Synology TC500 智能摄像头格式化字符串漏洞分析与利用教学<\/h1>

1. 漏洞概述<\/h2>
本教学文档详细分析Synology TC500智能摄像头中发现的格式化字符串漏洞，该漏洞存在于webd服务的线程名称设置功能中，可导致远程代码执行。<\/p>

2. 环境准备<\/h2>

2.1 固件获取与解压<\/h3>

固件下载地址：https:\/\/archive.synology.com\/download\/Firmware\/Camera\/TC500<\/li>

解压参考：https:\/\/blog.compass-security.com\/2024\/03\/pwn2own-toronto-2023-part-1-how-it-all-started\/<\/li> <\/ul>

2.2 模拟环境搭建<\/h3>

使用user-mode模拟或Docker环境搭建<\/li>

参考第六届Real World CTF的类似设置<\/li> <\/ul>

3. 目标分析<\/h2>

3.1 攻击面识别<\/h3>

设备在局域网侧运行两个主要服务：<\/p>

webd<\/strong>：用于登录和管理摄像头的web服务<\/li>

streamd<\/strong>：RTSP管理进程<\/li> <\/ul>
3.2 webd服务特性<\/h3>

32位ARM架构<\/li>
基于开源web服务器civetweb的定制版本<\/li>
安全防护机制：PIE、RELRO、ASLR和Canary<\/li>
使用glibc v2.30<\/li> <\/ul>
4. 漏洞分析<\/h2>
4.1 漏洞位置<\/h3>
漏洞存在于process_new_connection<\/code>函数中，该函数是工作线程处理HTTP请求的入口点。<\/p>
4.2 漏洞机制<\/h3> Synology新增全局调试信息表worker_debug_table<\/code>，用于记录线程状态<\/li> 在process_new_connection<\/code>函数末尾，请求URI通过snprintf拼接到thread_name缓冲区<\/li> 在set_thread_name<\/code>函数中，thread_name直接作为mg_snprintf<\/code>的参数使用<\/li> <\/ol> 漏洞代码逻辑：<\/strong><\/p> \/\/ 存在漏洞的代码片段 <\/span><\/span><\/span><\/span>snprintf(thread_name, sizeof<\/span>(thread_name), "Worker: %s"<\/span>, req_uri); <\/span><\/span>set_thread_name(thread_name); \/\/ 内部直接使用mg_snprintf(thread_name) <\/span><\/span><\/span><\/code><\/pre>4.3 漏洞验证<\/h3> 通过发送包含格式化字符串的URI进行测试：<\/p> http:\/\/target\/%p%p%p%p <\/code><\/pre> 可观察到格式化字符串被解析执行。<\/p> 5. 漏洞利用技术<\/h2> 5.1 信息泄露技术<\/h3> 5.1.1 泄露原理<\/h4> 栈中第7个参数是指向HTTP版本字符串的指针<\/li> 利用格式化字符串漏洞覆盖该指针实现信息泄露<\/li> <\/ul> 5.1.2 泄露格式<\/h4> %*[some_stack_entry_index]$c%7$n <\/code><\/pre> %*[some_stack_entry_index]$c<\/code>：从栈中写入指定数量的字符<\/li> %7$n<\/code>：将已写入字节数写入第7个栈参数<\/li> <\/ul> 5.1.3 技术限制<\/h4> 写入量不能超过~0x60000000字节<\/li> 指针需位于0x50000000-0x60000000地址区间<\/li> <\/ul> 5.2 堆栈写入技术<\/h3> 5.2.1 基本写入格式<\/h4> %[value]c%[stack_index]$n <\/code><\/pre> 支持不同位宽的写入操作：<\/p> %n<\/code>：32位写入<\/li> %hn<\/code>：16位写入<\/li> %hhn<\/code>：8位写入<\/li> <\/ul> 5.2.2 指针链构建<\/h4> 在栈偏移3664处找到指向栈的反向指针p1<\/li> 使p1指向另一个栈指针p2（位于栈内偏移0x10处）<\/li> 通过p1更新p2，建立指针链<\/li> <\/ol> 5.3 任意写入实现<\/h3> 5.3.1 指针链操作<\/h4> p1 → p2 → p3 → 目标地址 <\/code><\/pre> 5.3.2 8位任意写入代码逻辑<\/h4> def<\/span> arbitrary_write_8bit<\/span>(address, value): <\/span><\/span> # 通过指针链逐步更新目标地址的字节<\/span> <\/span><\/span> # 使用%hhn进行单字节写入<\/span> <\/span><\/span> pass<\/span> <\/span><\/span><\/code><\/pre>5.4 任意读取实现<\/h3> 结合任意写入和信息泄露技术：<\/p> 将http_version字符串指针更新为任意地址<\/li> 发送请求，返回指定地址的内容<\/li> <\/ol> 6. 远程SHELL获取<\/h2> 6.1 利用glibc 2.30的hook机制<\/h3> 覆盖__free_hook<\/code>为system<\/code>函数地址<\/li> 通过触发free调用执行system命令<\/li> <\/ul> 6.2 地址泄露与计算<\/h3> 通过信息泄露获取PIE基址<\/li> 计算.got段地址（包含glibc函数指针）<\/li> 推导glibc基址和__free_hook<\/code>地址<\/li> <\/ol> 6.3 触发机制<\/h3> 利用Cookie HTTP头部强制webd对可控字符串调用free（实际变为system）：<\/p> 攻击载荷：<\/strong><\/p> Cookie: ;telnetd <\/code><\/pre> 代码分析：<\/strong><\/p> \/\/ GetSessionIdFromCookie函数（地址0x34a54） <\/span><\/span><\/span><\/span>std::<\/span>vector<<\/span>std::<\/span>string><\/span> split_cookie =<\/span> split(cookie, ';'<\/span>); \/\/ [1] <\/span><\/span><\/span><\/span>cookie.erase(0<\/span>, cookie.find(';'<\/span>) +<\/span> 1<\/span>); \/\/ [2] <\/span><\/span><\/span>\/\/ 后续会释放处理后的字符串，触发system("telnetd") <\/span><\/span><\/span><\/code><\/pre>7. 完整利用流程<\/h2> 7.1 阶段一：信息收集<\/h3> 泄露PIE基址通过格式化字符串漏洞<\/li> 计算.got段和glibc基址<\/li> <\/ol> 7.2 阶段二：内存操作<\/h3> 构建稳定的指针链<\/li> 覆盖__free_hook<\/code>为system地址<\/li> <\/ol> 7.3 阶段三：命令执行<\/h3> 发送特制Cookie触发telnetd服务启动<\/li> 通过telnet连接获取shell<\/li> <\/ol> 8. 漏洞修复<\/h2> Synology在Pwn2Own Ireland 2024前发布了固件更新，修复了此格式化字符串漏洞。<\/p> 9. 参考资料<\/h2> 原始技术报告：https:\/\/blog.infosectcbr.com.au\/2025\/08\/01\/exploiting-the-synology-tc500-at-pwn2own-ireland-2024\/<\/li> 替代利用技术：https:\/\/www.synacktiv.com\/sites\/default\/files\/2025-01\/blind_fmtstr.pdf<\/li> <\/ol> 10. 总结<\/h2> 本漏洞利用展示了格式化字符串漏洞在现实设备中的危害性，通过精巧的内存操作和glibc特性结合，实现了从信息泄露到远程代码执行的完整攻击链。此案例为IoT设备安全研究提供了重要参考价值。<\/p>

