前言

本文主要分析vdoo发现的一些RTL8195A WIFI模块的漏洞。

环境搭建

下载最新的SDK

https://github.com/ambiot/amb1_arduino/blob/master/Arduino_package/release/ameba_1-2.0.10-build20210203.tar.gz

解压后在下面目录里面有一堆.a文件,漏洞就存在与这些.a里面

ameba_1-2.0.10-build20210203\hardware\variants\rtl8195a

为了分析的方便,首先将.a链接成.so

ar -x lib_ameba.a

ar -x lib_codec.a

ar -x lib_hs_uart_redirect.a

ar -x lib_mdns.a

ar -x lib_p2p.a

ar -x lib_rtlstd.a

ar -x lib_sdcard.a

ar -x lib_usbh.a

ar -x lib_wlan.a

ar -x lib_xmodem.a

ar -x lib_arduino_alexa.a

ar -x lib_google_cloud_iot.a

ar -x lib_i2c_redirect.a

ar -x lib_mmf.a

ar -x lib_platform.a

ar -x lib_rtsp.a

ar -x lib_usbd.a

ar -x lib_websocket.a

ar -x lib_wps.a

rm console_i2c.o

rm alexa_mem.o

arm-none-eabi-gcc -w  -shared *.o -o  liball.so

然后就可以用IDA加载so进行分析了

漏洞分析

本节基于最新的SDK和ameba-2.0.4-build20180817有漏洞版本SDK进行分析,同时对补丁和漏洞进行分析

VD-1406 (CVE-2020-9395) – Stack-based buffer overflow vulnerability

ClientEAPOLKeyRecvd函数会调用CheckMIC来处理数据

CheckMIC(v5->EAPOLMsgRecvd, v5->PTK, &v5->EAPOLMsgRecvd)

EAPOLMsgRecvd为外部数据

bool __fastcall CheckMIC(OCTET_STRING EAPOLMsgRecvd, unsigned __int8 *key, int keylen)

{

  v3 = EAPOLMsgRecvd.Octet;

  v4 = EAPOLMsgRecvd.Octet[20];

  v6 = &tmpbuf[95];

  rtl_memcpy_0(tmpbuf, EAPOLMsgRecvd.Octet, EAPOLMsgRecvd.Length);

Octet为数据地址,Length为数据长度,这里没有检查Length,从而导致栈溢出。

最新版本的CheckMIC函数如下

bool __fastcall CheckMIC_constprop_14(int data, unsigned int length, int a3)

{

  v6 = *(data + 20);

  if ( length > 0x200 )  // 新增length的检查

    return 0;

  v8 = &stack[95];

  freertos_memcpy_0(stack, data, length);  //

  freertos_memset_0(&stack[95], 0, 16);

在最新版的SDK里面会检查length不能超过0x200

调用点

CheckMIC_constprop_14(sta->EAPOLMsgRecvd.Octet, sta->EAPOLMsgRecvd.Length, sta->PTK) )

EAPOLMsgRecvd为外部数据,Octet为数据地址,Length为数据长度

VD-1407 – Read out of bounds vulnerability

问题还是位于CheckMIC函数

bool __fastcall CheckMIC(OCTET_STRING EAPOLMsgRecvd, unsigned __int8 *key, int keylen)

{

  v3 = EAPOLMsgRecvd.Octet;

  v4 = EAPOLMsgRecvd.Octet[20];

  v6 = &tmpbuf[95];

  rtl_memcpy_0(tmpbuf, EAPOLMsgRecvd.Octet, EAPOLMsgRecvd.Length);

  flag = v4 & 7;

  v8 = (ntohs_0(*&tmpbuf[16]) + 4);  // 从外部数据取出长度 v8

  if ( flag == 1 )

  {

    rt_md5_hmac_0(&tmpbuf[14], v8, key, 16, &tmpbuf[95]); // 作为 rt_md5_hmac参数

问题逻辑是,首先从数据包里面取出了2个字节作为长度存放到v8,然后没有检查v8是否会大于Length,就传给rt_md5_hmac去算一个hash,在rt_md5_hmac里面会越界读。

