前言

本文主要分析vdoo发现的一些RTL8195A WIFI模块的漏洞。

环境搭建

下载最新的SDK

https://github.com/ambiot/amb1_arduino/blob/master/Arduino_package/release/ameba_1-2.0.10-build20210203.tar.gz

解压后在下面目录里面有一堆.a文件,漏洞就存在与这些.a里面

ameba_1-2.0.10-build20210203\hardware\variants\rtl8195a

为了分析的方便,首先将.a链接成.so

ar -x lib_ameba.a

ar -x lib_codec.a

ar -x lib_hs_uart_redirect.a

ar -x lib_mdns.a

ar -x lib_p2p.a

ar -x lib_rtlstd.a

ar -x lib_sdcard.a

ar -x lib_usbh.a

ar -x lib_wlan.a

ar -x lib_xmodem.a

ar -x lib_arduino_alexa.a

ar -x lib_google_cloud_iot.a

ar -x lib_i2c_redirect.a

ar -x lib_mmf.a

ar -x lib_platform.a

ar -x lib_rtsp.a

ar -x lib_usbd.a

ar -x lib_websocket.a

ar -x lib_wps.a

rm console_i2c.o

rm alexa_mem.o

arm-none-eabi-gcc -w  -shared *.o -o  liball.so

然后就可以用IDA加载so进行分析了

漏洞分析

本节基于最新的SDK和ameba-2.0.4-build20180817有漏洞版本SDK进行分析,同时对补丁和漏洞进行分析

VD-1406 (CVE-2020-9395) – Stack-based buffer overflow vulnerability

ClientEAPOLKeyRecvd函数会调用CheckMIC来处理数据

CheckMIC(v5->EAPOLMsgRecvd, v5->PTK, &v5->EAPOLMsgRecvd)

EAPOLMsgRecvd为外部数据

bool __fastcall CheckMIC(OCTET_STRING EAPOLMsgRecvd, unsigned __int8 *key, int keylen)

{

  v3 = EAPOLMsgRecvd.Octet;

  v4 = EAPOLMsgRecvd.Octet[20];

  v6 = &tmpbuf[95];

  rtl_memcpy_0(tmpbuf, EAPOLMsgRecvd.Octet, EAPOLMsgRecvd.Length);

Octet为数据地址,Length为数据长度,这里没有检查Length,从而导致栈溢出。

最新版本的CheckMIC函数如下

bool __fastcall CheckMIC_constprop_14(int data, unsigned int length, int a3)

{

  v6 = *(data + 20);

  if ( length > 0x200 )  // 新增length的检查

    return 0;

  v8 = &stack[95];

  freertos_memcpy_0(stack, data, length);  //

  freertos_memset_0(&stack[95], 0, 16);

在最新版的SDK里面会检查length不能超过0x200

调用点

CheckMIC_constprop_14(sta->EAPOLMsgRecvd.Octet, sta->EAPOLMsgRecvd.Length, sta->PTK) )

EAPOLMsgRecvd为外部数据,Octet为数据地址,Length为数据长度

VD-1407 – Read out of bounds vulnerability

问题还是位于CheckMIC函数

bool __fastcall CheckMIC(OCTET_STRING EAPOLMsgRecvd, unsigned __int8 *key, int keylen)

{

  v3 = EAPOLMsgRecvd.Octet;

  v4 = EAPOLMsgRecvd.Octet[20];

  v6 = &tmpbuf[95];

  rtl_memcpy_0(tmpbuf, EAPOLMsgRecvd.Octet, EAPOLMsgRecvd.Length);

  flag = v4 & 7;

  v8 = (ntohs_0(*&tmpbuf[16]) + 4);  // 从外部数据取出长度 v8

  if ( flag == 1 )

  {

    rt_md5_hmac_0(&tmpbuf[14], v8, key, 16, &tmpbuf[95]); // 作为 rt_md5_hmac参数

问题逻辑是,首先从数据包里面取出了2个字节作为长度存放到v8,然后没有检查v8是否会大于Length,就传给rt_md5_hmac去算一个hash,在rt_md5_hmac里面会越界读。

补丁版本

  v9 = (ntohs_0(*&stack[16]) + 4);

  if ( (length - 13) <= v9 )  // 检查长度

    return 0;

  if ( (v6 & 7) != 1 )

  {

    if ( (v6 & 7) == 2 )

