Tenda AC15栈溢出漏洞(CVE-2018-18708)分析与利用<\/h1>

1. 漏洞概述<\/h2>

CVE-2018-18708是影响多款Tenda产品的HTTP服务(httpd)中的缓冲区溢出漏洞。攻击者可以利用该漏洞造成拒绝服务或通过覆盖函数返回地址实现代码执行。<\/p>

受影响产品及版本<\/strong>:<\/p>

Tenda AC7 V15.03.06.44_CN<\/li>
AC9 V15.03.05.19(6318) CN<\/li>
AC10 V15.03.06.23_CN<\/li>
AC15 V15.03.05.19_CN<\/li>
AC18 V15.03.05.19(6318) CN<\/li> <\/ul>
2. 环境搭建<\/h2>
2.1 固件获取<\/h3>
从Tenda官网下载固件: https:\/\/www.tenda.com.cn\/material<\/p>
2.2 固件解包<\/h3>
使用binwalk分离固件:<\/p>
binwalk -Me firmware.bin <\/span><\/span><\/code><\/pre>2.3 QEMU仿真准备<\/h3> 将qemu-arm-static<\/code>复制到squashfs-root<\/code>目录<\/li> 运行测试:<\/li> <\/ol> chroot . .\/qemu-arm-static .\/bin\/httpd <\/span><\/span><\/code><\/pre>2.4 环境修复<\/h3> 网络检查函数patch<\/strong>:<\/p> 修改相关函数为mov r3,#1<\/code>绕过网络检查<\/li> 替换httpd并修改权限<\/li> <\/ul> <\/li> 页面显示问题<\/strong>:<\/p> 将webroot_ro<\/code>重命名为webroot<\/code>解决页面无法显示问题<\/li> <\/ul> <\/li> <\/ol> 3. 漏洞分析<\/h2> 3.1 函数调用流程<\/h3> sub_2E420(main) -> sub_2E9EC() -> sub_42378() -> formSetMacFilterCfg -> sub_C14DC -> sub_C17A0 -> sub_C24C0 <\/code><\/pre> 3.2 关键漏洞点<\/h3> formSetMacFilterCfg<\/code>函数中存在漏洞<\/li> 触发点在sub_C24C0<\/code>中的strcpy<\/code>操作<\/li> <\/ol> 3.3 参数传递<\/h3> s2_1<\/code>和s2<\/code>通过sub_2BA8C<\/code>(实际为websGetVar()<\/code>)获取 s2_1<\/code>: macFilterType<\/code>参数<\/li> s2<\/code>: deviceList<\/code>参数<\/li> <\/ul> <\/li> <\/ul> 3.4 漏洞触发条件<\/h3> sub_C10D0(s2_1)<\/code>检查macFilterType<\/code>参数:<\/p> 必须为"black"或"white"<\/li> 返回0才会进入后续流程<\/li> <\/ul> <\/li> v19 = sub_C14DC(v18, v17)<\/code>:<\/p> v18<\/code>: macFilterType<\/code>(固定值)<\/li> v17<\/code>: deviceList<\/code>(可控输入)<\/li> <\/ul> <\/li> strcpy<\/code>将s<\/code>复制到src+32<\/code>处:<\/p> 无长度限制导致缓冲区溢出<\/li> 可覆盖返回地址<\/li> <\/ul> <\/li> <\/ol> 4. 漏洞利用<\/h2> 4.1 测试偏移量<\/h3> 使用cyclic<\/code>模式测试<\/li> 可能需要多次发送(Tenda设备的常见问题)<\/li> 确定偏移量为176字节<\/li> <\/ol> 4.2 计算libc基址<\/h3> 在puts<\/code>函数下断点获取其地址<\/li> 计算: libc_base = puts_address - 0x35CD4 <\/code><\/pre> <\/li> <\/ol> 4.3 ARM架构关键知识<\/h3> 寄存器用途<\/strong>:<\/p> r0<\/code>: 传递函数第一个参数<\/li> r3<\/code>: 通用寄存器<\/li> pc<\/code>: 程序计数器<\/li> <\/ul> <\/li> CPSR的T位<\/strong>:<\/p> 决定CPU执行模式<\/li> T=0: ARM指令(4字节对齐)<\/li> T=1: Thumb指令(2字节对齐)<\/li> 跳转到Thumb指令时地址需为奇数(如0xdeadbeef | 1)<\/li> <\/ul> <\/li> <\/ol> 4.4 ROP链构造<\/h3> gadget1<\/strong>:<\/p> 将r3<\/code>传入system<\/code><\/li> 将pc<\/code>传入gadget2<\/code><\/li> <\/ul> <\/li> gadget2<\/strong>:<\/p> ROP链最后添加\/bin\/sh<\/code>字符串<\/li> sp<\/code>指向\/bin\/sh<\/code>字符串<\/li> sp<\/code>赋给r0<\/code>(第一个参数)<\/li> r3<\/code>为system<\/code>地址<\/li> 最终执行system("\/bin\/sh")<\/code><\/li> <\/ul> <\/li> <\/ol> 5. POC构造<\/h2> (具体POC代码略，参考原文中的成功利用示例)<\/p> 6. 总结<\/h2> Tenda系列产品的栈溢出漏洞具有通用性<\/li> 关键点在于: 环境搭建与修复<\/li> 函数调用流程分析<\/li> 可控输入点定位<\/li> ARM架构下的ROP构造技巧<\/li> <\/ul> <\/li> 类似漏洞可参考Tenda AC9(CVE-2018-18708)的分析<\/li> <\/ol> 7. 扩展学习<\/h2> 其他Tenda设备漏洞复现<\/li> ARM架构下的漏洞利用技术<\/li> 嵌入式设备固件分析方法<\/li> QEMU仿真与调试技巧<\/li> <\/ol>

Tenda AC15栈溢出漏洞(CVE-2018-18708)分析与利用<\/h1>

2. 环境搭建<\/h2>

2.1 固件获取<\/h3> 从Tenda官网下载固件: https:\/\/www.tenda.com.cn\/material<\/p>

3. 漏洞分析<\/h2>

4. 漏洞利用<\/h2>

5. POC构造<\/h2> (具体POC代码略，参考原文中的成功利用示例)<\/p>

7. 扩展学习<\/h2> 其他Tenda设备漏洞复现<\/li> ARM架构下的漏洞利用技术<\/li> 嵌入式设备固件分析方法<\/li> QEMU仿真与调试技巧<\/li> <\/ol>

2.1 固件获取<\/h3>
从Tenda官网下载固件: https:\/\/www.tenda.com.cn\/material<\/p>

5. POC构造<\/h2>
(具体POC代码略，参考原文中的成功利用示例)<\/p>

7. 扩展学习<\/h2>

其他Tenda设备漏洞复现<\/li>
ARM架构下的漏洞利用技术<\/li>
嵌入式设备固件分析方法<\/li>
QEMU仿真与调试技巧<\/li> <\/ol>