CVE-2020-11896

最新推荐文章于 2024-05-22 15:57:48 发布
最新推荐文章于 2024-05-22 15:57:48 发布
阅读量764 收藏 1
点赞数 1
分类专栏: CVE
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wk19951125/article/details/107999273
版权

CVE-2020-11896

基础知识

Treck TCP/IP

  • Treck公司一套专用于嵌入式系统的TCP/IP协议
  • tsPacket结构
struct tsPacket {
    ttUserPacket pktUserStruct; //数据包分片
    ttSharedDataPtr pktSharedDataPtr; // 指向存储处理数据包所需信息的Buffer的指针 
    struct tsPacket * pktChainNextPtr; // 指向下一个数据包
    struct tsDeviceEntry * pktDeviceEntryPtr; // 指向网络设备结构
    union anon_union_for_pktPtrUnion pktPtrUnion; 
    tt32Bit pktTcpXmitTime; 
    tt16Bit pktUserFlags; 
    tt16Bit pktFlags; 
    tt16Bit pktFlags2;
    tt16Bit pktMhomeIndex;
    tt8Bit pktTunnelCount; // 此包被解密的次数
    tt8Bit pktIpHdrLen; // IP头所占长度
    tt8Bit pktNetworkLayer; // 指定数据包网络层类型.
    tt8Bit pktFiller[1];
};
  • pktUserStruct
struct tsUserPacket {
    void * pktuLinkNextPtr; // 指向下一个分片
    ttUser8BitPtr pktuLinkDataPtr; //指向数据 
    ttPktLen pktuLinkDataLength; // 当前分片长度
    ttPktLen pktuChainDataLength; // 整个packet的长度,如果没有分片,等于pktuLinkDataLength
    int pktuLinkExtraCount;
};

漏洞原理

  • 首先判断真实收到的数据(pktuChainDataLength)是否比头部中写的长,如果长则进行裁剪
    • 将当前分片长度(pktuLinkDataLength)和整个数据包长度(pktuChainDataLength)设置为头部中的长度
  • 但是此时如果pktChainNextPtr仍然指向下一个分片,那么会产生不一致

存在问题:

  • tfIpIncomingPacket函数处理中,首先进行的是trimming操作,然后调用tfIpReassemblePacke根据pktuChainDataLength建立分片链表,而在tfIpReassemblePacket函数中并不会将分片数据包复制到缓冲区中
  • 最终将分片链表返回给下一层进行处理,而下一层并不会再次调用tfIpIncomingPacket,会导致不一致现象无法利用
  • 使用IP隧道,tfIpIncomingPacket函数在处理内层IP数据包时,将之作为没有分片的数据包进行处理,此时将不会调用tfIpReassemblePacket函数进行处理
    在这里插入图片描述
  • 在处理内层数据包时就会产生不一致

将不一致转化为内存破坏

  • 在UDP数据处理中,可以确定的是,至少有一条代码路径是将IP分片复制到自定义的buffer里面
    • 这个过程需要malloc堆空间,大小为 pktuChainDataLength 字段的大小
    • 然后通过tfCopyPacket将ip分片复制到heap中(拷贝未考虑长度
i = 0;
do {
	memcpy(dst->pktuLinkDataPtr+i, src->pktuLinkDataPtr, src->pktuLinkDataLength);
	i = i+src->pktuLinkDataLength;
	src=(tsPacket *)src->pktuLinkNextPtr;
} while(src!=NULL)
  • 所以堆的大小是小于实际报文长度的
参考文献

