DIR-815栈溢出漏洞复现与分析<\/h1>

1. 漏洞概述<\/h2>
D-Link DIR-815路由器存在一个栈溢出漏洞(CNVD-2013-11625)，该漏洞存在于hedwig.cgi组件中，影响DIR-815\/300\/600\/645等多个型号。漏洞源于对Cookie中uid参数的处理不当，导致可以触发栈溢出并最终实现远程代码执行。<\/p>

2. 环境准备<\/h2>

2.1 工具准备<\/h3>

固件分析工具<\/strong>:<\/p>

binwalk: 用于固件解包<\/li>
IDA Pro 9.0: 用于逆向分析<\/li>
MIPSROP插件: 用于查找ROP gadget<\/li> <\/ul> <\/li>

调试工具<\/strong>:<\/p>

qemu: 用于模拟MIPS环境<\/li>
gdb-multiarch: 用于调试<\/li>
gdbserver: 用于远程调试<\/li> <\/ul> <\/li> <\/ul>
2.2 固件获取与解包<\/h3>
binwalk -Me DIR815_firmware.bin <\/span><\/span><\/code><\/pre>解包后会得到squashfs-root目录，其中包含路由器的文件系统。<\/p> 3. 漏洞分析<\/h2> 3.1 漏洞定位<\/h3> 漏洞位于\/htdocs\/cgibin<\/code>二进制文件中的hedwig.cgi<\/code>组件。通过分析发现：<\/p> 程序通过getenv<\/code>检查环境变量<\/li> 检查是否为POST请求<\/li> 调用cgibin_parse_request<\/code>函数处理请求<\/li> <\/ol> 3.2 关键漏洞点<\/h3> 漏洞核心在sess_get_uid<\/code>函数中：<\/p> 获取HTTP_COOKIE环境变量<\/li> 检查cookie名是否为"uid"<\/li> 提取"uid="后的内容到缓冲区<\/li> 缓冲区大小仅0x400字节，但未做长度限制<\/li> <\/ol> 3.3 利用条件<\/h3> 成功利用需要满足两个条件：<\/p> \/var\/tmp\/temp.xml<\/code>文件存在<\/li> haystack<\/code>指针不为NULL<\/li> <\/ol> 4. 漏洞利用<\/h2> 4.1 利用思路<\/h3> 通过构造超长uid参数触发栈溢出<\/li> 控制程序执行流<\/li> 需要确保程序能正常执行到ROP链<\/li> <\/ol> 4.2 两种利用方式<\/h3> 方式一：设置CONTENT_TYPE<\/h4> CONTENT_TYPE=application\/x-www-form-urlencoded <\/span><\/span><\/span><\/code><\/pre>这种方式会：<\/p> 使sub_409A6C<\/code>处理请求数据<\/li> 确保haystack<\/code>不为空<\/li> 需要设置REQUEST_URI和CONTENT_LENGTH环境变量<\/li> <\/ol> 方式二：任意CONTENT_TYPE<\/h4> 只需设置POST传参，其他参数无需控制：<\/p> 避免进入sub_402FFC<\/code><\/li> 最终进入sub_403794<\/code>->cgibin_print_http_status<\/code><\/li> 栈溢出偏移不同但同样可利用<\/li> <\/ol> 4.3 ROP链构造<\/h3> 使用MIPSROP插件查找合适的gadget，考虑：<\/p> 寄存器控制<\/li> 栈布局<\/li> 系统调用构造<\/li> <\/ol> 5. 复现环境搭建<\/h2> 5.1 QEMU用户态模拟<\/h3> # 启动调试<\/span> <\/span><\/span>cyclic 2000<\/span> > payload <\/span><\/span>gdb-multiarch -x mygdb.sh <\/span><\/span><\/code><\/pre>5.2 QEMU系统态模拟<\/h3> 步骤1：下载内核和镜像<\/h4> 从Index of \/~aurel32\/qemu\/mipsel<\/code>获取<\/p> 步骤2：创建网桥<\/h4> 安装依赖：<\/li> <\/ol> apt-get install bridge-utils uml-utilities <\/span><\/span><\/code><\/pre> 修改网络配置：<\/li> <\/ol> sudo cp \/etc\/network\/interfaces \/etc\/network\/interfaces.brk <\/span><\/span>sudo vim \/etc\/network\/interfaces <\/span><\/span><\/code><\/pre> 创建\/etc\/qemu-ifup<\/code>并添加内容：<\/li> <\/ol> #!\/bin\/sh <\/span><\/span><\/span><\/span>echo "Executing \/etc\/qemu-ifup"<\/span> <\/span><\/span>echo "Bringing <\/span>$1 for bridged mode..."<\/span> <\/span><\/span>\/sbin\/ifconfig $1 0.0.0.0 promisc up <\/span><\/span>echo "Adding <\/span>$1 to br0..."<\/span> <\/span><\/span>\/usr\/sbin\/brctl addif br0 $1 <\/span><\/span>sleep 2<\/span> <\/span><\/span><\/code><\/pre> 创建\/etc\/qemu\/bridge.conf<\/code>：<\/li> <\/ol> allow br0 <\/code><\/pre> 重启系统<\/li> <\/ol> 步骤3：配置QEMU网络<\/h4> 修改\/etc\/network\/interfaces<\/code>，将eth0改为eth1<\/li> 启用接口：<\/li> <\/ol> ifup eth1 <\/span><\/span><\/code><\/pre> 检查网络连通性<\/li> <\/ol> 步骤4：启动环境<\/h4> 将squashfs-root<\/code>传到QEMU虚拟机的\/root<\/code>目录<\/li> 创建http_conf<\/code>文件启动HTTP服务<\/li> <\/ol> 6. 漏洞复现<\/h2> 6.1 本地调试<\/h3> 使用gdbserver在QEMU中启动服务：<\/li> <\/ol> .\/gdbserver.mipsel 0.0.0.0:1234 .\/htdocs\/web\/cgibin <\/span><\/span><\/code><\/pre> 使用gdb-multiarch连接调试<\/li> <\/ol> 6.2 远程攻击<\/h3> 方法一：上传payload<\/h4> 生成payload<\/li> 通过scp上传到QEMU虚拟机<\/li> 设置环境变量触发漏洞<\/li> <\/ol> 方法二：发送HTTP报文<\/h4> 构造恶意HTTP请求，包含超长uid cookie触发漏洞<\/p> 7. 参考链接<\/h2> DIR-815 栈溢出漏洞(CNVD-2013-11625)复现-先知社区<\/a><\/li> 从零到一:复现 DIR-815 栈溢出漏洞<\/a><\/li> [D-Link DIR-815路由器溢出漏洞分析](ZIKH26's Blog)<\/li> <\/ol> 8. 注意事项<\/h2> 退出仿真环境时执行fini.sh<\/code>脚本，避免下次启动问题<\/li> 若忘记退出导致问题，需重新下载内核和镜像<\/li> 虚拟桥接网络可保持开启，如需关闭需重新配置<\/li> <\/ol>

