MING

[[CVE]]Ubuntu18IDA9.1binwalkqemu[[firmwalker]][固件下载](GL.iNet 固件下载中心 | GL-AX1800 Flint) 固件分析binwalk 解包1binwalk -Me openwrt-ax1800-4.5.16-0321-1711030388.tar 查看文件属性 1busybox: ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), dynamically linked, interpreter /lib/ld-musl-arm.so.1, no section header 固件模拟先在宿主机配置网卡，用于后面和qemu模拟出来的虚拟机进行通信 12sudo tunctl -t tap0sudo ifconfig tap0 192.168.3.1/24 up 在模拟前需要先[下载](Index of /~aurel32/qemu/armhf)以下内容 123vmlinuz-3.2.0-4-vexpress linux内核...

[[CVE]][固件下载](D-Link Technical Support](https://www.dlink.com.cn/techsupport/ProductInfo.aspx?m=DI-8100)Ubuntu18IDA9.1binwalk[[FirmAE]][[firmwalker]] 固件分析固件解包1binwalk -Me DI_8100-16.07.26A1.zip 使用firmwalker进行扫描 1./firmwalker.sh /home/blonet/下载/CVE-2024-7436/_DI_8100-16.07.26A1.zip.extracted/_DI_8100-16.07.26A1.trx.extracted/_8C.extracted/_3F8000.extracted/cpio-root 搜索与jhttp相关的文件 1grep -ir "jhttpd" 分析sbin/rcrc里起的jhttpd服务系统启动过程中会执行名为 init 的程序，这边做了软连接，启动时就会启动rc程序 固件模拟使用FirmAE进行模拟...

[[CVE]][固件下载](D-Link Technical Support)Ubuntu18IDA9.1binwalk[[FirmAE]][[firmwalker]] 固件分析binwalk解包先使用binwalk 查看固件信息 1binwalk DIR823G_V1.0.2B05_20181207.bin Squashfs文件系统再进行解包 1binwalk -Me DIR823G_V1.0.2B05_20181207.bin 我们先来分析etc文件夹中的inittab启动信息我们继续查看rcS文件watchdog应该是一种进程的监控程序，启动1000秒后启动web服务文件goahead ，#boa 是被注释掉的，boa 没有被启动 checksec&file查看文件信息文件为mips，未开启保护 我们使用ida打开goahead文件进行分析 我们着重关注 12if ( sub_423F90() < 0 ) return -1; 中的sub_423F90函数 管理界面初始化函数第14行 sub_416908("adm", 7, 3, ...

[[CVE]]Ubuntu18IDA9.1binwalk[[FirmAE]]固件下载[[firmwalker]] 固件仿真1binwalk -Me DIR825B1_FW210WWB01.bin MIPS架构32位大端序使用[[firmwalker]]进行扫描-root/sbin/httpd为web服务器 1sudo ./run.sh -d dlink DIR825B1_FW210WWB01.bin 使用FirmAE对其进行固件模拟 漏洞分析根据poc漏洞点在httpd文件中得get_ping_app_stat函数中 ping的值是通过sub_412E48函数中的ping_ipaddr进行获取直接赋值给全局变量，没有任何过滤可以对其进行命令注入后续ping的值经过 parse_special_char函数进行处理，parse_special_char是一个外部的函数我们继续进行搜索 12grep -r "parse_special_char" | grep "匹配到二进制文件"#在文件中进行搜索相关的文件 parse_...

[[CVE]] NETGEAR R7800 存在命令注入漏洞环境：Ubuntu 22 IDA 9.1 固件下载 FirmAE binwalk 固件仿真1binwalk -Me R7800-V1.0.2.62.zip 根据poc 漏洞存在于uhttpd文件中，我们使用qemu user mode 仿真对其进行仿真操作 123456/CVE-2020-11790/_R7800-V1.0.2.62.zip.extracted/_R7800-V1.0.2.62.img.extracted#cd 至此处sudo apt install qemu-user-static libc6-arm* libc6-dev-arm*cp `which qemu-arm-static` .sudo chroot . ./qemu-arm-static --strace ./usr/sbin/uhttpd -h /www -r R7800 -f -x /cgi-bin -t 80 -p 0.0.0.0:80 -C /etc/uhttpd.crt -K /etc/uhttpd.key -s 0.0.0.0...