    {

      v8 = digest;

      rt_hmac_sha1_0(&stack[14], v9, a3, 16, digest);

      return rtl_memcmp_0(v8, data + 95, 16) == 0;

    }

增加了长度检查

VD-1408 – Stack-based buffer overflow vulnerability

漏洞应该是位于ClientEAPOLKeyRecvd,函数会调用DecWPA2KeyData

          if ( !DecWPA2KeyData_0(

                  v5,

                  EapolKeyMsg + 95,

                  (EapolKeyMsg[94] + (EapolKeyMsg[93] << 8)),

                  &v5->PTK[16],

                  16,

                  decrypted_data) )

EapolKeyMsg为外部数据,这里3个参数表示长度,直接从外部数据中取出,然后在DecWPA2KeyData里面会解密数据

int __fastcall DecWPA2KeyData(WPA_STA_INFO *pStaInfo, unsigned __int8 *key, int keylen, unsigned __int8 *kek, int keklen, unsigned __int8 *kout)

{

  *default_key_iv = 0xA6A6A6A6;

  *&default_key_iv[4] = 0xA6A6A6A6;

  if ( (pStaInfo->EapolKeyMsgRecvd.Octet[2] & 7) == 1 )

  {

    rtl_memcpy_0(tmp1, pStaInfo->EAPOLMsgRecvd.Octet + 63, 16);

    rtl_memcpy_0(&tmp1[16], kek, keklen);

    sub_14D5C(&rc4_ctx, tmp1, keklen + 16);

    rt_arc4_crypt_0(&rc4_ctx, tmp2, tmp1, 256);

    rt_arc4_crypt_0(&rc4_ctx, tmp2, pStaInfo->EapolKeyMsgRecvd.Octet + 95, keylen);

解密结果会存放在tmp2,tmp2是栈数组,大小为257,如果keylen比较大就会导致栈溢出。

补丁,在调用ClientEAPOLKeyRecvd时会检查取出的keylen.

      v13 = (key_msg[94] + (key_msg[93] << 8));

      if ( sta->EAPOLMsgRecvd.Length - 0x70 <= v13

        || !DecWPA2KeyData_0(sta, key_msg + 95, v13, &sta->PTK[16], 16, &stack, 255) )

VD-1409 – Stack-based buffer overflow vulnerability

这个漏洞位于 AES_UnWRAP 函数,由于函数的二进制代码位于rom,这里直接分析原文提供的代码



void AES_UnWRAP(unsigned char * cipher, int cipher_len,

			   		 unsigned char * kek,	int kek_len,

			    		unsigned char * plain)

{

    v5__cipher_len = (cipher_len + 7) & (cipher_len >> 32);

    if ( cipher_len >= 0 )

      v5__cipher_len = cipher_len;

    v6__cipher = cipher;

    v7__aligned_cipher_len = v5__cipher_len >> 3;

    nblock = v7__aligned_cipher_len - 1;

    aes_set_key(&ctx, kek, 128);

    memcpy(A, v6__cipher, 8u);

    if ( v7__aligned_cipher_len - 1 > 0 )

    {

      v8__R = R;

      v9__cipher_ptr = (int)(v6__cipher + 8);

      v10__block_counter = 0;

      do

      {

        v11__R = v8__R;

        v12__cipher_ptr = (const void *)v9__cipher_ptr;

        ++v10__block_counter;

        ++v8__R;

        v9__cipher_ptr += 8;

        // STACK OVERFLOW -->

        memcpy(v11__R, v12__cipher_ptr, 8u);

      }

      while ( v10__block_counter != nblock );

    }

主要问题是AES_UnWRAP循环解密时会不断把结果拷贝到栈数组R中,如果cipher_len过大,就会溢出数组R。

R的定义

unsigned __int8 R[32][8];

VD-1410 – Stack-based buffer overflow vulnerability

漏洞位于ClientEAPOLKeyRecvd,函数会调用DecWPA2KeyData

          if ( !DecWPA2KeyData_0(

                  v5,

                  EapolKeyMsg + 95,

                  (EapolKeyMsg[94] + (EapolKeyMsg[93] << 8)),

                  &v5->PTK[16],

                  16,

                  decrypted_data) )

EapolKeyMsg为外部数据,这里3个参数表示长度,直接从外部数据中取出,然后在DecWPA2KeyData里面会解密数据

int __fastcall DecWPA2KeyData(WPA_STA_INFO *pStaInfo, unsigned __int8 *key, int keylen, unsigned __int8 *kek, int keklen, unsigned __int8 *kout)

