片描述
使用书中的patternLocOffset.py生成1160个字节的pattern string,并用下面的命令运行authentication.cgi。
这里写图片描述
在authenticationcgi_main的返回处0x40BCE0下断点,查看寄存器S0和RA。
这里写图片描述
再次使用patternLocOffset.py定位偏移。
这里写图片描述
因为DIR-815 1.01和DIR-645 1.03使用的libc.so.0动态库是一样的,所以关于ROP的选择可以参考前面的内容。
metasploit里面的payload

houjingyi233
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
物联网漏洞挖掘入门--DLINK-DIR-645路由器溢出漏洞分析复现
墨痕诉清风的博客
09-11 3750
https://www.rapid7.de/db/modules/exploit/linux/http/dlink_hedwig_cgi_bof 这个栈溢出的原因是由于cookie的值过长导致的栈溢出。服务端取得客户端请求的HTTP头中Cookie字段中uid的值,格式化到栈上导致溢出。通过对漏洞点进行分析,搭建模拟环境并完成整个漏洞利用过程。 (文章中有不足之处,还请各位......
揭秘家用路由器0day漏洞挖掘技术》 试读
IT学习笔记
09-03 632
记得今年央视的315晚会上,主持人让现场的观众连接会场的公共WIFI,随意上网,不久以后,大屏幕上就出现了大家的照片,微博等等私人信息。也就是说,通过连接WIFI,手机上网的数据已经被截获并被解析,大家的账号和密码也被破解了。 有些人可能会说,这个事情离我们很远,反正我不用公共的WIFI,但是如果你家的路由器漏洞,也许你的账号就不安全了。 所以当看到《揭秘家用路由器0day漏洞挖掘技...
揭秘家用路由器0day漏洞挖掘技术读书笔记 D-Link DIR-505 my_cgi.cgi溢出漏洞分析
houjingyi的博客
10-05 2489
固件下载地址 漏洞描述如下。 下载之后解压缩得到DIR505A1_FW108B10.bin,通过binwalk提取出文件系统。 我们使用下面的脚本直接进行动态调试。根据my_cgi.cgi main函数反编译后的结果可知脚本中CONTENT-TYPE不能为multipart/form-data,SCRIPT_NAME不能为HNAP1。 漏洞的问题在于处理POST参数中sto
DIR-645组合拳漏洞
Yale的博客
05-26 595
本次实验分析及复现的漏洞来自于2017年Hack2Win 黑客竞赛,举办方在公网上提供 D-Link 850L 路由器作为攻击目标,竞赛持续了两个月,最终确定了3个漏洞: Remote Command Execution via WAN and LAN Remote Unauthenticated Information Disclosure via WAN and LAN Unauthorized Remote Code Execution as root via LAN 第三个漏洞受限于环境无法复现,本
DIR-645远程命令执行漏洞
Yale的博客
05-26 953
首先我们分析网上公开的exp确定漏洞相关组件及payload,之后通过IDA分析研究漏洞是如何触发的,最后在attifyos中进行模拟,验证漏洞。 本次实验的漏洞是某品牌路由器service.cgi远程命令执行漏洞。 Packet storm有exp:https://packetstormsecurity.com/files/145859/dlinkroutersservice-exec.txt 看看exp中的关键信息 大概知道需要访问service.cgi,post请求,payload中有event=c
D-Link DIR-645 信息泄露漏洞
weixin_30466039的博客
03-20 478
D-Link DIR-645getcfg.php文件由于过滤不严格导致信息泄露漏洞。 $SERVICE_COUNT = cut_count($_POST["SERVICES"], ","); TRACE_debug("GETCFG: got ".$SERVICE_COUNT." service(s): ".$_POST["SERVICES"]); $SERVICE_INDEX = 0...
汽车、工控和物联网行业的_0Day_漏洞主动挖掘技术.pdf
08-07
通过 0Day 漏洞的实际案例,看到 Fuzzing 测试能够达到的 0Day 漏洞挖掘效果。 探寻属于自己行业的网络协议 Fuzzing... • 网络协议Fuzzing原理 • 基于Model-base千万级别fuzzing用例生成技术 • Safeguard增强安全...
apache-tomcat-10.0.8.zip
07-09
Apache Tomcat 软件是Jakarta Servlet、 Jakarta Server Pages、 Jakarta Expression Language、 Jakarta WebSocket、 Jakarta Annotations和 Jakarta Authentication 规范的开源实现 。 压缩包内容: apache-...
AspNetCore.AuthenticationQQ-WebChat:Microsoft.AspNetCore.Authentication的QQ和Webchat扩展(1.12.03.0)
05-15
Microsoft.AspNetCore.Authentication扩展Microsoft.AspNetCore.Authentication的QQ和Webchat扩展开始使用dotnet核心2.0 安装nuget包网络聊天 PM> Install-Package Passingwind.AspNetCore.Authentication.WeixinQQ ...