DIR-815栈溢出漏洞复现与分析<\/h1>

1. 漏洞概述<\/h2>
D-Link DIR-815路由器存在一个栈溢出漏洞(CNVD-2013-11625)，该漏洞存在于hedwig.cgi组件中，影响DIR-815\/300\/600\/645等多个型号。漏洞源于对Cookie中uid参数的处理不当，导致可以触发栈溢出并最终实现远程代码执行。<\/p>

2. 环境准备<\/h2>

3. 漏洞分析<\/h2>

4. 漏洞利用<\/h2>

4.2 两种利用方式<\/h3>

5. 复现环境搭建<\/h2>

5.2 QEMU系统态模拟<\/h3>

步骤1：下载内核和镜像<\/h4>
从`Index of \/~aurel32\/qemu\/mipsel<\/code>获取<\/p>`

6. 漏洞复现<\/h2>

6.2 远程攻击<\/h3>

方法二：发送HTTP报文<\/h4>
构造恶意HTTP请求，包含超长uid cookie触发漏洞<\/p>

8. 注意事项<\/h2>

退出仿真环境时执行`fini.sh<\/code>脚本，避免下次启动问题<\/li>`
`若忘记退出导致问题，需重新下载内核和镜像<\/li>`
`虚拟桥接网络可保持开启，如需关闭需重新配置<\/li> <\/ol>`

DIR-815栈溢出漏洞复现与分析<\/h1>

1. 漏洞概述<\/h2> D-Link DIR-815路由器存在一个栈溢出漏洞(CNVD-2013-11625)，该漏洞存在于hedwig.cgi组件中，影响DIR-815\/300\/600\/645等多个型号。漏洞源于对Cookie中uid参数的处理不当，导致可以触发栈溢出并最终实现远程代码执行。<\/p>

2. 环境准备<\/h2>

3. 漏洞分析<\/h2>

4. 漏洞利用<\/h2>

4.2 两种利用方式<\/h3>

5. 复现环境搭建<\/h2>

5.2 QEMU系统态模拟<\/h3>

步骤1：下载内核和镜像<\/h4> 从Index of \/~aurel32\/qemu\/mipsel<\/code>获取<\/p>

6. 漏洞复现<\/h2>

6.2 远程攻击<\/h3>

方法二：发送HTTP报文<\/h4> 构造恶意HTTP请求，包含超长uid cookie触发漏洞<\/p>

8. 注意事项<\/h2> 退出仿真环境时执行fini.sh<\/code>脚本，避免下次启动问题<\/li> 若忘记退出导致问题，需重新下载内核和镜像<\/li> 虚拟桥接网络可保持开启，如需关闭需重新配置<\/li> <\/ol>

1. 漏洞概述<\/h2>
D-Link DIR-815路由器存在一个栈溢出漏洞(CNVD-2013-11625)，该漏洞存在于hedwig.cgi组件中，影响DIR-815\/300\/600\/645等多个型号。漏洞源于对Cookie中uid参数的处理不当，导致可以触发栈溢出并最终实现远程代码执行。<\/p>

步骤1：下载内核和镜像<\/h4>
从`Index of \/~aurel32\/qemu\/mipsel<\/code>获取<\/p>`

方法二：发送HTTP报文<\/h4>
构造恶意HTTP请求，包含超长uid cookie触发漏洞<\/p>

8. 注意事项<\/h2>

退出仿真环境时执行`fini.sh<\/code>脚本，避免下次启动问题<\/li>`
`若忘记退出导致问题，需重新下载内核和镜像<\/li>`
`虚拟桥接网络可保持开启，如需关闭需重新配置<\/li> <\/ol>`