{

    v9 = kout;

    rtl_memcpy_0(v9, v10, keylen);

DecWPA2KeyData解密完数据后会把keylen长度的数据拷贝到 kout,即decrypted_data 其大小为 128字节,所以可能导致栈溢出。

修复方案

!DecWPA2KeyData_0(sta, key_msg + 95, v13, &sta->PTK[16], 16, &stack, 0xFF)

额外增加了一个参数,表示Kout的大小,然后在DecWPA2KeyData里面会去校验

  if ( key_len > kout_length || key_len >= 0x102 )

    return 0;

VD-1411 – Stack-based buffer overflow vulnerability(未修复)

漏洞位于ClientEAPOLKeyRecvd

void __fastcall ClientEAPOLKeyRecvd(_adapter *padapter, sta_info *psta)

{

  eapol_msg = v5->EAPOLMsgRecvd.Octet;

  v5->EapolKeyMsgRecvd.Octet = eapol_msg + 18;

  v7 = eapol_msg[20] & 8;

  if ( (eapol_msg[20] & 8) == 0 )

  {

    v23 = v5->EapolKeyMsgRecvd.Octet;

    v24 = (v23[2] >> 4) & 3;

    if ( *v23 == 2 )

    {

      rtl_memcpy_0(decrypted_data, v21->GTK[v24], v23[94] + (v23[93] << 8));

其中 v23 指向外部数据,然后从v23里面取出2字节的数据作为长度,调用rtl_memcpy将数据拷贝到栈上,decrypted_data大小为128字节,栈溢出。

该漏洞在最新版本中依然存在

    v27 = sta->EapolKeyMsgRecvd.Octet;

    v28 = (v27[2] >> 4) & 3;

    if ( *v27 == 2 )

    {

      freertos_memcpy_0(&stack, v25 + 32 * v28 + 232, v27[94] + (v27[93] << 8));// 栈溢出

新漏洞

在分析漏洞时,确定了外部数据的流动,从而开展漏洞挖掘,最终发现一些漏洞

https://github.com/ambiot/amb1_arduino/issues/2

参考链接

https://www.vdoo.com/blog/realtek-rtl8195a-vulnerabilities-discovered

[原创] Realtek RTL8195A WIFI历史漏洞分析和新漏洞挖掘的更多相关文章

  1. CVE-2017-11882 漏洞分析总结 新手漏洞分析详细教程

    CVE-2017-11882分析总结 注: 这篇随笔记录了CVE-2017-11882漏洞分析的整个过程,并介绍了相关调试软件的使用 漏洞信息 CVE-2017-11882属于缓冲区溢出类型漏洞,产生 ...

  2. Windows SMBv3 CVE-2020-0796 漏洞分析和l漏洞复现

    0x00  漏洞描述 漏洞公告显示,SMB 3.1.1协议中处理压缩消息时,对其中数据没有经过安全检查,直接使用会引发内存破坏漏洞,可能被攻击者利用远程执行任意代码.攻击者利用该漏洞无须权限即可实现远 ...

  3. CVE-2018-12613phpMyAdmin 后台文件包含漏洞分析

    一.    漏洞背景 phpMyAdmin 是一个以PHP为基础,以Web-Base方式架构在网站主机上的MySQL的数据库管理工具,让管理者可用Web接口管理MySQL数据库.借由此Web接口可以成 ...

  4. FakeID签名漏洞分析及利用(二)

    本文转自:http://blog.csdn.net/l173864930/article/details/38409521 继上一次Masterkey漏洞之后,Bluebox在2014年7月30日又公 ...

  5. 从CVE-2018-1273看漏洞分析

    漏洞分析的边界 漏洞分析最应该关注的是漏洞相关的代码,至于其余的代码可以通过关键位置下断点,来理解大概功能. 其中最关键的就是了解数据流,找到离漏洞位置最近的 原始数据 经过的位置,然后开始往下分析, ...

  6. weblogic之CVE-2018-3191漏洞分析

    weblogic之CVE-2018-3191漏洞分析 理解这个漏洞首先需要看这篇文章:https://www.cnblogs.com/afanti/p/10193169.html 引用廖新喜说的,说白 ...

