CVE-2023-27021复现过程(一)

已于 2024-03-09 17:29:28 修改
阅读量185 收藏 3
点赞数 8
文章标签: 安全 系统安全
于 2024-03-06 19:59:57 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u010829693/article/details/136516019
版权

1. 环境配置

cve链接:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2023-27021
为什么是br0这个我还不太清楚,因为在ida反汇编过程中,也只搜索到了br0一次,但是看了https://xz.aliyun.com/t/13506?time__1311=mqmxnQiQi%3DDQ0%3DGODlcIEHqGTkmcP%3DK4D&alichlgref=https%3A%2F%2Fxz.aliyun.com%2Ft%2F11817%3Ftime__1311%3Dmqmx0DBD9AYrD%252FQiiQGkbIhbLYGODfrD%26alichlgref%3Dhttps%253A%252F%252Fcn.bing.com%252F 这个链接中教程是需要添加br0,如果不添加连接网络过程会有问题。
这其中还遇到一个检测函数过程,最后是利用ida的patch bytes讲mov r3,r0改为了mov r3,1跳过检查修改二进制文件越过检查的。

环境配置过程中,chroot命令是切换根目录命令,因为该固件解包得到的内容如下,是一个类linux环境,所以使用chroot切换根目录。

$ ls
bin  dev  etc_ro  init  mnt   qemu-arm-static  sbin  tmp  var      webroot_ro
cfg  etc  home    lib   proc  root             sys   usr  webroot
$ sudo chroot ./qemu-arm-static ./bin/httpd

这里的qemu-arm-static是启动qemu去模拟arm的软件,用file查看httpd能看到这是arm32架构的软件,然后后面接启动的软件
启动过程
这里发现启动后会卡着不动,使用ida反汇编查看下看看问题在哪里,可以通过去搜索WeLoveLinux这句话去找具体的函数代码位置。
搜索到后查找引用找到函数位置
在这里插入图片描述
这个时候我们可以发现就在puts函数下面,有一个check_network命令,现在卡主不动,说明这个函数的返回值始终满足这个while循环,可以去看一下函数的返回值。
在这里插入图片描述
这是一个import函数,所以需要找函数的实现位置。这里我的方法比较笨拙,就是通过查看二进制链接相关的so库,通过搜索每个so库查找函数名是否匹配存在。
这里是我的写的一个代码,可以用这个代码去快速匹配。
https://github.com/JohenanLi/ExtractImportFunctionAndMatchLibrary
匹配结果:
在这里插入图片描述

在这里插入图片描述
使用grep搜索,得到匹配的库

$ grep -R "check_network" libcommon.so
grep: libcommon.so: binary file matches

使用ida或者ghidra打开libcommon.so,查看check_network的实现。

bool check_network(undefined4 param_1)

{
  undefined4 uVar1;
  int iVar2;
  
  uVar1 = getLanIfName();
  iVar2 = getIfIp(uVar1,param_1);
  return -1 < iVar2;
}
undefined4 getLanIfName(void)

{
  undefined4 uVar1;
  
  uVar1 = get_eth_name(0);
  return uVar1;
}

到这里可以看到有一个get_eth_name函数,在libcommon.so也是没有实现的。按着刚才的方法去找找
在这里插入图片描述
这三个so库中都没有,然后在httpd的strings中能够搜索到get_eth_name,那从httpd的so库中去搜索。
在这里插入图片描述
匹配到了 ,继续反汇编打开看实现
在这里插入图片描述
从刚刚上文来看,param_1的值为0,也就是最后需要一个"br0"返回,uVar1=“br0”
再进入getIfIp函数

undefined4 getIfIp(char *param_1,char *param_2)

{
  int iVar1;
  char *__src;
  undefined4 uVar2;
  char acStack_2c [20];
  in_addr local_18;
  int local_c;
  
  local_c = 0;
  local_c = socket(2,2,0);
  if (local_c < 0) {
    uVar2 = 0xffffffff;
  }
  else {
    strncpy(acStack_2c,param_1,0x10);
    iVar1 = ioctl(local_c,0x8915,acStack_2c);
    if (iVar1 < 0) {
      close(local_c);
      uVar2 = 0xffffffff;
    }
    else {
      __src = inet_ntoa(local_18);
      strcpy(param_2,__src);
      close(local_c);
      uVar2 = 0;
    }
  }
  return uVar2;
}

getIfIp函数分析,这里让chatgpt分析这个函数。
总结下分析:
1.调用ioctl函数和参数0x8915(SIOCGIFADDR)获取网络接口的ip地址,返回值为iVar1
2.如果调用失败iVar1<0就使得uVar2=0xfffffff实际上就是-1
3.如果调用成功就会返回ip地址,并返回0。
再看到check_network函数的返回值后半部分,如果iVar2=-1就会返回0,如果iVar2=1时就会返回1,返回1才能不sleep
所以需要建立一个网卡,使用以下命令建立一个br0的网桥


sudo brctl addbr br0
sudo brctl addif br0 ens32
sudo ifconfig br0 up
sudo dhclient br0

brctl - ethernet bridge administration ,就是管理网桥的工具,addbr添加br0网桥,addif br0 ens32是将br0和ens32串起来,现在br0是网桥,ens32是本机的网卡,通过ifconfig就可以查看自己的网卡