固件下载连接1https://drivers.softpedia.com/dyn-postdownload.php/d27e8410d32cd9de63a3506c47ded1bc/61ff85c5/75eb7/4/1 虚拟机环境ubuntu 18 binwalk 解包1binwalk -Me US_AC15V1.0BR_V15.03.1.16_multi_TD01.rar 使用 qumu 启动 ./bin/httpd 进行固件模拟 1234打开到此处 _US_AC15V1.0BR_V15.03.1.16_multi_TD01.rar.extractedsudo apt install qemu-user-static libc6-arm* libc6-dev-arm*cp /usr/bin/qemu-arm-static .sudo chroot ./ ./qemu-arm-static ./bin/httpd 程序卡在了 Welcome to … 123使用ida打开/_US_AC15V1.0BR_V15.03.1.16_multi_TD01.r...

Stack SmashCanary保护，是在栈上插入一段随机数；进入函数后，也就是call完后会有push ebp，mov ebp，esp，最后来个mov esp。canary保护特殊在上述操作后会再加一个canary。最后函数leave ret前会检测一次，canary与原先值是否相同来判断是否被栈溢出覆盖返回地址了。 Stack Smash 就是利用 canary 检测的机制漏洞将栈上的__libc_argv[0] 内容将其输出 注意在libc2.23 后此机制无法使用1234567891011void __attribute__ ((noreturn)) __stack_chk_fail (void){ __fortify_fail ("stack smashing detected");}void __attribute__ ((noreturn)) internal_function __fortify_fail (const char *msg){ /* The loop is added only to keep...

tcache_perthread_struct 是GLIBC从2.27开始引入的机制，用于 add 有限的 chuank 数量，可以申请的 size 过小无法 free 到unsorted bin。 tcache的结构体定义12345typedef struct tcache_perthread_struct{ char counts[TCACHE_MAX_BINS]; tcache_entry *entries[TCACHE_MAX_BINS];} tcache_perthread_struct; tcache_perthread_struct 在本质上是一个 0x250-0x290的堆结构 1234567891011pwndbg> x/20gx 0x4050000x405000: 0x0000000000000000 0x00000000000002510x405010: 0x0000000000000000 0x00000000000000000x405020: 0x0000000000000000 0x00000000000000000...

固件地址：http://www.dlinktw.com.tw/techsupport/download.ashx?file=2663 环境 Ubuntu18，(22 在模拟固件时会有问题) FirmAE 下载12345678# 从GitHub克隆项目git clone --recursive https://github.com/pr0v3rbs/FirmAE# 运行download.sh脚本，下载相关程序./download.sh#运行安装脚本./install.sh binwalk 下载123pip3 install git+https://github.com/ReFirmLabs/binwalk.gitcd binwalkpython3 setup.py install CVE-2022-26258 固件模拟无法转发至宿主机，所以在 Ubuntu18 中安装 bp 进行操作 可以参考以下师傅的文章https://blog.csdn.net/dustbinhoj/article/details/128587565 使用binwalk 进行解包1binwalk -Me...

侧信道攻击是一种非正常的攻击手段，是根据程序的反馈报错信息来参考的一种攻击方式 原理是讲 flag 文件中的字符读取到缓冲区，将文件中的字符一个字节一个字节的对比 使用前提： 1-输入的 shellcode 能够被执行 2-程序禁用了execve系统调用，和关闭了标准输出流才用必要进行使用，因为爆破所需要的时间较长 3-read、open、openat、readv、fread 都可以被使用，但是一定要确保可以打开文件并且 read 读取到 4-标准错误不能被关闭，我们需要更具系统的反馈信息进行循环判定 侧信道攻击其实是比较模板化的，基本可以套用以下公式 12345678910111213141516171819202122232425mov r12, 0x67616c66 ; 将字符串 "flag" 的 ASCII 值加载到寄存器 r12 中push r12 ; 将 r12 的值推送到栈上mov rdi, rsp ; 将栈上的地址赋给寄存器 rdixor esi, esi ; 将 es...