  7. CVE-2010-3971 CSS内存破坏漏洞分析

    看了仙果版主的议题演讲,其中提到cve-2010-3971是一个浏览器漏洞利用中的里程碑.于是找来POC,尝试分析一下. 1.漏洞重现 XP SP3+ie6.0环境 poc如下: poc.htm &l ...

  8. 从乌云的错误漏洞分析看Mifare Classic安全

    前言 12年2月初国内著名安全问题反馈平台-乌云发布了有关某公司员工卡的金额效验算法破解的安全问题.从整个漏洞分析来看,漏洞的提交者把员工卡的数据分析得非常仔细,以至很多刚刚接触或者未曾接触的都纷纷赞 ...

  9. 帝国CMS(EmpireCMS) v7.5配置文件写入漏洞分析

    帝国CMS(EmpireCMS) v7.5配置文件写入漏洞分析 一.漏洞描述 该漏洞是由于安装程序时没有对用户的输入做严格过滤,导致用户输入的可控参数被写入配置文件,造成任意代码执行漏洞. 二.漏洞复 ...

  10. 帝国CMS(EmpireCMS) v7.5 前台XSS漏洞分析

    帝国CMS(EmpireCMS) v7.5 前台XSS漏洞分析 一.漏洞描述 该漏洞是由于javascript获取url的参数,没有经过任何过滤,直接当作a标签和img标签的href属性和src属性输 ...

随机推荐

  1. HarmonyOS ArkTS基础语法

    前提:安装开发工具       教程:https://developer.harmonyos.com/cn/docs/documentation/doc-guides/tools_overview-0 ...

  2. Google Aviator Evaluator 使用入门(一)

    Aviator Evaluator 使用入门(一) https://www.yuque.com/boyan-avfmj/aviatorscript/tvahat 一.什么是规则引擎 定义:规则引擎是一 ...

  3. 一组.NET MAUI绘制的开源控件 - AlohaKit

    前言 今天大姚给大家分享一组.NET MAUI绘制的开源.免费(MIT License)UI控件库:AlohaKit. MAUI介绍 .NET MAUI是一个开源.免费(MIT License)的跨平 ...

  4. Excel表格重复项特殊标注

    事件起因: 某不知名同事,需要将Excel表格中的重复选项特殊标注出来,故研究了一下   解决办法: 在Excel表格中,如果需要特殊标注重复项时候,可以参考以下办法 选项excel表格行/列 - 开 ...

  5. 手搓大模型Task03:手搓一个最小的 Agent 系统

    前言   训练一个大模型是一件高投入低回报的事情,况且训练的事情是由大的巨头公司来做的事情:通常我们是在已有的大模型基础之上做微调或Agent等:大模型的能力是毋庸置疑的,但大模型在一些实时的问题上, ...

  6. Java日期时间API系列17-----Jdk8中java.time包中的新的日期时间API类,java日期计算4,2个日期对比,获取相差年月日部分属性和相差总的天时分秒毫秒纳秒等

    通过Java日期时间API系列9-----Jdk8中java.time包中的新的日期时间API类的Period和Duration的区别 ,可以看出java8设计非常好,新增了Period和Durati ...

  7. 2021年12月墨天轮国产数据库排行榜: openGauss节节攀升拿下榜眼,GaussDB与TDSQL你争我夺各进一位

    2021年12月的国产数据库流行度排行榜已在墨天轮发布,本月共有189家数据库参与排名.为使国产数据库排名更加专业与客观,本月起,排行榜加入了三方评测.生态.专利数.论文数等新的指标.其中三方测评方面 ...

  8. Transformer的Pytorch实现【1】

    使用Pytorch手把手搭建一个Transformer网络结构并完成一个小型翻译任务. 首先,对Transformer结构进行拆解,Transformer由编码器和解码器(Encoder-Decode ...

  9. 云原生周刊:Score 成为 CNCF 沙箱项目|2024.08.12

    开源项目推荐 KubeOne Kubermatic KubeOne 自动化管理您所有云环境.本地环境.边缘计算和物联网环境中的集群操作.KubeOne 可以安装高可用(HA)的主集群,也可以安装单主集 ...

  10. KubeSphere 多行日志采集方案深度探索 

    作者:大飞哥,视源电子运维工程师,KubeSphere 用户委员会广州站站长 采集落盘日志 日志采集,通常使用 EFK 架构,即 ElasticSearch,Filebeat,Kibana,这是在主机 ...