记录黑客技术中优秀的内容, 传播黑客文化,分享黑客技术精华NETGEAR R6700v3堆溢出漏洞分析
0x00 前言Pwn2Own Tokyo 2019引入了一个新的类别:无线路由器。在这次比赛中,有款目标路由器为NETGEAR Nighthawk R6700v3。我并没有参加这次比赛,但还是想分析一下该设备,看能不能找出一些漏洞。除了这次比赛中找到的漏洞,我还发现路由器中存在另一个堆溢出漏洞,恶意第三方可以利用该漏洞,从本地网络控制该设备。我将在本文中详细分析该漏洞,并且会提供一个PoC,适用于固件版本为V1.0.4.84_10.0.58的所有路由器。该漏洞位于httpd服务中(/usr/bin/httpd),未经身份认证的攻击者如果连入本地网络,就可以向httpd web服务发送精心构造的HTTP请求,最终在目标系统上执行远程代码。成功利用该漏洞后,攻击者可
分析Netgear R7000路由器栈溢出漏洞
0x00 绪论经过一整天的辛苦研究,放松下来,做点容易的事是件消遣。与10到15年前相比,现代软件开发流程极大地改善了商业软件的质量,但消费级网络设备却大为落后。因此,当需要找点乐子增强信心时,我喜欢分析SOHO设备。本文将审计Netgear R7000路由器,分析其产生的漏洞以及随后的漏洞利用开发过程。可以在我们的NotQuite0DayFriday仓库中找到此博客文章中描述的漏洞的writeup和代码。 0x01 初步分析分析SOHO设备的第一步是获取固件。幸运的是,Netgear的支持网站提供了R7000的所有固件。可以从该网站下载此博客文章中使用的Netgear R7000版本1.0.9.88固件。 解压固件后,我们将使用binwalk从固件映像中提取r
CVE-2018-18708:Tenda路由器缓冲区溢出漏洞分析
摘要:本文通过对一个ARM路由器缓冲区溢出漏洞的分析,实践逆向数据流跟踪的思路与方法。假设读者:了解ARM指令集基础知识、了解栈溢出原理和利用方法、了解通过IDA和GDB进行静态分析与动态跟踪的方法。阅读本文后:可以了解逆向数据流跟踪的思路与方法 1. 漏洞概要CVE-2018-18708,多款Tenda产品中的httpd存在缓冲区溢出漏洞。攻击者可利用该漏洞造成拒绝服务(覆盖函数的返回地址)。以下产品和版本受到影响:Tenda AC7 V15.03.06.44_CN版本;AC9 V15.03.05.19(6318)_CN版本;AC10 V15.03.06.23_CN版本;AC15 V15.03.05.19_CN版本;AC18 V15.03.05.19(6318
写给初学者的IoT实战教程之ARM栈溢出
本文面向入门IoT固件分析的安全研究员,以一款ARM路由器漏洞为例详细阐述了分析过程中思路判断,以便读者复现及对相关知识的查漏补缺。假设读者:了解ARM指令集、栈溢出的基础原理和利用方法、了解IDA、GDB的基础使用方法,但缺少实战漏洞分析经验。阅读本文后:可以知道IoT固件仿真的基础方法及排错思路。可以知道对ARM架构栈溢出漏洞的利用和调试方法。 1.实验目标概述为了便于实验,选择一个可以模拟的路由器固件:Tenda AC15 15.03.1.16_multi。分析的漏洞为CVE-2018-5767,是一个输入验证漏洞,远程攻击者可借助COOKIE包头中特制的‘password’参数利用该漏洞执行代码。测试环境:Kali 2020 5.4.0-kali3-am
发布时间:2020-05-07 16:44 |
阅读:14531 | 评论:0 |
标签:溢出
CVE-2020-11945 Squid未授权整数溢出分析
Squid cache(简称为Squid)是一个流行的自由软件(GNU通用公共许可证)的代理服务器和Web缓存服务器。Squid 的用途很多,可以作为网页服务器的前置cache服务器缓存相关请求来提高Web服务器的速度,也可以为一组人共享网络资源而缓存万维网、域名系统和其他网络搜索,以及通过过滤流量提高网络安全,在局域网通过代理上网等。漏洞简介Squid的HTTP Digest认证在未授权的并且高并发的情况下存在整数溢出漏洞风险,随后导致UAF。Squid 的 HTTPDigest 认证是非默认开启。漏洞基本信息公告:https://cve.mitre.org/cgi-bin/cvename.cgi?name=CVE-2020-11945作者:synacktiv
CODESYS V3 未经身份验证的远程堆溢出漏洞分析与复现
