如何挖到多個D-LINK高危漏洞

本篇文章給大家分享的是有關如何挖到多個D-LINK高危漏洞，小編覺得挺實用的，因此分享給大家學習，希望大家閱讀完這篇文章后可以有所收獲，話不多說，跟著小編一起來看看吧。

近期，360企業安全集團代碼衛士團隊安全研究人員發現友訊(D-LINK)公司旗下產品系列DIR-619、DIR-605系列路由器的兩個高危安全漏洞(CVE-2018-20056和CVE-2018-20057)，并第一時間向友訊(D-LINK)公司匯報，協助其修復漏洞。     

圖 致謝360代碼衛士

CVE-2018-20056是一個緩沖區溢出漏洞，下面將針對該漏洞進行技術分析。

漏洞概述

CVE-2018-20056

該漏洞是一個無需授權的棧緩沖區溢出漏洞，影響D-LINK DIR-605L 300M wireless cloud routing和DIR-619L 300M wireless cloud routing型號。漏洞出現在 web 服務器中的一個功能接口中，可被未經驗證的用戶通過post請求進行調用。請求的URL為：http://[target_ip]/goform/formLanguageChange，其中POST數據的currtime參數未進行長度校驗通過危險的內存拷貝函數寫入棧上，導致精心構造的currtime參數可以觸發緩沖區溢出漏洞，甚至直接獲得設備的 rootshell。

技術分析

通過binwalk解包固件后分析系統文件目錄，發現系統中存在boa程序。Boa程序是一個輕量級的web服務器程序。常見于嵌入式系統中。通過逆向分析發現此程序在boa開源代碼的基礎上新增了很多功能接口以實現路由器上的不同功能。

其中大部分功能接口都需要經過身份驗證后才可以使用，但仍舊存在少部分功能接口如登錄注銷等可以使用。通過逆向分析boa程序定位至process_header_end函數，可以找到未驗證用戶可使用的部分功能。其中部分關鍵代碼如下，其判斷流程可簡單總結為,若is_valid_user函數判斷請求來自于未驗證用戶后，  會再次通過strstr函數判斷url請求是否為此用戶可使用的功能接口。  通過分析及實驗發現，除了login功能外，未驗證用戶還可以使用formlanguagechange功能接口來改變web前臺界面顯示的語言。

接下來通過定位分析分發函數websaspinit尋找進入此函數的方式，關鍵代碼如下：

通過分析實驗發現，在post請求訪問http://[target_ip]/goform/formLanguageChange時會進入formLanguageChange函數流程，函數中通過websgetvar函數獲取post請求中config.i18n_language，currtime，nextpage參數的值。

在websgetvar函數中，通過strlen、malloc、memcpy函數將參數值保存至申請出的一塊內存空間中，但并未對參數長度進行判斷和限制。這種參數獲取的方式在遇到危險的內存拷貝函數時極易產生問題，是后面產生漏洞的根源所在。

圖 websgetvar函數

繼續分析formLanguageChange函數，程序將獲取到的currtime參數值直接通過危險函數sprintf寫入棧上0x110-0xf8的位置導致了緩沖區溢出。

通過分析，  函數返回地址保存在0x110-0x4位置，即當參數長度大于0xf4時會直接覆蓋函數返回地址，導致程序控制流被劫持。

圖 formLanguageChange函數

結合路由器環境本身防護機制的不足，在攻擊者控制程序流程后，可通過rop技術實現任意代碼執行。

Rop流程為：1.賦值a0參數。

2.調用sleep函數。

3.賦值某寄存器為棧上地址。

4.通過寄存器跳轉的方式跳入棧中shellcode的位置完成利用。

 圖 利用結果

以上就是如何挖到多個D-LINK高危漏洞，小編相信有部分知識點可能是我們日常工作會見到或用到的。希望你能通過這篇文章學到更多知識。更多詳情敬請關注億速云行業資訊頻道。