Authentication- IO Capabilities.cywrk.Archive01.zip
02-12
标题中的"Authentication- IO Capabilities.cywrk.Archive01.zip"表明这是一个关于身份验证(Authentication)和输入/输出(IO)能力的压缩文件。它可能是某个项目或研究的工作文件集合,存储在名为".cywrk.Archive...
揭秘家用路由器0day漏洞挖掘技术.zip
07-22
揭秘家用路由器0day漏洞挖掘技术》理论与实践结合,全面、深入地分析家用路由器的安全漏洞,包括Web应用漏洞、栈溢出漏洞等,并辅以大量案例进行了翔实的分析。《揭秘家用路由器0day漏洞挖掘技术》针对家用路由器这一新领域进行漏洞的挖掘与分析,其原理和方法同样适用于智能设备、物联网等。
cvsnt-server-2.5.05.3744.msi
01-23
在实际使用中,CVSNT支持多种认证方式,如PAM(Pluggable Authentication Modules)、NTLM(NT LAN Manager)和SSPI(Security Support Provider Interface)。这些认证方式可以提供更高级别的安全保护,避免未授权...
Dir-645任意文件读取漏洞
Yale的博客
05-26 547
本次实验分析及复现的漏洞来自于2017年Hack2Win 黑客竞赛,举办方在公网上提供 D-Link 850L 路由器作为攻击目标,竞赛持续了两个月,最终确定了3个漏洞: Remote Command Execution via WAN and LAN Remote Unauthenticated Information Disclosure via WAN and LAN Unauthorized Remote Code Execution as root via LAN 第三个漏洞受限于环境无法复现,本
揭秘家用路由器0day漏洞挖掘技术读书笔记 D-Link DIR-815 hedwig.cgi溢出漏洞分析
houjingyi的博客
10-03 6678
准备工作环境搭建 问题1: 用32位的系统,原因之后会详细说。 问题2: 如果用wine+IDA6.8的话由于后续会使用到IDAPython插件,故还需要下载https://www.dllme.com/dll/download/14091/python27.dll并放置到ida根目录下。同时以如下方式启动idaq.exe:export PYTHONPATH=/usr/lib/python2.
路由器模拟_DLink DIR645路由器溢出漏洞分析
weixin_39878716的博客
11-27 571
本文为看雪论坛优秀文章看雪论坛作者ID:21Gun5目录01-漏洞描述02-环境/工具03-漏洞分析04-漏洞利用4.1-选择攻击途径4.2-确定偏移4.3-构造payload4.4-完整exp05-漏洞测试06-参考01-漏洞描述https://www.exploit-db.com/exploits/33862This m...
路由器漏洞挖掘DIR-850/645 命令执行漏洞复现
abc380620175的博客
06-10 1237
前言 这次来分析两个比较经典的路由器命令执行漏洞DIR-850 和 DIR-645 的 RCE,漏洞成因都是由于参数拼接不当造成的。 漏洞分析 根据前一篇文章中的任意文件读取漏洞,在读取到 DEVICE.ACCOUNT 配置文件中的敏感信息之后,我们就可以进一步利用,达到命令执行的目的,进而 getshell。 php 源代码 代码如下: 这里的 server 变量可控,导致在拼接时...
路由器漏洞挖掘DIR-815 栈溢出漏洞分析
abc380620175的博客
06-10 802
这次笔者来复现一个比较经典的栈溢出漏洞:D-link dir-815 栈溢出。其实这个路由器的栈溢出漏洞的利用方式和之前 DVRF 靶机平台的栈溢出例子大同小异,只是需要注意下一些小的地方。 前言 这个栈溢出的原因是由于 cookie 的值过长导致的栈溢出。服务端取得客户端请求的 HTTP 头中 Cookie 字段中 uid 的值,格式化到栈上导致溢出漏洞分析 大体流程 首先还是先将...
揭秘家用路由器0day漏洞挖掘技术原始环境搭建
NEARU的专栏
12-06 856
对于未知的复杂事物,应该先去跟谁它,观察它,然后挖掘其规律。《揭秘家用路由器0day漏洞挖掘技术》出版于2015年,使用的系统环境为ubuntu-12.04.4-desktop-i386(ubuntu12 32 bit 桌面版)。里面涉及的dir-645dir-815等的溢出漏洞,在exploit-db上的时间为2013年前段,距离当前(2019)已经6年多了。作者当初使用相关的软件和系统距今发...
2700HG-D 2Wire 6.1.5.48中文设置详图:全面指导
本文档详细介绍了2Wire 2700HG-D型号路由器的vQT04-6.1.5.48版本的中文设置步骤和相关功能配置。这款路由器提供了全面的网络管理界面,包括但不限于: 1. **首页(Home)**:作为主界面,显示了路由器的基本状态...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值