补丁版本

  v9 = (ntohs_0(*&stack[16]) + 4);

  if ( (length - 13) <= v9 )  // 检查长度

    return 0;

  if ( (v6 & 7) != 1 )

  {

    if ( (v6 & 7) == 2 )

    {

      v8 = digest;

      rt_hmac_sha1_0(&stack[14], v9, a3, 16, digest);

      return rtl_memcmp_0(v8, data + 95, 16) == 0;

    }

增加了长度检查

VD-1408 – Stack-based buffer overflow vulnerability

漏洞应该是位于ClientEAPOLKeyRecvd,函数会调用DecWPA2KeyData

          if ( !DecWPA2KeyData_0(

                  v5,

                  EapolKeyMsg + 95,

                  (EapolKeyMsg[94] + (EapolKeyMsg[93] << 8)),

                  &v5->PTK[16],

                  16,

                  decrypted_data) )

EapolKeyMsg为外部数据,这里3个参数表示长度,直接从外部数据中取出,然后在DecWPA2KeyData里面会解密数据

int __fastcall DecWPA2KeyData(WPA_STA_INFO *pStaInfo, unsigned __int8 *key, int keylen, unsigned __int8 *kek, int keklen, unsigned __int8 *kout)

{

  *default_key_iv = 0xA6A6A6A6;

  *&default_key_iv[4] = 0xA6A6A6A6;

  if ( (pStaInfo->EapolKeyMsgRecvd.Octet[2] & 7) == 1 )

  {

    rtl_memcpy_0(tmp1, pStaInfo->EAPOLMsgRecvd.Octet + 63, 16);

    rtl_memcpy_0(&tmp1[16], kek, keklen);

    sub_14D5C(&rc4_ctx, tmp1, keklen + 16);

    rt_arc4_crypt_0(&rc4_ctx, tmp2, tmp1, 256);

    rt_arc4_crypt_0(&rc4_ctx, tmp2, pStaInfo->EapolKeyMsgRecvd.Octet + 95, keylen);

解密结果会存放在tmp2,tmp2是栈数组,大小为257,如果keylen比较大就会导致栈溢出。

补丁,在调用ClientEAPOLKeyRecvd时会检查取出的keylen.

      v13 = (key_msg[94] + (key_msg[93] << 8));

      if ( sta->EAPOLMsgRecvd.Length - 0x70 <= v13

        || !DecWPA2KeyData_0(sta, key_msg + 95, v13, &sta->PTK[16], 16, &stack, 255) )

VD-1409 – Stack-based buffer overflow vulnerability

这个漏洞位于 AES_UnWRAP 函数,由于函数的二进制代码位于rom,这里直接分析原文提供的代码



void AES_UnWRAP(unsigned char * cipher, int cipher_len,

			   		 unsigned char * kek,	int kek_len,

			    		unsigned char * plain)

{

    v5__cipher_len = (cipher_len + 7) & (cipher_len >> 32);

    if ( cipher_len >= 0 )

      v5__cipher_len = cipher_len;

    v6__cipher = cipher;

    v7__aligned_cipher_len = v5__cipher_len >> 3;

    nblock = v7__aligned_cipher_len - 1;

    aes_set_key(&ctx, kek, 128);

    memcpy(A, v6__cipher, 8u);

    if ( v7__aligned_cipher_len - 1 > 0 )

    {

      v8__R = R;

      v9__cipher_ptr = (int)(v6__cipher + 8);

      v10__block_counter = 0;

      do

      {

        v11__R = v8__R;

        v12__cipher_ptr = (const void *)v9__cipher_ptr;

        ++v10__block_counter;

        ++v8__R;

        v9__cipher_ptr += 8;

        // STACK OVERFLOW -->

        memcpy(v11__R, v12__cipher_ptr, 8u);

      }

      while ( v10__block_counter != nblock );

    }

主要问题是AES_UnWRAP循环解密时会不断把结果拷贝到栈数组R中,如果cipher_len过大,就会溢出数组R。

R的定义

unsigned __int8 R[32][8];