$ ifconfig 
eth0: flags=4163<UP,BROADCAST,RUNNING,MULTICAST>  mtu 1500
        inet 172.31.20.128  netmask 255.255.240.0  broadcast 172.31.31.255
        inet6 fe80::215:5dff:febc:bedb  prefixlen 64  scopeid 0x20<link>
        ether 00:15:5d:bc:be:db  txqueuelen 1000  (Ethernet)
        RX packets 165739  bytes 220586833 (220.5 MB)
        RX errors 0  dropped 0  overruns 0  frame 0
        TX packets 115683  bytes 8934103 (8.9 MB)
        TX errors 0  dropped 0 overruns 0  carrier 0  collisions 0
卧龙丹心
关注
  • 8
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CVE-2019-1003000 Jenkins-PreAuth-RCE 复现过程1
08-04
前言前几天听小伙伴说 Jenkins 出了个 RCE 我以为是说之前那个需要登录后才能RCE 的漏洞 。但结果小伙伴说这次这个不用登录就能 RCE 是 Oran
CVE-2023-21839漏洞复现(基于vulhub)
weixin_63960760的博客
09-11 654
由于Weblogic IIOP/T3协议存在缺陷,当IIOP/T3协议开启时,允许未经身份验证的攻击者通过IIOP/T3协议网络访问攻击存在安全风险的WebLogic Server,漏洞利用成功WebLogic Server可能被攻击者接管执行任意命令导致服务器沦陷或者造成严重的敏感数据泄露。
CVE-2023-38831漏洞复现过程(Winrar漏洞)
weixin_47948655的博客
10-08 291
CVE-2023-38831漏洞复现过程(Winrar漏洞)
CVE-2023-27021复现过程(二)
miniPython的博客
03-09 731
用我这个代码可以获得匹配的开源库,代码可以自行去查看分析,运行结果如下,大部分是cve相关,其中Linux-C-Examples中的goahead软件是要分析的。这里能看到是loop去判断wp->path和sp->urlPrefix是否匹配,匹配就执行该handler,sp是websUrlHandlerType,wp是传入的,一路下来wp是从main函数一路传下来的,那么wp很重要,由于ida没有源代码,所以是没有这个结构体的,补充结构体信息。导入的时候,先导入ringq_t成功。
CVE-2023-33246 Apache RocketMQ 命令注入漏洞复现及分析
牛叫兽的测试学习和分享
06-02 8217
CVE-2023-33246 漏洞复现及分析
CVE漏洞复现-CVE-2023-32233 NetFilter权限提升
把自己活成一道光,因为你不知道,谁会借着你的光,走出了黑暗。请保持心中的善良,因为你不知道,谁会借着你的善良,走出了绝望。请保持你心中的信仰,因为你不知道,谁会借着你的信仰,走出了迷茫。请相信自己的力量,因为你不知道,谁会因为相信你,开始相信了自己....
06-06 2913
Netfilter是Linux 内核中的网络数据包处理框架(iptables)通过各种规则和过滤器,基于数据包的来源、目标地址、协议类型、端口号等信息,控制网络流量和数据包的转发和处理具体,详情请见。
CVE-2023-27021复现过程(三)
miniPython的博客
03-13 245
上一次分析中我们看到post请求中会有参数,我们可以通过浏览器的f12控制台窗口查看找到对应的功能。save按钮点击时,是SetFirewllCfg,再看它的请求参数,发现刚好是httpd中逆向得到的内容好了,那我们可以使用控制台fetch直接发送xhr请求测试,这里修改firewallEn参数的内容很大给500个A,回车发送后结果如上,发生段错误,同时连接失败重启测试看看。
GitLab任意用户密码重置漏洞(CVE-2023-7028)复现
m0_64366018的博客
01-13 1523
2024年1月11日,Gitlab官方披露CVE-2023-7028 GitLab 任意用户密码重置漏洞,官方评级严重。攻击者可利用忘记密码功能,构造恶意请求获取密码重置链接从而重置密码。官方已发布安全更新,建议升级至最新版本,若无法升级,建议利用安全组功能设置Gitlab仅对可信地址开放。
WinRAR 0day漏洞CVE-2023-38831复现最详解
weixin_45971758的博客
08-28 1344
