作者:庄周恋蝶蝶恋花
固件信息
TOTOLINK:A860R V4.1.2cu.5182_B20201027
如需下载链接请在文末跳转原文
开始挖掘
思路
拿到固件第一时间分析固件结构
固件web服务器是lighttpd,但经过简单的判断和分析,处理前端传递的数据主要由cgi-bin/中的各个cgi组件去处理的,所以我的思路就放在了去对这些各个.cgi文件去进行代码分析
►►►
infostat.cgi
查看main函数:
可以看到,该cgi文件先接收了前端通过post传递过来的数据,
然后通过strtol函数去进行处理。然后将处理后的长整数字符赋值到了v9,然后通过fread从v9里面读取数据到v11,但是没有限制数据的长度
—-所以这里存在一个缓冲区溢出漏洞—-
注:如果不明白getenv(‘CONTENT_LENGTH’)为什么是接收post传递的数据,推荐可以去学习一下简单的cgi开发,能帮助自己理解代码即可,这里我放一个之前找的一个getenv参数记录的网站
https://www.cnblogs.com/ser0632/p/5498228.html
后注:该cgi经过审计没找到其它的漏洞,所以,换!
►►►
downloadFlile.cgi
依旧是main函数:
同样的简单的代码审计
v14获取前端通过 get方式传递过来的数据,然后直接拼接到了v24 然后用system()去直接运行了命令
这是很明显的命令执行,但是该漏洞已被提交,没关系我们继续往下看
v3=strchr(v14,’=’) (这个等号按r转换一下就行)该行获取get传参的方式中“=”后面数据然后赋值到了v3,然后通过strcpy(v25, v3 + 1);直接复制到了v25
—-这里存在一个缓冲区溢出漏洞—-
用v3+1是为了去除掉这个’=’号,
然后通过strtok去分割了 url中的”/“数据,然后又直接通过strcpy复制到了v26,
(初次判断这里应该是处理url中的目录文件)
—-这里同样也是一个缓冲区溢出漏洞—-
然后程序在经过多次的分割”/“后的数据,将数据复制到了v27中(这个洞不管了太多了)
然后通过
sprintf(v24, “echo appId:%s versionId:%s path:%s fileName:%s >>/tmp/download”, v26, v27, (const char *)v8, v20);
这行函数将数据复制到了v24数组中,然后再一次的直接用system去执行
—-这里又是一个明显的命令执行—-
所以该函数经过简单审计后截图如下
老样子 没看到别的洞 换!
►►►
cstecgi.cgi
依旧是老朋友 main函数
代码逻辑同样比较简单
v26获取了程序通过post方式传递过来的数据,然后经过strtol处理后赋值给了v31
然后有直接将sprintf复制到了v32数组
然后直接system去执行命令
—-这里存在一个命令注入—-
(能直接shell谁还看缓冲区溢出呀)
然后第51行程序获取了通过get方式传递的数据
然后通过下面这个if语句
if ( v28 && (v27 = strstr(v28, “CSAuthUrl=”)) != 0 )
获取CSAuthUrl=后的数据,所以这里的参数就是CSAuthUrl,然后再下一行通过sprintf直接拼接复制到了v33里面
—-这里存在一个缓冲区溢出—-
然后该cgi没看到其它较为明显的漏洞
该型号路由器简单的代码审计就此结束,复现poc就不发出来了(开摆!),上述提到的漏洞已接连上报
可以看到totolink路由器有些型号的路由器代码逻辑简单,且安全性来说较为适合新手去挖,唯一缺点,totolink环境模拟较为复杂,通过qemu去模拟的环境需要自己去hook,所以推荐购买真机去进行漏洞挖掘和代码审计
本文水平较低,仅帮助iot新手去过渡iot的漏洞挖掘,欢迎师傅找我一起学习,一起进步
点击文末“阅读原文”跳转社区
原文始发于微信公众号(IOTsec Zone):记一次对totolink A860R 的简单的漏洞挖掘