VD-1410 – Stack-based buffer overflow vulnerability

漏洞位于ClientEAPOLKeyRecvd,函数会调用DecWPA2KeyData

          if ( !DecWPA2KeyData_0(

                  v5,

                  EapolKeyMsg + 95,

                  (EapolKeyMsg[94] + (EapolKeyMsg[93] << 8)),

                  &v5->PTK[16],

                  16,

                  decrypted_data) )

EapolKeyMsg为外部数据,这里3个参数表示长度,直接从外部数据中取出,然后在DecWPA2KeyData里面会解密数据

int __fastcall DecWPA2KeyData(WPA_STA_INFO *pStaInfo, unsigned __int8 *key, int keylen, unsigned __int8 *kek, int keklen, unsigned __int8 *kout)

{

    v9 = kout;

    rtl_memcpy_0(v9, v10, keylen);

DecWPA2KeyData解密完数据后会把keylen长度的数据拷贝到 kout,即decrypted_data 其大小为 128字节,所以可能导致栈溢出。

修复方案

!DecWPA2KeyData_0(sta, key_msg + 95, v13, &sta->PTK[16], 16, &stack, 0xFF)

额外增加了一个参数,表示Kout的大小,然后在DecWPA2KeyData里面会去校验

  if ( key_len > kout_length || key_len >= 0x102 )

    return 0;

VD-1411 – Stack-based buffer overflow vulnerability(未修复)

漏洞位于ClientEAPOLKeyRecvd

void __fastcall ClientEAPOLKeyRecvd(_adapter *padapter, sta_info *psta)

{

  eapol_msg = v5->EAPOLMsgRecvd.Octet;

  v5->EapolKeyMsgRecvd.Octet = eapol_msg + 18;

  v7 = eapol_msg[20] & 8;

  if ( (eapol_msg[20] & 8) == 0 )

  {

    v23 = v5->EapolKeyMsgRecvd.Octet;

    v24 = (v23[2] >> 4) & 3;

    if ( *v23 == 2 )

    {

      rtl_memcpy_0(decrypted_data, v21->GTK[v24], v23[94] + (v23[93] << 8));

其中 v23 指向外部数据,然后从v23里面取出2字节的数据作为长度,调用rtl_memcpy将数据拷贝到栈上,decrypted_data大小为128字节,栈溢出。

该漏洞在最新版本中依然存在

    v27 = sta->EapolKeyMsgRecvd.Octet;

    v28 = (v27[2] >> 4) & 3;

    if ( *v27 == 2 )

    {

      freertos_memcpy_0(&stack, v25 + 32 * v28 + 232, v27[94] + (v27[93] << 8));// 栈溢出

新漏洞

在分析漏洞时,确定了外部数据的流动,从而开展漏洞挖掘,最终发现一些漏洞

https://github.com/ambiot/amb1_arduino/issues/2

参考链接

https://www.vdoo.com/blog/realtek-rtl8195a-vulnerabilities-discovered

[原创] Realtek RTL8195A WIFI历史漏洞分析和新漏洞挖掘的更多相关文章

  1. CVE-2017-11882 漏洞分析总结 新手漏洞分析详细教程

    CVE-2017-11882分析总结 注: 这篇随笔记录了CVE-2017-11882漏洞分析的整个过程,并介绍了相关调试软件的使用 漏洞信息 CVE-2017-11882属于缓冲区溢出类型漏洞,产生 ...

  2. Windows SMBv3 CVE-2020-0796 漏洞分析和l漏洞复现

    0x00  漏洞描述 漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码.攻击者利用该漏洞无须权限即可实现远 ...

  3. CVE-2018-12613phpMyAdmin 后台文件包含漏洞分析

    一.    漏洞背景 phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库.借由此Web接口可以成 ...

  4. FakeID签名漏洞分析及利用(二)

    本文转自:http://blog.csdn.net/l173864930/article/details/38409521 继上一次Masterkey漏洞之后,Bluebox在2014年7月30日又公 ...

  5. 从CVE-2018-1273看漏洞分析

    漏洞分析的边界 漏洞分析最应该关注的是漏洞相关的代码,至于其余的代码可以通过关键位置下断点,来理解大概功能. 其中最关键的就是了解数据流,找到离漏洞位置最近的 原始数据 经过的位置,然后开始往下分析, ...

