溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點(diǎn)擊 登錄注冊 即表示同意《億速云用戶服務(wù)條款》

如何挖到多個D-LINK高危漏洞

發(fā)布時間:2021-12-23 09:19:40 來源:億速云 閱讀:125 作者:柒染 欄目:安全技術(shù)

本篇文章給大家分享的是有關(guān)如何挖到多個D-LINK高危漏洞,小編覺得挺實用的,因此分享給大家學(xué)習(xí),希望大家閱讀完這篇文章后可以有所收獲,話不多說,跟著小編一起來看看吧。

近期,360企業(yè)安全集團(tuán)代碼衛(wèi)士團(tuán)隊安全研究人員發(fā)現(xiàn)友訊(D-LINK)公司旗下產(chǎn)品系列DIR-619、DIR-605系列路由器的兩個高危安全漏洞(CVE-2018-20056和CVE-2018-20057),并第一時間向友訊(D-LINK)公司匯報,協(xié)助其修復(fù)漏洞。     

如何挖到多個D-LINK高危漏洞如何挖到多個D-LINK高危漏洞

圖 致謝360代碼衛(wèi)士

CVE-2018-20056是一個緩沖區(qū)溢出漏洞,下面將針對該漏洞進(jìn)行技術(shù)分析。

如何挖到多個D-LINK高危漏洞

漏洞概述

CVE-2018-20056

該漏洞是一個無需授權(quán)的棧緩沖區(qū)溢出漏洞,影響D-LINK DIR-605L 300M wireless cloud routing和DIR-619L 300M wireless cloud routing型號。漏洞出現(xiàn)在 web 服務(wù)器中的一個功能接口中,可被未經(jīng)驗證的用戶通過post請求進(jìn)行調(diào)用。請求的URL為:http://[target_ip]/goform/formLanguageChange,其中POST數(shù)據(jù)的currtime參數(shù)未進(jìn)行長度校驗通過危險的內(nèi)存拷貝函數(shù)寫入棧上,導(dǎo)致精心構(gòu)造的currtime參數(shù)可以觸發(fā)緩沖區(qū)溢出漏洞,甚至直接獲得設(shè)備的 rootshell。

技術(shù)分析

通過binwalk解包固件后分析系統(tǒng)文件目錄,發(fā)現(xiàn)系統(tǒng)中存在boa程序。Boa程序是一個輕量級的web服務(wù)器程序。常見于嵌入式系統(tǒng)中。通過逆向分析發(fā)現(xiàn)此程序在boa開源代碼的基礎(chǔ)上新增了很多功能接口以實現(xiàn)路由器上的不同功能。

其中大部分功能接口都需要經(jīng)過身份驗證后才可以使用,但仍舊存在少部分功能接口如登錄注銷等可以使用。通過逆向分析boa程序定位至process_header_end函數(shù),可以找到未驗證用戶可使用的部分功能。其中部分關(guān)鍵代碼如下,其判斷流程可簡單總結(jié)為,若is_valid_user函數(shù)判斷請求來自于未驗證用戶后,  會再次通過strstr函數(shù)判斷url請求是否為此用戶可使用的功能接口。  通過分析及實驗發(fā)現(xiàn),除了login功能外,未驗證用戶還可以使用formlanguagechange功能接口來改變web前臺界面顯示的語言。

如何挖到多個D-LINK高危漏洞如何挖到多個D-LINK高危漏洞

接下來通過定位分析分發(fā)函數(shù)websaspinit尋找進(jìn)入此函數(shù)的方式,關(guān)鍵代碼如下:

如何挖到多個D-LINK高危漏洞

通過分析實驗發(fā)現(xiàn),在post請求訪問http://[target_ip]/goform/formLanguageChange時會進(jìn)入formLanguageChange函數(shù)流程,函數(shù)中通過websgetvar函數(shù)獲取post請求中config.i18n_language,currtime,nextpage參數(shù)的值。

websgetvar函數(shù)中,通過strlen、malloc、memcpy函數(shù)將參數(shù)值保存至申請出的一塊內(nèi)存空間中,但并未對參數(shù)長度進(jìn)行判斷和限制。這種參數(shù)獲取的方式在遇到危險的內(nèi)存拷貝函數(shù)時極易產(chǎn)生問題,是后面產(chǎn)生漏洞的根源所在。

如何挖到多個D-LINK高危漏洞

圖 websgetvar函數(shù)

繼續(xù)分析formLanguageChange函數(shù),程序?qū)@取到的currtime參數(shù)值直接通過危險函數(shù)sprintf寫入棧上0x110-0xf8的位置導(dǎo)致了緩沖區(qū)溢出。

通過分析,  函數(shù)返回地址保存在0x110-0x4位置,即當(dāng)參數(shù)長度大于0xf4時會直接覆蓋函數(shù)返回地址,導(dǎo)致程序控制流被劫持。

如何挖到多個D-LINK高危漏洞

圖 formLanguageChange函數(shù)

結(jié)合路由器環(huán)境本身防護(hù)機(jī)制的不足,在攻擊者控制程序流程后,可通過rop技術(shù)實現(xiàn)任意代碼執(zhí)行。

Rop流程為:1.賦值a0參數(shù)。

2.調(diào)用sleep函數(shù)。

3.賦值某寄存器為棧上地址。

4.通過寄存器跳轉(zhuǎn)的方式跳入棧中shellcode的位置完成利用。

如何挖到多個D-LINK高危漏洞

 圖 利用結(jié)果

以上就是如何挖到多個D-LINK高危漏洞,小編相信有部分知識點(diǎn)可能是我們?nèi)粘9ぷ鲿姷交蛴玫降?。希望你能通過這篇文章學(xué)到更多知識。更多詳情敬請關(guān)注億速云行業(yè)資訊頻道。

向AI問一下細(xì)節(jié)

免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進(jìn)行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。

AI