作 者:安天 公众号: 关键基础设施安全应急响应中心概述2020年3月25日CODESYS发布CODESYS V3未经身份验证的远程堆溢出漏洞,攻击者利用精心设计的请求可能会导致基于堆的缓冲区溢出。CODESYS软件工具包是一款基于先进的.NET架构和IEC 61131-3国际编程标准的面向工业4.0及物联网应用的软件开发平台。CODESYS软件平台可实现逻辑控制(PLC)、运动控制(Motion Control)及CNC控制、人机界面(HMI)、基于Web Service的网络可视化编程和远程监控、冗余控制(Redundancy)和安全控制(Safety)、项目开发与工程协同管理等多个目标和需求。安天针对CODESYS的CVE-2020-10245漏洞进行了分析和复现,该漏洞存在
固件安全之MIPS架构栈溢出利用技巧
xxxkkk@海特实验室概述因为 MIPS 指令集不同于 X86 指令集架构,所以在栈溢出的利用方式上有所差别,ROP 链的构造也不尽相同,这里概述一下关于 MIPS 栈溢出利用的技巧和特点。 常见寻找MIPS Gardget工具ROPgardget最常见,最通用的全平台寻找Gardget工具> ROPgadget --binary libc.so.6......0x00049298 : xori $v0, $v0, 2 ; sw $v0, 0x1c($sp) ; lw $t9, -0x6d14($gp) ; jalr $t9 ; addiu $a0, $sp, 0x200x000492f0 : xori $v0, $v0, 2 ; sw $v0, 8($
发布时间:2020-04-02 11:36 |
阅读:11808 | 评论:0 |
标签:溢出
CVE-2020-3119 Cisco CDP 协议栈溢出漏洞分析
作者:Hcamael@知道创宇404实验室 时间:2020年03月19日 **英文版本:https://paper.seebug.org/1156/ Cisco Discovery Protocol(CDP)协议是用来发现局域网中的Cisco设备的链路层协议。最近Cisco CDP协议爆了几个漏洞,挑了个栈溢出的CVE-2020-3119先来搞搞,Armis Labs也公开了他们的分析Paper。环境搭建虽然最近都在搞IoT相关的,但是还是第一次搞这种架构比较复杂的中型设备,大部分时间还是花在折腾环境上。3119这个CVE影响的是Cisco NX-OS类型的设备,去Cisco的安全中心找了下这个CVE,搜搜受影响的设备。发现受该漏洞影响的设备都挺贵的,也不好买,所以暂时没办法真
CVE-2020-3119 Cisco CDP协议栈溢出漏洞分析
Cisco Discovery Protocol(CDP)协议是用来发现局域网中的Cisco设备的链路层协议。最近Cisco CDP协议爆了几个漏洞,挑了个栈溢出的CVE-2020-3119先来搞搞,Armis Labs也公开了他们的分析Paper[1]。环境搭建虽然最近都在搞IoT相关的,但是还是第一次搞这种架构比较复杂的中型设备,大部分时间还是花在折腾环境上。3119这个CVE影响的是Cisco NX-OS类型的设备,去Cisco的安全中心[2]找了下这个CVE,搜搜受影响的设备。发现受该漏洞影响的设备都挺贵的,也不好买,所以暂时没办法真机测试研究了。随后搜了一下相关设备的固件[3],需要氪金购买。然后去万能的淘宝搜了下,有代购业务,有的买五六十(亏),有的卖十几块。固件到手后,我往常第一想法是解开来,第二
漏洞分析学习之某ActiveX控件imageMan.dll栈溢出
前言前段日子准备复现分析下这个漏洞的,然后谷歌百度全都搜不到这个AliIM2010版本的这个东西,找了一天无奈放弃,今天无意从漏洞战争随书资料里看到有这个安装包,便开始了分析之旅漏洞战争随书资料可以从github下载环境配置测试环境:X推荐环境备注操作系统win_xp_sp3_pro简体中文版虚拟机vmware15.5调试器ollydbg吾爱破解od反汇编器IDA pro版本号:7.0漏洞软件AliIM2010_taobao版本号: 6.50.00Cpoc及exp均在漏洞战争随书资料里获取基于POC的漏洞验证哈哈这里我感觉我有点傻逼啊,我打开了阿里旺旺,附加了,然后运行断点怎么没断下,而且阿里旺旺也没退出什么的,poc是不是无效啊,第一反应
CVE-2017-13089 wget 栈溢出漏洞复现
前言参考网上的一篇文章教程,复现了一下 wget 1.19.1 组件版本的的一个栈溢出漏洞。漏洞的成因是由于对响应包处理不当导致的整数溢出,进而导致栈溢出。环境准备sudo apt-get install libneon27-gnutls-devwget https://ftp.gnu.org/gnu/wget/wget-1.19.1.tar.gztar zxvf wget-1.19.1.tar.gz编译cd wget-1.19.1/mkdir build/ & ./configure --prefix=$PWD/build/make -j8安装安装好的二进制文件是存放在 --prefix 变量值的 bin/ 目录下:sudo ma