  6. weblogic之CVE-2018-3191漏洞分析

    weblogic之CVE-2018-3191漏洞分析 理解这个漏洞首先需要看这篇文章:https://www.cnblogs.com/afanti/p/10193169.html 引用廖新喜说的,说白 ...

  7. CVE-2010-3971 CSS内存破坏漏洞分析

    看了仙果版主的议题演讲,其中提到cve-2010-3971是一个浏览器漏洞利用中的里程碑.于是找来POC,尝试分析一下. 1.漏洞重现 XP SP3+ie6.0环境 poc如下: poc.htm &l ...

  8. 从乌云的错误漏洞分析看Mifare Classic安全

    前言 12年2月初国内著名安全问题反馈平台-乌云发布了有关某公司员工卡的金额效验算法破解的安全问题.从整个漏洞分析来看,漏洞的提交者把员工卡的数据分析得非常仔细,以至很多刚刚接触或者未曾接触的都纷纷赞 ...

  9. 帝国CMS(EmpireCMS) v7.5配置文件写入漏洞分析

    帝国CMS(EmpireCMS) v7.5配置文件写入漏洞分析 一.漏洞描述 该漏洞是由于安装程序时没有对用户的输入做严格过滤,导致用户输入的可控参数被写入配置文件,造成任意代码执行漏洞. 二.漏洞复 ...

  10. 帝国CMS(EmpireCMS) v7.5 前台XSS漏洞分析

    帝国CMS(EmpireCMS) v7.5 前台XSS漏洞分析 一.漏洞描述 该漏洞是由于javascript获取url的参数,没有经过任何过滤,直接当作a标签和img标签的href属性和src属性输 ...

随机推荐

  1. Git 本地仓库与基础操作指令

    本地仓库 获取本地仓库 在电脑任意位置创建一个空目录(例如test)作为我们的本地Git仓库 进入这个目录中,右键打开Git Bash窗口 执行 git init命令 如果创建成功后可在文件夹下看到隐 ...

  2. Spring —— AOP总结

    AOP 总结                    

  3. JS时间对象与字符串相互转换

    1.Date => String 代码 /** * 函数描述:时间格式化工具 * @param format {String} 格式(y-年,M-月,d-日,H-时[24],h-时[12],m- ...

  4. 深入理解HDFS 错误恢复

    我们从动态的角度来看 hdfs 先从场景出发,我们知道 hdfs 的写文件的流程是这样的: 数据以 pipeline 的方式写入 hdfs ,然后对于读取操作,客户端选择其中一个保存块副本的 Data ...

  5. 你所理解的 mvvm 模型

    mvvm 是Model-View-ViewModel 数据驱动视图模型,是mvc 的改进版 ,mvvm把界面ui和业务逻辑分离 ,model 是data属性的数据 , view 是模板结构 ,view ...

  6. 小程序的json文件

    json文件是页面的描述文件,对本页面的窗口外观设置,页面的配置可以覆盖全局的配置 (app.json);

  7. DataDream:调一调更好,基于LoRA微调SD的训练集合成新方案 | ECCV'24

    尽管文本到图像的扩散模型已被证明在图像合成方面达到了最先进的结果,但它们尚未证明在下游应用中的有效性.先前的研究提出了在有限的真实数据访问下为图像分类器训练生成数据的方法.然而,这些方法在生成内部分布 ...

  8. python模拟发送、消费kafka消息

    参考文章: https://zhuanlan.zhihu.com/p/279784873 生产者代码: import traceback from kafka import KafkaProducer ...

  9. Re:从零开始的pwn学习(栈溢出篇)

    写在前面:本文旨在帮助刚接触pwn题的小伙伴少走一些弯路,快速上手pwn题,内容较为基础,大佬轻喷.本文默认读者明白最基础的汇编指令的含义,并且已经配置好linux64位环境,明白基础的Linux指令 ...

  10. C++ 命令行传参 参数使用 坐标参数的转换

    目录 1. 什么是命令行传参 2. 如何传参 3. 应用实例 4. 问题 1. 什么是命令行传参 命令行传参就是在 cmd 命令提示符, 或者 Linux shell 中使用可执行程序时, 可以添加 ...