IoT漏洞分析与利用：西湖论剑IOT-inkon题目解析<\/h1>

1. 题目环境概述<\/h2>

题目类型<\/strong>：IoT安全挑战<\/li>
提供内容<\/strong>：完整的镜像内核及启动脚本<\/li>

网络配置<\/strong>：

虚拟机与宿主机共用IP<\/li>
端口映射：80端口和2222端口<\/li> <\/ul> <\/li>
文件传输方式<\/strong>：可通过scp命令传输文件<\/li> <\/ul>
2. 漏洞定位与分析<\/h2>
2.1 关键文件位置<\/h3>
漏洞位于：cpio-root\/etc_ro\/lighttpd\/www\/cgi-bin\/login.cgi<\/code><\/p>
2.2 漏洞分析流程<\/h3> 跨站请求检查<\/strong>：<\/p> 检查HTTP_REFERER<\/code>字段不为空<\/li> 函数返回值为0时通过检查<\/li> <\/ul> <\/li> POST请求长度限制<\/strong>：<\/p> 长度不能超过0x1f3（499字节）<\/li> <\/ul> <\/li> 页面属性获取<\/strong>：<\/p> 从POST报文中获取page<\/code>属性值<\/li> 进行匹配检查<\/li> <\/ul> <\/li> 漏洞点<\/strong>：<\/p> 位于Goto_chidx<\/code>函数中<\/li> 再次匹配获取wlanUrl<\/code>的值<\/li> 使用sprintf<\/code>函数将值放入栈中<\/li> 栈空间仅0x80字节，而v6<\/code>值用户可控<\/li> 导致未授权访问和栈溢出漏洞<\/li> <\/ul> <\/li> <\/ol> 3. 漏洞利用技术<\/h2> 3.1 利用难点<\/h3> 跨站请求检查难以绕过（环境变量设置无效）<\/li> 直接启动环境发送报文是可行方案<\/li> <\/ul> 3.2 ROP链构造问题<\/h3> 尝试使用libc中的gadget遇到问题：使用system函数时，gp<\/code>寄存器变为不可写地址<\/li> 修改为可写地址后，gp<\/code>又变为0<\/li> <\/ul> <\/li> <\/ul> 3.3 替代方案<\/h3> 使用libwebutil<\/code>中的system函数获取shell<\/li> 需要伪造gp<\/code>寄存器值<\/li> 构造合理偏移跳转到do_system<\/code><\/li> <\/ul> 4. 调试方法<\/h2> 4.1 调试技巧<\/h3> 无限跳转法<\/strong>：用于卡住一闪而过的调用进程<\/li> 远程连接命令<\/strong>： gdb-multiarch -q login.cgi <\/span><\/span>target remote :1234 <\/span><\/span><\/code><\/pre><\/li> <\/ul> 5. 关键知识点总结<\/h2> 漏洞类型<\/strong>：<\/p> 栈溢出漏洞<\/li> 未授权访问漏洞<\/li> <\/ul> <\/li> 绕过技术<\/strong>：<\/p> 跨站请求检查绕过<\/li> 长度限制规避<\/li> <\/ul> <\/li> ROP利用技巧<\/strong>：<\/p> 当libc gadget不可用时，考虑其他so文件中的关键函数<\/li> 寄存器控制（特别是gp<\/code>寄存器）的重要性<\/li> <\/ul> <\/li> 调试技巧<\/strong>：<\/p> 处理短暂进程的方法<\/li> 远程调试技术<\/li> <\/ul> <\/li> <\/ol> 6. 漏洞利用流程总结<\/h2> 构造满足条件的POST请求：<\/p> 包含有效的HTTP_REFERER<\/code><\/li> 长度不超过499字节<\/li> 包含可控的wlanUrl<\/code>参数<\/li> <\/ul> <\/li> 利用栈溢出覆盖返回地址：<\/p> 精心构造payload<\/li> 考虑栈对齐和寄存器状态<\/li> <\/ul> <\/li> 跳转到libwebutil<\/code>中的do_system<\/code>：<\/p> 伪造必要的寄存器值<\/li> 确保执行流正确转移<\/li> <\/ul> <\/li> 获取shell：<\/p> 通过system函数执行命令<\/li> 建立反向连接或直接获取交互式shell<\/li> <\/ul> <\/li> <\/ol> 7. 学习要点<\/h2> IoT安全特点<\/strong>：<\/p> 常使用轻量级web服务器（如lighttpd）<\/li> CGI程序是常见攻击面<\/li> 资源受限环境下的漏洞利用<\/li> <\/ul> <\/li> MIPS架构利用<\/strong>：<\/p> gp寄存器的特殊作用<\/li> 调用约定与x86的区别<\/li> 分支延迟槽的影响<\/li> <\/ul> <\/li> 防御绕过技术<\/strong>：<\/p> 各种安全检查的绕过方法<\/li> 环境限制下的利用技巧<\/li> <\/ul> <\/li> 调试与分析工具<\/strong>：<\/p> GDB多架构调试<\/li> 静态分析工具的使用<\/li> 动态调试技巧<\/li> <\/ul> <\/li> <\/ol> 通过深入理解这个题目的分析和利用过程，可以掌握IoT设备中常见的web接口漏洞挖掘和利用技术，特别是MIPS架构下的ROP构造和寄存器控制技巧。<\/p>

IoT漏洞分析与利用：西湖论剑IOT-inkon题目解析<\/h1>

2. 漏洞定位与分析<\/h2>

2.1 关键文件位置<\/h3> 漏洞位于：cpio-root\/etc_ro\/lighttpd\/www\/cgi-bin\/login.cgi<\/code><\/p>

3. 漏洞利用技术<\/h2>

4. 调试方法<\/h2>

2.1 关键文件位置<\/h3>
漏洞位于：`cpio-root\/etc_ro\/lighttpd\/www\/cgi-bin\/login.cgi<\/code><\/p>`