DIR-815 栈溢出漏洞分析与复现指南<\/h1>

1. 漏洞概述<\/h2>
DIR-815路由器中的`hedwig.cgi<\/code>组件存在栈溢出漏洞，该漏洞位于\/htdocs\/web\/hedwig.cgi<\/code>（实际是\/htdocs\/cgibin<\/code>的软链接）中。漏洞源于sess_get_uid<\/code>函数处理用户可控的cookie值时，使用sprintf<\/code>进行格式化输出时未进行长度检查，导致栈缓冲区溢出。<\/p>`

2. 环境准备<\/h2>
2.1 复现环境<\/h3>

操作系统：Ubuntu 22.04 TLS<\/li>
工具需求：

binwalk（固件分离）<\/li>
IDA Pro（逆向分析）<\/li>
QEMU（用户模式和系统模式模拟）<\/li>
gdb-multiarch（调试）<\/li>
<\/ul>
<\/li>
<\/ul>
2.2 固件分析<\/h3>

使用binwalk分离固件：
binwalk -Me DIR815_FIRMWARE.bin
<\/code><\/pre>
<\/li>
定位漏洞文件：

\/htdocs\/web\/hedwig.cgi<\/code> → 软链接到\/htdocs\/cgibin<\/code><\/li>
对cgibin<\/code>进行逆向分析<\/li>
<\/ul>
<\/li>
<\/ol>
3. 漏洞分析<\/h2>
3.1 漏洞触发路径<\/h3>

请求方式：POST请求<\/li>
关键函数调用链：
main → hedwigcgi_main → cgibin_parse_request → sess_get_uid
<\/code><\/pre>
<\/li>
<\/ol>
3.2 关键漏洞点<\/h3>


sess_get_uid<\/code>函数：<\/p>

从环境变量获取cookie值<\/li>
解析格式：uid=用户可控值<\/code><\/li>
对=<\/code>后的值(v4)进行sprintf<\/code>格式化输出到固定大小(0x400)的栈缓冲区<\/li>
<\/ul>
<\/li>

溢出条件：<\/p>

用户可控的v4长度超过0x400字节<\/li>
绕过两个关键检查：

\/var\/tmp\/<\/code>目录存在<\/li>
POST请求内容不为空<\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>
<\/ol>
3.3 绕过检查<\/h3>

目录检查：

在测试环境中创建\/var\/tmp\/<\/code>目录<\/li>
<\/ul>
<\/li>
POST内容检查：

确保POST请求包含有效内容<\/li>
使用application\/x-www-form-urlencoded<\/code>格式<\/li>
<\/ul>
<\/li>
<\/ol>
4. MIPS架构特性<\/h2>
4.1 函数调用约定<\/h3>

非叶子函数：返回地址保存在栈中<\/li>
叶子函数：返回地址保存在$ra<\/code>寄存器<\/li>
参数传递：

前4个参数：$a0<\/code>-$a3<\/code><\/li>
额外参数：通过栈传递<\/li>
<\/ul>
<\/li>
<\/ul>
4.2 分支延迟槽<\/h3>

MIPS的流水线效应导致跳转指令的下一条指令会先执行<\/li>
例如：
jalr $t9
move $a2, $t2  # 这条指令会在跳转前执行
<\/code><\/pre>
<\/li>
<\/ul>
5. 漏洞利用<\/h2>
5.1 偏移计算<\/h3>

使用cyclic模式确定偏移：

发送cyclic长度为0x1000的payload<\/li>
通过gdb查看崩溃时的PC值<\/li>
计算偏移：cyclic -l [PC值]<\/code> → 结果为1009字节<\/li>
<\/ul>
<\/li>
<\/ol>
5.2 ROP链构造<\/h3>


寻找gadget的注意事项：<\/p>

避免包含\x00<\/code>字节（会被sprintf<\/code>截断）<\/li>
常用gadget类型：

寄存器控制：move $a0, $sX<\/code><\/li>
栈控制：lw $a0, X($sp)<\/code><\/li>
系统调用：jalr $t9<\/code><\/li>
<\/ul>
<\/li>
<\/ul>
<\/li>

libc基地址定位：<\/p>

通过memest<\/code>等函数的GOT表项确定<\/li>
用户模式下使用vmmap<\/code>查看<\/li>
系统模式下使用gdbserver附加调试<\/li>
<\/ul>
<\/li>

system函数处理：<\/p>

直接地址可能包含\x00<\/code> → 使用system-1<\/code>地址配合加1gadget<\/li>
<\/ul>
<\/li>
<\/ol>
6. 复现方法<\/h2>
6.1 用户模式复现<\/h3>

使用QEMU用户模式模拟：
qemu-mipsel -L .\/extracted_fs .\/htdocs\/cgibin
<\/code><\/pre>
<\/li>
发送精心构造的HTTP请求：

包含超长cookie值（uid=AAAA...<\/code>）<\/li>
确保POST方法和内容正确<\/li>
<\/ul>
<\/li>
<\/ol>
6.2 系统模式复现<\/h3>


准备环境：<\/p>

下载Debian MIPS镜像和内核<\/li>
配置网络桥接：
sysctl -w net.ipv4.ip_forward=1
apt-get install bridge-utils uml-utilities
<\/code><\/pre>
<\/li>
<\/ul>
<\/li>

启动脚本示例：<\/p>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>qemu-system-mipsel -M malta -kernel vmlinux-3.2.0-4-4kc-malta \
<\/span><\/span><\/span><\/span>-hda debian_squeeze_mipsel_standard.qcow2 \
<\/span><\/span><\/span><\/span>-append "root=\/dev\/sda1 console=tty0"<\/span> \
<\/span><\/span><\/span><\/span>-net nic -net tap,ifname=<\/span>tap0,script=<\/span>no,downscript=<\/span>no \
<\/span><\/span><\/span><\/span>-nographic
<\/span><\/span><\/code><\/pre><\/li>

文件传输：<\/p>
scp -o HostkeyAlgorithms=ssh-rsa payload root@qemu_ip:\/tmp
<\/code><\/pre>
<\/li>

HTTP服务启动：<\/p>

在QEMU虚拟机中启动web服务<\/li>
从外部发送恶意请求<\/li>
<\/ul>
<\/li>
<\/ol>
7. 参考资源<\/h2>

原始漏洞报告和分析<\/li>
MIPS架构手册<\/li>
QEMU模拟器文档<\/li>
相关安全社区讨论（看雪、先知等）<\/li>
<\/ol>
8. 注意事项<\/h2>

调试时注意MIPS架构特性<\/li>
确保测试环境隔离<\/li>
真实设备测试需获得授权<\/li>
注意不同固件版本间的差异<\/li>
<\/ol>
通过以上步骤，可以完整复现DIR-815路由器的栈溢出漏洞，并深入理解MIPS架构下的漏洞利用技术。<\/p>