https://www.freebuf.com/vuls/243280.html

你的名字5686
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2020-1472漏洞实战 深度剖析
Ms08067安全实验室
11-18 9219
本文作者:Faith(Ms08067实验室 内网安全攻防知识星球)0x00漏洞说明CVE-2020-1472是继MS17010之后一个比较好用的内网提权漏洞,影响Windows Serv...
CVE-2020-11945 Squid未授权整数溢出分析
smellycat000的专栏
04-27 1852
聚焦源代码安全,网罗国内外最新资讯!Squid cache(简称为Squid)是一个流行的自由软件(GNU通用公共许可证)的代理服务器和Web缓存服务器。Squid 的用途很多,可以作...
Ripple 20:Treck TCP/IP协议漏洞技术分析
蚁景网安学院
07-14 744
Ripple20是一系列影响数亿台设备的0day(19个),是JSOF研究实验室在Treck TCP/IP协议栈中发现的【1】,该协议栈广泛应用于嵌入式和物联网设备。而由于这些漏洞很底层...
【漏洞通告】Treck TCP/IP协议库“ Ripple20”漏洞通告
爱国小白帽
07-01 7394
【漏洞通告】Treck TCP/IP协议库“ Ripple20”漏洞通告 威胁对抗能力部 [绿盟科技安全情报](javascript:void(0)???? 昨天 通告编号:NS-2020-0039 2020-06-30 TA****G: Treck、TCP/IP协议库、Ripple20 漏洞危害: 攻击者利用此类漏洞,可造成拒绝服务、远程代码执行等。 版本: 1.0 1 漏洞概述 近日,以色列网络安全公司JSOF的研究人员在Treck公司开发的底层 TCP/IP 软件库中发现了19
Vulhub——Airflow
qq_55202378的博客
05-22 477
Apache Airflow是一款开源的,分布式任务调度框架。,如果攻击者控制了Celery的消息中间件(如Redis/RabbitMQ),将可以通过控制消息,在Worker进程中执行任意命令。成功绕过登录检测,但是此时cookie值发生了改变,就是不是我们生成的那个cookie了。中存在一处命令注入漏洞,未授权的访问者可以通过这个漏洞在Worker中执行任意命令。,即使开启了认证,攻击者也可以通过一个默认密钥来绕过登录,伪造任意用户。来执行任意命令,参数为命令执行中所需要的数组。这个小脚本来执行命令。
ip分片代码_原创 | Ripple20:Treck TCP/IP协议栈漏洞分析与验证
weixin_39965514的博客
11-22 255
作者:启明星辰ADLab一、前言国外安全研究人员在由Treck开发的TCP/IP协议栈中发现了多个漏洞,这一系列漏洞统称为Ripple20。这些漏洞广泛存在于嵌入式和物联网设备中,影响了多个行业领域(包括医疗、运输、能源、电信、工业控制、零售和商业等),涉及了众多供应商(包括HP、Schneider Electric、Intel、Rockwell Automation、Caterpill...
ip分片代码_Ripple20:Treck TCP/IP协议栈漏洞分析与验证
weixin_39846612的博客
11-21 573
作者:启明星辰ADLab一、前言国外安全研究人员在由Treck开发的TCP/IP协议栈中发现了多个漏洞,这一系列漏洞统称为Ripple20。这些漏洞广泛存在于嵌入式和物联网设备中,影响了多个行业领域(包括医疗、运输、能源、电信、工业控制、零售和商业等),涉及了众多供应商(包括HP、Schneider Electric、Intel、Rockwell Automation、Caterpill...
简单聊聊CVE-2020-13379
一个安全研究员
08-04 8087
多次跳转导致的ssrf
CVE-2020-1938.zip
04-15
CVE-2020-1938:Apache Tomcat AJP协议远程代码执行漏洞】 CVE-2020-1938是Apache Tomcat服务器中的一个严重安全漏洞,该漏洞允许攻击者通过AJP(Apache JServ Protocol)接口来实现远程代码执行,从而对目标系统...
CVE-2020-36179:CVE-2020-36179~82 Jackson-databind SSRF&RCE
05-29
描述CVE-2020-36179:2.9.10.8之前的FasterXML jackson-databind 2.x处理与oadd.org.apache.commons.dbcp.cpdsadapter.DriverAdapterCPDS相关的序列化小工具和键入之间的交互。 CVE-2020-36180:FasterXML jackson-...