Synology TC500 智能摄像头格式化字符串漏洞分析与利用教学<\/h1>

1. 漏洞概述<\/h2> 本教学文档详细分析Synology TC500智能摄像头中发现的格式化字符串漏洞，该漏洞存在于webd服务的线程名称设置功能中，可导致远程代码执行。<\/p>

2. 环境准备<\/h2>

3. 目标分析<\/h2>

4. 漏洞分析<\/h2>

4.1 漏洞位置<\/h3> 漏洞存在于process_new_connection<\/code>函数中，该函数是工作线程处理HTTP请求的入口点。<\/p>

5. 漏洞利用技术<\/h2>

5.1 信息泄露技术<\/h3>

5.2 堆栈写入技术<\/h3>

5.3 任意写入实现<\/h3>

6. 远程SHELL获取<\/h2>

7. 完整利用流程<\/h2>

8. 漏洞修复<\/h2> Synology在Pwn2Own Ireland 2024前发布了固件更新，修复了此格式化字符串漏洞。<\/p>

10. 总结<\/h2> 本漏洞利用展示了格式化字符串漏洞在现实设备中的危害性，通过精巧的内存操作和glibc特性结合，实现了从信息泄露到远程代码执行的完整攻击链。此案例为IoT设备安全研究提供了重要参考价值。<\/p>

1. 漏洞概述<\/h2>
本教学文档详细分析Synology TC500智能摄像头中发现的格式化字符串漏洞，该漏洞存在于webd服务的线程名称设置功能中，可导致远程代码执行。<\/p>

4.1 漏洞位置<\/h3>
漏洞存在于`process_new_connection<\/code>函数中，该函数是工作线程处理HTTP请求的入口点。<\/p>`

8. 漏洞修复<\/h2>
Synology在Pwn2Own Ireland 2024前发布了固件更新，修复了此格式化字符串漏洞。<\/p>

10. 总结<\/h2>
本漏洞利用展示了格式化字符串漏洞在现实设备中的危害性，通过精巧的内存操作和glibc特性结合，实现了从信息泄露到远程代码执行的完整攻击链。此案例为IoT设备安全研究提供了重要参考价值。<\/p>