WinRAR 的CVE-2023-38831 漏洞被在野利用来攻击交易类的个人用户。影响版本:WinRar 版本 < 6.23。
linux系统安全及应用
最新发布
Alone8046的博客
05-30 244
一、新的服务器到手该如何部署:1.配置IP地址,网关,dns解析,内外网。3.磁盘分区:lvm及raid。二、应用:1.不需要或者不想登录的用户设置为nologin:usermod -s nologin +用户。解锁文件:chattr -i /etc/passwd。提供了一种标准的身份认证的接口(对账号权限进行控制),可以允许管理员定制化配置各种认证方式和方法。(配置的时候一定要注意:有限放开原则,用什么给什么,不需要的不加)会话管理模块:管理用户的会话,记录会话信息,注销用户的会话,远程终端连接。
Linux防火墙(以iptables为例)
Tassel_YUE的博客
05-28 944
防火墙是一种网络安全设备,用于监视和控制网络数据流量。其主要功能是在不同网络之间建立一条阻隔,对进出的数据流量进行过滤和筛选,从而保护内部网络免受未经授权的访问和恶意攻击。防火墙通过规则集合控制网络流量的通过与阻止,这些规则可以根据网络策略和需求进行配置。不正确的配置可能导致无法访问特定服务或应用程序。
导线防碰撞警示灯:高压线路安全保障
dxzhkj888888的博客
05-30 248
同时,警示灯的反光材料也起到了至关重要的作用,无论是白天还是夜晚,都能将光线反射到最远的距离,让警示效果倍增。导线防碰撞警示灯也叫高压线太阳能警示灯、户外高压线路夜间红色闪光灯,以其独特的设计和卓越的性能,成为了电力安全领域的保障。在广袤的大地上,高压线路如同血脉般纵横交错,然而,在这看似平静的电力输送背后,却隐藏着不容忽视的安全隐患。而到了夜晚,警示灯便开始了它的使命。导线防碰撞警示灯的出现,使得那些驾驶超高车辆、操作超高施工机械的司机们,也在警示灯的提醒下,更加谨慎地行驶和操作,避免了可能发生的危险。
适合能源企业的文档安全外发系统应该是什么样的?
文件数据安全交换
05-29 299
飞驰云联是中国领先的数据安全传输解决方案提供商,长期专注于安全可控、性能卓越的数据传输技术和解决方案,公司产品和方案覆盖了跨网跨区域的数据安全交换、供应链数据安全传输、数据传输过程的防泄漏、FTP的增强和国产化替代、文件传输自动化和传输集成等各种数据传输场景。飞驰云联主要服务于集成电路半导体、先进制造、高科技、金融、政府机构等行业的中大型客户,现有客户超过500家,其中500强和上市企业150余家,覆盖终端用户超过40万,每年通过飞驰云联平台进行数据传输和保护的文件量达到4.4亿个。
网络学习(九)|深入解析Cookie与Session:高级应用及安全实践
weixin_44435110的博客
05-28 661
通过本以上,后端开发人员可以深入了解Cookie和Session的高级应用、常见问题及其解决方案,有助于设计和实现高效、安全的会话管理系统。
cve-2022-40684复现
10-12
CVE-2022-40684是一个与WordPress插件Contact Form 7有关的安全漏洞。该漏洞可能允许攻击者通过恶意构造的特定请求,绕过验证机制并执行远程代码。 要复现CVE-2022-40684,您可以按照以下步骤进行操作: 1. 确保您在本地或测试环境中安装了WordPress,并且已经安装了Contact Form 7插件。 2. 登录WordPress管理后台,并激活Contact Form 7插件。 3. 创建一个新的Contact Form 7表单,并添加一些表单字段,例如名称和电子邮件字段。 4. 打开某个文件编辑器,例如Notepad++或者Sublime Text,并创建一个新的PHP文件。 5. 在PHP文件中编写以下恶意代码: ``` <?php // 攻击者的恶意代码,用于复现漏洞 echo "漏洞复现成功!"; ?> ``` 6. 将PHP文件保存为任意名称,例如exploit.php。 7. 回到WordPress的插件管理页面,找到并激活File Manager Advanced插件。 8. 在File Manager Advanced插件的设置中,启用文件编辑功能。 9. 打开File Manager Advanced插件,并找到主题目录下的functions.php文件。 10. 将以下恶意代码添加到functions.php文件的任意位置: ``` include_once('exploit.php'); ``` 11. 保存functions.php文件,并刷新WordPress前台页面。 12. 访问包含Contact Form 7表单的页面,并填写表单字段。 13. 提交表单后,您将看到"漏洞复现成功!"的输出,表示成功复现CVE-2022-40684漏洞。 请注意,上述步骤仅用于演示CVE-2022-40684漏洞的复现过程。在实际环境中,请遵循安全最佳实践,不要滥用或利用此漏洞来进行非法活动。及时更新和修复软件以确保系统的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值