cve-2020-14750.zip9(补丁升级)
05-26
2020年11月2日,Oracle官方发布了此安全警报针对Oracle WebLogic Server中的远程代码执行漏洞CVE-2020-14750,此漏洞可以在没有身份验证的情况下进行远程攻击,也就是说,可以在不需要用户名和密码的情况下通过网络...
cve-2020-2551_poc.py
03-12
cve-2020-2551_poc.py
CVE-2020-35728:CVE-2020-35728 和 Jackson-databind RCE
05-31
描述 2.9.10.8 之前的 FasterXML jackson-databind 2.x 错误处理了与 ... web/javax.servlet.jsp.jstl)。 如何RCE pom.xml <?xml version="1.0" encoding="UTF-8"?>...
新致命漏洞!10亿个网络连接设备会面临被黑客入侵的风险
w3cschools的博客
06-17 1471
新的Ripple20缺陷使数十亿个互联网连接设备面临被黑客入侵的风险,被称为“ Ripple20 ”的这19个漏洞集合位于Treck开发的低级TCP / IP软件库中,如果进行了武器化,可以使远程攻击者完全控制目标设备,而无需任何用户交互。 根据发现这些缺陷的网络安全组织东方联盟的介绍,受影响的设备正在各种行业中使用,从家用/消费设备到医疗,医疗保健,数据中心,企业,电信,石油,天然气,核能,交通运输以及许多其他关键基础架构。 全球知名白帽黑客、东方联盟创始人郭盛华透露:“数据可能会从打印机上窃取,
漏洞修复--FreeType 安全漏洞 (CVE-2020-15999)
Q先生
11-15 1114
漏洞修复--FreeType 安全漏洞 (CVE-2020-15999)
cve-2020-1938复现
热门推荐
梦之序章的博客
02-21 1万+
一、 Tomcat 服务器是一个免费的开放源代码的Web 应用服务器,其安装后会默认开启ajp连接器,方便与其他web服务器通过ajp协议进行交互。属于轻量级应用服务器,在中小型系统和并发访问用户不是很多的场合下被普遍使用,是开发和调试JSP 程序的首选。对于一个初学者来说,可以这样认为,当在一台机器上配置好Apache 服务器,可利用它响应HTML(标准通用标记语言下的一个应用)页面的访问请求。...
CVE-2020-1938漏洞复现
小小猪的博客
12-09 3842
CVE-2020-1938漏洞复现 详细描述: Apache Tomcat服务器存在文件包含漏洞,攻击者可利用该漏洞读取或包含Tomcat上所有webapp目录下的任意文件,如: webapp配置文件或源代码等。若目标服务器同时存在文件上传功能,攻击者可进一步实现远程代码执行。 漏洞介绍: 2020年1月6日,国家信息安全漏洞共享平台(CNVD) 发布了Apache Tomcat文件包含漏洞(CNVD-2020-10487,对应CVE-2020-1938)。 该漏洞是由于Tomcat AJP协议
[CVE-2020-13933]Shiro权限绕过导致的Nexus漏洞
公众号shadow sock7
10-22 1420
参考: https://support.sonatype.com/hc/en-us/articles/360053556313-CVE-2020-13933-Nexus-Repository-Manger-2-3-Shiro-Authentication-Bypass https://issues.sonatype.org/browse/NEXUS-25086 https://help.aliyun.com/noticelist/articleid/1060730690.html https://gith
专家发布了针对OpenSSL中CVE-2020-1967 DoS漏洞的PoC漏洞
qq_41679358的博客
05-05 514
OpenSSL中最近修复的CVE-2020-1967拒绝服务(DoS)问题的概念验证(PoC)漏洞已公开。最近,OpenSSL项目发布了针对OpenSSL的安全更新,该更新修补了一个高严重性漏洞(跟踪为CVE-2020-1967),攻击者可以利用该漏洞发起拒绝服务(DoS)攻击。CVE-2020-1967漏洞在SSL_check_chain函数中被描述为“分段错误”,这是2020年Ope...
CVE-2020-0796补丁
最新发布
07-03
CVE-2020-0796是一个安全漏洞的标识符,通常由Common Vulnerabilities and Exposures(公共漏洞及暴露)项目维护。这个特定的漏洞可能涉及到不同的软件产品或服务,但一般来说,它是对某个软件系统的一个严重弱点,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值