您好,登錄后才能下訂單哦!
本篇文章給大家分享的是有關(guān)如何挖到多個D-LINK高危漏洞,小編覺得挺實用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。
近期,360企業(yè)安全集團(tuán)代碼衛(wèi)士團(tuán)隊安全研究人員發(fā)現(xiàn)友訊(D-LINK)公司旗下產(chǎn)品系列DIR-619、DIR-605系列路由器的兩個高危安全漏洞(CVE-2018-20056和CVE-2018-20057),并第一時間向友訊(D-LINK)公司匯報,協(xié)助其修復(fù)漏洞。
圖 致謝360代碼衛(wèi)士
CVE-2018-20056是一個緩沖區(qū)溢出漏洞,下面將針對該漏洞進(jìn)行技術(shù)分析。
該漏洞是一個無需授權(quán)的棧緩沖區(qū)溢出漏洞,影響D-LINK DIR-605L 300M wireless cloud routing和DIR-619L 300M wireless cloud routing型號。漏洞出現(xiàn)在 web 服務(wù)器中的一個功能接口中,可被未經(jīng)驗證的用戶通過post
請求進(jìn)行調(diào)用。請求的URL為:http://[target_ip]/goform/formLanguageChange,其中POST
數(shù)據(jù)的currtime
參數(shù)未進(jìn)行長度校驗通過危險的內(nèi)存拷貝函數(shù)寫入棧上,導(dǎo)致精心構(gòu)造的currtime
參數(shù)可以觸發(fā)緩沖區(qū)溢出漏洞,甚至直接獲得設(shè)備的 rootshell。
通過binwalk解包固件后分析系統(tǒng)文件目錄,發(fā)現(xiàn)系統(tǒng)中存在boa程序。Boa程序是一個輕量級的web服務(wù)器程序。常見于嵌入式系統(tǒng)中。通過逆向分析發(fā)現(xiàn)此程序在boa開源代碼的基礎(chǔ)上新增了很多功能接口以實現(xiàn)路由器上的不同功能。
其中大部分功能接口都需要經(jīng)過身份驗證后才可以使用,但仍舊存在少部分功能接口如登錄注銷等可以使用。通過逆向分析boa程序定位至process_header_end
函數(shù),可以找到未驗證用戶可使用的部分功能。其中部分關(guān)鍵代碼如下,其判斷流程可簡單總結(jié)為,若is_valid_user
函數(shù)判斷請求來自于未驗證用戶后, 會再次通過strstr
函數(shù)判斷url請求是否為此用戶可使用的功能接口。 通過分析及實驗發(fā)現(xiàn),除了login功能外,未驗證用戶還可以使用formlanguagechange功能接口來改變web前臺界面顯示的語言。
接下來通過定位分析分發(fā)函數(shù)websaspinit
尋找進(jìn)入此函數(shù)的方式,關(guān)鍵代碼如下:
通過分析實驗發(fā)現(xiàn),在post
請求訪問http://[target_ip]/goform/formLanguageChange時會進(jìn)入formLanguageChange
函數(shù)流程,函數(shù)中通過websgetvar
函數(shù)獲取post
請求中config.i18n_language
,currtime
,nextpage
參數(shù)的值。
在websgetvar
函數(shù)中,通過strlen
、malloc
、memcpy
函數(shù)將參數(shù)值保存至申請出的一塊內(nèi)存空間中,但并未對參數(shù)長度進(jìn)行判斷和限制。這種參數(shù)獲取的方式在遇到危險的內(nèi)存拷貝函數(shù)時極易產(chǎn)生問題,是后面產(chǎn)生漏洞的根源所在。
圖 websgetvar函數(shù)
繼續(xù)分析formLanguageChange
函數(shù),程序?qū)@取到的currtime
參數(shù)值直接通過危險函數(shù)sprintf
寫入棧上0x110-0xf8
的位置導(dǎo)致了緩沖區(qū)溢出。
通過分析, 函數(shù)返回地址保存在0x110-0x4
位置,即當(dāng)參數(shù)長度大于0xf4
時會直接覆蓋函數(shù)返回地址,導(dǎo)致程序控制流被劫持。
圖 formLanguageChange函數(shù)
結(jié)合路由器環(huán)境本身防護(hù)機(jī)制的不足,在攻擊者控制程序流程后,可通過rop技術(shù)實現(xiàn)任意代碼執(zhí)行。
Rop流程為:1.賦值a0
參數(shù)。
2.調(diào)用sleep
函數(shù)。
3.賦值某寄存器為棧上地址。
4.通過寄存器跳轉(zhuǎn)的方式跳入棧中shellcode的位置完成利用。
圖 利用結(jié)果
以上就是如何挖到多個D-LINK高危漏洞,小編相信有部分知識點(diǎn)可能是我們?nèi)粘9ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。