前言
路由器的洞大部分都是栈溢出,如果想要了解一些相关的知识,可以去看我的pwn和二进制安全虚拟机Protostar靶场系列文章,传送门:
https://blog.csdn.net/qq_45894840/category_12002228.html?spm=1001.2014.3001.5482
ghidra安装
Ghidra是一个由美国国家安全局(NSA)开发并公开发布的软件逆向工程(SRE)工具套件。它是一个完全开源的项目,旨在提供一个全面的工具集合,用于执行对编译代码(如二进制文件和执行文件)的逆向工程任务。Ghidra的发布旨在帮助安全研究人员分析恶意代码和漏洞,以及提高软件的安全性
https://github.com/NationalSecurityAgency/ghidra
apt install openjdk-17-jdk #java环境安装
提取路由器固件
下载路由器官网更新的固件后,可以用binwalk工具对固件进行提取
解压文件夹后,可以看到一个.bin文件,这个就是路由器的固件
现在可以用binwalk提取路由器固件里的文件
binwalk -eM 路由器固件.bin
进入目录后,查看文件夹,会发现会有一个类似linux目录的文件夹
wwwroot_ro目录下是路由器网站的源代码
需要分析的固件在bin目录下,bin/httpd这个程序就是路由器主要运行的固件
使用ghidra对固件进行静态分析
ghidra的简单使用的文章
https://blog.csdn.net/qq_45894840/article/details/124556441
将httpd程序导入ghidra
双击程序进行分析
等右下角没有进度条了就说明Ghidra分析完成了
什么是缓冲区溢出
在程序运行时,系统会为程序在内存里生成一个固定空间,如果超过了这个空间,就会造成缓冲区溢出,可以导致程序运行失败、系统宕机、重新启动等后果。更为严重的是,甚至可以取得系统特权,进而进行各种非法操作。
strcpy
strcpy这个函数比较危险,因为它是直接把一个变量里的内容复制到另一个变量里的,它不会检查字符串的长度,很容易发生缓冲区溢出
按住ctrl+shift+e,呼出搜索界面,搜索strcpy函数
注意要勾选上图中的选项和点击搜索全部
这些就是程序调用了strcpy的地方,点击就能看到对应函数伪代码
把这些搜索到的调用strcpy函数的地方一个一个看,很容易发现栈溢出漏洞
这次演示的漏洞点在setSchedWifi函数中,找到setSchedWifi函数,点击它,查看源代码
在setSchedWifi函数中,__src变量会将用户交互的schedStartTime字符串后面的值作为字符串存入
之后程序会用strcpy函数将__src变量里的值传入__ptr+2指针指向的地址处
由于__src并未设置缓冲区,而strcpy函数不会检查字符串的长度,传入过长的字符串会造成缓冲区溢出,使程序崩溃退出
交叉定位,全局搜索调用setSchedWifi函数的地方,找到调用setSchedWifi函数的接口
在formDefineTendDa这个函数下面找到了setSchedWifi函数的路由
ctrl+f快速定位setSchedWifi函数
调用setSchedWifi函数的接口是openSchedWifi
payload:
import requests
url = "http://ip/goform/openSchedWifi"
data = {
"schedStartTime":b'A'*1000
}
requests.post(url=url,data=data)
system
system这个函数会执行指定的命令,如果程序将我们的输入传入了这个函数里,那么有可能会造成rce
ctrl+shift+e搜索system
绕过
||id
|id
如果要输入空格,可以用以下命令代替空格:
${IFS}
路由器环境安装
什么是qemu
QEMU是一种流行的开源机器模拟与虚拟化软件。它的全称是Quick Emulator,意即“快速模拟器”。QEMU允许用户模拟完整的计算机系统,包括处理器和各种外设,这样可以在一个主机系统上运行一个或多个客户操作系统。它支持多种硬件架构,这意味着不仅可以模拟您的当前硬件架构,还可以模拟其他架构,以运行为那些架构专门设计的软件。
安装qemu
sudo apt install qemu-user-static
qemu-user-static -L . ./bin/httpd #运行
找到漏洞并复现成功后,可以在这个网站提交漏洞,获取cve编号
https://vuldb.com/?id.add
扫一扫
2万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
