CVE-2018-16333漏洞分析与利用教程<\/h1>

1. 漏洞概述<\/h2>
CVE-2018-16333是一个基于栈溢出的漏洞，存在于某IoT设备的web服务中。漏洞成因是web服务在处理POST请求时，对ssid参数直接复制到栈上的局部变量中，且没有进行长度限制，导致栈溢出。<\/p>

2. 漏洞定位<\/h2>

漏洞位于form_fast_setting_wifi_set<\/code>函数中，关键问题点：<\/p>


程序获取ssid参数后，未经检查直接使用strcpy<\/code>函数复制到栈变量<\/li>
存在两个连续的strcpy<\/code>操作，增加了利用复杂度<\/li>
<\/ul>
3. 漏洞分析<\/h2>
3.1 漏洞代码分析<\/h3>
IDA反汇编显示的关键伪代码：<\/p>
char<\/span> s[64<\/span>];          \/\/ [sp+200h] [bp-7Ch] BYREF
<\/span><\/span><\/span><\/span>char<\/span> dest[64<\/span>];       \/\/ [sp+1C0h] [bp-BCh] BYREF
<\/span><\/span><\/span><\/span>char<\/span> *<\/span>src;           \/\/ [sp+260h] [bp-1Ch]
<\/span><\/span><\/span><\/code><\/pre>3.2 栈布局分析<\/h3>
通过pwndbg调试获取的栈结构：<\/p>

char s<\/code>偏移量：0x7C (从栈帧基址FP向低地址方向偏移124字节)<\/li>
src<\/code>指针偏移量：0x1C (从栈帧基址FP向低地址方向偏移28字节)<\/li>
dest<\/code>偏移量：0xBC (从栈帧基址FP向低地址方向偏移188字节)<\/li>
<\/ul>
3.3 关键偏移量计算<\/h3>

src<\/code>距离返回地址：0x20 (32字节)<\/li>
char s<\/code>到src<\/code>的偏移量：0x60 (96字节)<\/li>
dest<\/code>到返回地址的距离：0xC0 (192字节)<\/li>
<\/ul>
4. 利用难点<\/h2>
由于存在两个strcpy<\/code>操作：<\/p>

第一次strcpy(s, src)<\/code>会覆盖src<\/code>指针<\/li>
第二次strcpy(dest, src)<\/code>使用被覆盖的src<\/code>指针<\/li>
<\/ol>
因此需要精心构造payload，确保：<\/p>

第一次溢出后src<\/code>指向一个可读地址<\/li>
第二次strcpy<\/code>不会导致程序崩溃<\/li>
最终能控制程序执行流<\/li>
<\/ol>
5. 利用过程<\/h2>
5.1 利用链设计<\/h3>


第一次strcpy(s, src)<\/strong>:<\/p>

目标：覆盖src<\/code>指针，使其指向可控地址<\/li>
填充长度：96字节（char s<\/code>到src<\/code>的距离）<\/li>
最后4字节：写入一个可读地址<\/li>
<\/ul>
<\/li>

第二次strcpy(dest, src)<\/strong>:<\/p>

通过被篡改的src<\/code>指针，向dest<\/code>写入ROP链<\/li>
需要覆盖返回地址，距离为32字节<\/li>
实际填充：24字节（32-4-4，减去可读地址和返回地址本身）<\/li>
<\/ul>
<\/li>
<\/ol>
5.2 关键地址获取<\/h3>


libc基址计算<\/strong>：<\/p>

通过内存映射获取libc基址：0x3fdd1cd4<\/li>
使用IDA打开libc.so.0，计算函数偏移量<\/li>
<\/ul>
<\/li>

关键函数地址<\/strong>：<\/p>

system<\/code>函数偏移量：0x5A270<\/li>
puts<\/code>函数偏移量：0x35CD4<\/li>
<\/ul>
<\/li>

Gadget查找<\/strong>：<\/p>

gadget1<\/strong>: pop {r3, pc}<\/code> (地址: 0x00018298)

功能：从栈顶弹出两个值，分别存入r3和pc<\/li>
用途：控制r3寄存器的值并跳转<\/li>
<\/ul>
<\/li>
gadget2<\/strong>: mov r0, sp ; blx r3<\/code> (地址: 0x00040cb8)

功能：将栈指针sp的值赋给r0，然后跳转到r3<\/li>
用途：传递参数并触发system()<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
5.3 ARM调用约定<\/h3>

第一个参数通过r0传递<\/li>
函数地址通常通过blx r3<\/code>跳转（r3存储目标地址）<\/li>
关键寄存器：

r0：传递函数第一个参数<\/li>
r3：暂存函数地址<\/li>
pc：程序计数器，控制执行流<\/li>
<\/ul>
<\/li>
<\/ul>
5.4 Payload构造<\/h3>
完整payload结构：<\/p>

前96字节：填充数据<\/li>
可读地址（4字节）<\/li>
24字节填充（"bbbb"）<\/li>
ROP链：

pop_r3地址（libc_base + 0x18298）<\/li>
system函数地址（libc_base + 0x5A270）<\/li>
mov_r0_ret_r3地址（libc_base + 0x40cb8）<\/li>
<\/ul>
<\/li>
要执行的命令字符串<\/li>
<\/ol>
6. 调试验证<\/h2>
调试关键点：<\/p>

在第一个strcpy<\/code>函数前打断点（0x67070）<\/li>
在第二个strcpy<\/code>函数前打断点（0x67080）<\/li>
观察寄存器状态：

R0：函数第一个参数<\/li>
R11(FP)：当前栈帧基址<\/li>
SP：当前栈顶<\/li>
PC：下一条指令地址<\/li>
<\/ul>
<\/li>
<\/ol>
验证栈空间：<\/p>

从R0(0x408001e8)到0x40800248应被"aaaa"覆盖<\/li>
0x40800248地址应指向libc可读地址<\/li>
ROP链应正确布置在栈帧基址开始的位置<\/li>
<\/ul>
7. 利用脚本注意事项<\/h2>

请求需要重复发送两次（程序可能不稳定）
response =<\/span> requests.<\/span>post(url, cookies=<\/span>cookie, data=<\/span>data)
<\/span><\/span>response =<\/span> requests.<\/span>post(url, cookies=<\/span>cookie, data=<\/span>data)
<\/span><\/span><\/code><\/pre><\/li>
ARM架构为小端序，注意字节顺序<\/li>
每个寄存器占用4字节，注意对齐<\/li>
<\/ol>
8. 总结<\/h2>
本漏洞利用的关键技术点：<\/p>

精确计算栈偏移量<\/li>
处理两次strcpy<\/code>的相互影响<\/li>
ARM架构下的ROP链构造<\/li>
寄存器控制和参数传递<\/li>
利用strcpy<\/code>实现内存写操作<\/li>
<\/ol>
通过精心构造的payload，最终可以实现任意命令执行，完成RCE（远程代码执行）。<\/p>

CVE-2018-16333漏洞分析与利用教程<\/h1>

1. 漏洞概述<\/h2> CVE-2018-16333是一个基于栈溢出的漏洞，存在于某IoT设备的web服务中。漏洞成因是web服务在处理POST请求时，对ssid参数直接复制到栈上的局部变量中，且没有进行长度限制，导致栈溢出。<\/p>

3. 漏洞分析<\/h2>

5. 利用过程<\/h2>

1. 漏洞概述<\/h2>
CVE-2018-16333是一个基于栈溢出的漏洞，存在于某IoT设备的web服务中。漏洞成因是web服务在处理POST请求时，对ssid参数直接复制到栈上的局部变量中，且没有进行长度限制，导致栈溢出。<\/p>