本篇文章給大家分享的是有關如何挖到多個D-LINK高危漏洞,小編覺得挺實用的�����,因此分享給大家學習��,希望大家閱讀完這篇文章后可以有所收獲�,話不多說,跟著小編一起來看看吧�。
員工經過長期磨合與沉淀,具備了協(xié)作精神,得以通過團隊的力量開發(fā)出優(yōu)質的產品�����。成都創(chuàng)新互聯(lián)公司堅持“專注����、創(chuàng)新、易用”的產品理念�,因為“專注所以專業(yè)、創(chuàng)新互聯(lián)網站所以易用所以簡單”�����。公司專注于為企業(yè)提供成都網站建設����、成都網站制作、微信公眾號開發(fā)�����、電商網站開發(fā)���,小程序設計�,軟件按需定制等一站式互聯(lián)網企業(yè)服務。
近期��,360企業(yè)安全集團代碼衛(wèi)士團隊安全研究人員發(fā)現(xiàn)友訊(D-LINK)公司旗下產品系列DIR-619��、DIR-605系列路由器的兩個高危安全漏洞(CVE-2018-20056和CVE-2018-20057)����,并第一時間向友訊(D-LINK)公司匯報,協(xié)助其修復漏洞�����。
圖 致謝360代碼衛(wèi)士
CVE-2018-20056是一個緩沖區(qū)溢出漏洞���,下面將針對該漏洞進行技術分析。
漏洞概述
CVE-2018-20056
該漏洞是一個無需授權的棧緩沖區(qū)溢出漏洞�����,影響D-LINK DIR-605L 300M wireless cloud routing和DIR-619L 300M wireless cloud routing型號��。漏洞出現(xiàn)在 web 服務器中的一個功能接口中��,可被未經驗證的用戶通過post請求進行調用��。請求的URL為:http://[target_ip]/goform/formLanguageChange,其中POST數(shù)據(jù)的currtime參數(shù)未進行長度校驗通過危險的內存拷貝函數(shù)寫入棧上���,導致精心構造的currtime參數(shù)可以觸發(fā)緩沖區(qū)溢出漏洞���,甚至直接獲得設備的 rootshell。
技術分析
通過binwalk解包固件后分析系統(tǒng)文件目錄��,發(fā)現(xiàn)系統(tǒng)中存在boa程序�����。Boa程序是一個輕量級的web服務器程序�����。常見于嵌入式系統(tǒng)中��。通過逆向分析發(fā)現(xiàn)此程序在boa開源代碼的基礎上新增了很多功能接口以實現(xiàn)路由器上的不同功能�����。
其中大部分功能接口都需要經過身份驗證后才可以使用����,但仍舊存在少部分功能接口如登錄注銷等可以使用�����。通過逆向分析boa程序定位至process_header_end函數(shù)�,可以找到未驗證用戶可使用的部分功能�����。其中部分關鍵代碼如下�,其判斷流程可簡單總結為,若is_valid_user函數(shù)判斷請求來自于未驗證用戶后, 會再次通過strstr函數(shù)判斷url請求是否為此用戶可使用的功能接口���。 通過分析及實驗發(fā)現(xiàn)��,除了login功能外,未驗證用戶還可以使用formlanguagechange功能接口來改變web前臺界面顯示的語言����。
接下來通過定位分析分發(fā)函數(shù)websaspinit尋找進入此函數(shù)的方式,關鍵代碼如下:
通過分析實驗發(fā)現(xiàn)���,在post請求訪問http://[target_ip]/goform/formLanguageChange時會進入formLanguageChange函數(shù)流程�,函數(shù)中通過websgetvar函數(shù)獲取post請求中config.i18n_language���,currtime�,nextpage參數(shù)的值。
在websgetvar函數(shù)中����,通過strlen、malloc��、memcpy函數(shù)將參數(shù)值保存至申請出的一塊內存空間中���,但并未對參數(shù)長度進行判斷和限制�����。這種參數(shù)獲取的方式在遇到危險的內存拷貝函數(shù)時極易產生問題����,是后面產生漏洞的根源所在���。
圖 websgetvar函數(shù)
繼續(xù)分析formLanguageChange函數(shù)��,程序將獲取到的currtime參數(shù)值直接通過危險函數(shù)sprintf寫入棧上0x110-0xf8的位置導致了緩沖區(qū)溢出���。
通過分析�����, 函數(shù)返回地址保存在0x110-0x4位置�,即當參數(shù)長度大于0xf4時會直接覆蓋函數(shù)返回地址�����,導致程序控制流被劫持���。
圖 formLanguageChange函數(shù)
結合路由器環(huán)境本身防護機制的不足�,在攻擊者控制程序流程后���,可通過rop技術實現(xiàn)任意代碼執(zhí)行��。
Rop流程為:1.賦值a0參數(shù)���。
2.調用sleep函數(shù)��。
3.賦值某寄存器為棧上地址����。
4.通過寄存器跳轉的方式跳入棧中shellcode的位置完成利用���。
圖 利用結果
以上就是如何挖到多個D-LINK高危漏洞,小編相信有部分知識點可能是我們日常工作會見到或用到的�����。希望你能通過這篇文章學到更多知識�����。更多詳情敬請關注創(chuàng)新互聯(lián)行業(yè)資訊頻道�����。
網站題目:如何挖到多個D-LINK高危漏洞
文章轉載:
http://weahome.cn/article/jpejpd.html
重慶分公司
重慶分公司