cve-2018-5767 Tenda AC15 栈溢出漏洞调试
漏洞分析官网上即可获取下载含漏洞版本固件V15.03.1.16,使用binwalk解压,可在目录bin目录下找到httpd程序,使用IDA打开httpd程序。根据在IDA中看到的websUrlHandlerDefine等函数,可以判定程序使用的是GoAhead框架,另外在字符串中找到了2.1.8,可以进一步确定程序使用的框架是GoAhead 2.1.8。在github可以下载框架源码。下载源码的目的在于补全一些结构体的定义,方便逆向.漏洞点位于R7WebsSecurityHandler中,为了更清楚的查看此处代码,我们根据GoAhead针对此处的一些结构体进行声明,并针对一些变量的名称进行一些修改。小技巧 : IDA中导入C语言声明的结构体
Netgear R6400 upnp栈溢出漏洞分析
一、基本情况
Netgear R6400 多个固件版本中的upnpd存在栈溢出漏洞(CVE-2020-9373),通过向其udp 1900端口发送构造的ssdp数据包,可能导致DOS或RCE。下文的测试均使用V1.0.1.52_1.0.36这本版本的固件包。
Netgear r6400
Netgear R6400 是网件的AC1750无线路由器,2.4GHz和5GHz双频支持,最高带宽1750Mbps(450+1300 Mbps),机身带有一个USB 3.0接口、一个USB 2.0接口。
upnp 协议
通用即插即用(Universal Plug and Play,简称UPnP)是由“通用即插即用论坛”(UPnP™ Forum)推广的一套网络协议。该协议的目标是使家庭网络(数据共享、通信和娱乐)和公司网络中的
F-Secure Internet Gatekeeper中的堆溢出漏洞分析
F-Secure Internet Gatekeeper堆溢出漏洞介绍
在这篇文章中,我们将对F-Secure Internet Gatekeeper应用程序中的一个堆溢出漏洞进行解析,并介绍为何一个简单的错误就导致了一个可利用的未认证远程代码执行漏洞存在。
漏洞复现环境搭建
在我们的实验环境下,所有的漏洞复现与测试都在一台CentOS虚拟机中进行,虚拟机配置为至少1个处理器和4GB RAM。
接下来,下载F-Secure Internet Gatekeeper:【点我下载】
但是现在,厂商已经下架了存在漏洞的产品。
受影响版本的产品包SHA256如下:
1582aa7782f78fcf01fccfe0b59f0a26b4a972020f9da860c19c1076a79c8e26
安装步骤:
1、如果你使
花式栈溢出(栈帧的调节)
title: 花式栈溢出(栈帧的调节)花式栈溢出(栈帧的调节)前言本人刚学pwn不久,最近在学习过程中学到了各种需要栈帧调节的题目,以此记录一下。在一些栈溢出的程序中,我们会碰到一些问题,例如溢出的可控字节数太少,无法构造我们想要的rop链,程序ASLR开启后导致的栈地址不可预测等。对于这种问题,常用的思路包括:加减esp值,控制栈指针Stack Migration来构造一个假的栈帧。这里总结了2种题型:加减esp,把控栈指针这种题型就需要用Ropgadget找一个控制esp的gadget,然后简单修改esp值的大小,来满足我们的需求。Alictf_016_vss这个题目就是一个修改esp扩大栈空间,从而构造rop链获取shell的题目。检
发布时间:2020-02-18 11:32 |
阅读:16720 | 评论:0 |
标签:溢出
基于 angr 的漏洞利用自动生成之缓冲区溢出案例分析
基于 angr 的漏洞利用自动生成之缓冲区溢出案例分析前言本文将结合 angr 官方提供的示例 insomnihack_aeg 展示基于 angr 的简单自动利用生成,分析各个步骤并介绍相关接口。通过阅读本文,可以对 angr 和简单 AEG 有进一步的认识。相关源文件在 insomnihack_aeg 中。demo_bin 为二进制程序,demo_bin.c 为源代码,solve.py 是自动生成 exploit 的脚本程序分析首先分析一下程序源代码 demo_bin.c ,该程序有一个明显缓冲区溢出。#include <stdio.h>#include <stdlib.h>#include <unistd.
公告
九层之台,起于累土;黑客之术,始于阅读