2024 RWCTF群晖BC500摄像头RCE漏洞分析与利用<\/h1>

漏洞概述<\/h2>
本漏洞是在Real World CTF比赛中发现的群晖BC500摄像头远程代码执行漏洞，涉及未授权访问和栈溢出问题。漏洞存在于`libjansson.so.4.7.0<\/code>库的parse_object<\/code>函数中，在JSON解析key时造成了栈溢出。<\/p>`

漏洞环境<\/h2>

受影响设备：群晖BC500摄像头<\/li>
漏洞组件：libjansson.so.4.7.0<\/code> (版本4.7.0)<\/li>
漏洞类型：栈溢出 + 未授权访问<\/li>
利用条件：网络可达目标设备<\/li>
<\/ul>
漏洞分析<\/h2>
1. 漏洞位置<\/h3>
漏洞位于libjansson.so.4.7.0<\/code>库的parse_object<\/code>函数中，具体是在解析JSON对象的key时发生的栈溢出。<\/p>
2. 技术细节<\/h3>
2.1 栈溢出分析<\/h4>
在parse_object<\/code>函数中，当处理JSON对象的key时，存在以下问题：<\/p>

使用不安全的字符串拷贝操作（如strcpy<\/code>或类似函数）<\/li>
没有对key的长度进行充分验证<\/li>
目标缓冲区位于栈上，且大小固定<\/li>
<\/ol>
2.2 溢出限制<\/h4>
虽然存在栈溢出，但直接覆盖返回地址存在困难，原因可能包括：<\/p>

栈布局限制<\/li>
溢出长度受限<\/li>
栈保护机制<\/li>
<\/ul>
2.3 利用方法<\/h4>
通过劫持结构体控制执行流：<\/p>

精心构造JSON数据，利用key的溢出覆盖关键结构体<\/li>
控制结构体中的函数指针或其他关键数据<\/li>
实现执行流劫持<\/li>
<\/ol>
3. 未授权访问<\/h3>
漏洞利用不需要任何认证，可以直接通过网络发送恶意请求。<\/p>
漏洞利用步骤<\/h2>
1. 构造恶意JSON<\/h3>
创建特制的JSON数据，其中包含超长的key：<\/p>
{
<\/span><\/span>    "AAAAAAAAAAAAAAAAAAAAAAAA..."<\/span>: "value"<\/span>,
<\/span><\/span>    ...<\/span>
<\/span><\/span>}
<\/span><\/span><\/code><\/pre>2. 触发溢出<\/h3>
将恶意JSON发送到目标设备的特定接口（具体接口需要根据实际环境确定）。<\/p>
3. 劫持结构体<\/h3>
通过溢出覆盖关键结构体，通常需要：<\/p>

确定目标结构体在内存中的位置<\/li>
计算精确的溢出长度<\/li>
覆盖结构体中的函数指针或虚表<\/li>
<\/ol>
4. 控制执行流<\/h3>
一旦成功劫持结构体，可以通过以下方式之一实现RCE：<\/p>

覆盖函数指针，指向shellcode或ROP链<\/li>
修改虚表指针，控制虚函数调用<\/li>
利用现有函数指针实现任意代码执行<\/li>
<\/ol>
利用代码示例<\/h2>
以下是概念验证代码框架（需根据实际环境调整）：<\/p>
import<\/span> requests
<\/span><\/span>import<\/span> json
<\/span><\/span>
<\/span><\/span>target_url =<\/span> "http:\/\/target_ip:port\/vulnerable_endpoint"<\/span>
<\/span><\/span>
<\/span><\/span># 构造恶意JSON<\/span>
<\/span><\/span>evil_key =<\/span> "A"<\/span> *<\/span> calculated_offset +<\/span> struct.<\/span>pack("<I"<\/span>, target_address)
<\/span><\/span>evil_json =<\/span> {evil_key: "trigger"<\/span>}
<\/span><\/span>
<\/span><\/span># 发送请求<\/span>
<\/span><\/span>headers =<\/span> {"Content-Type"<\/span>: "application\/json"<\/span>}
<\/span><\/span>response =<\/span> requests.<\/span>post(target_url, data=<\/span>json.<\/span>dumps(evil_json), headers=<\/span>headers)
<\/span><\/span>
<\/span><\/span># 检查利用是否成功<\/span>
<\/span><\/span>if<\/span> response.<\/span>status_code ==<\/span> expected_code:
<\/span><\/span>    print("Exploit likely succeeded"<\/span>)
<\/span><\/span><\/code><\/pre>缓解措施<\/h2>

更新到最新固件版本<\/li>
实施网络访问控制，限制摄像头访问<\/li>
使用Web应用防火墙(WAF)过滤异常JSON请求<\/li>
禁用不必要的网络服务<\/li>
<\/ol>
总结<\/h2>
该漏洞展示了IoT设备中常见的安全问题：<\/p>

使用存在漏洞的第三方库<\/li>
缺乏输入验证<\/li>
未授权访问风险<\/li>
内存安全问题导致的RCE<\/li>
<\/ol>
通过精心构造的JSON数据，攻击者可以绕过常规的栈溢出防护机制，利用结构体劫持实现远程代码执行。<\/p>

2024 RWCTF群晖BC500摄像头RCE漏洞分析与利用<\/h1>

漏洞概述<\/h2> 本漏洞是在Real World CTF比赛中发现的群晖BC500摄像头远程代码执行漏洞，涉及未授权访问和栈溢出问题。漏洞存在于libjansson.so.4.7.0<\/code>库的parse_object<\/code>函数中，在JSON解析key时造成了栈溢出。<\/p>

漏洞分析<\/h2>

1. 漏洞位置<\/h3> 漏洞位于libjansson.so.4.7.0<\/code>库的parse_object<\/code>函数中，具体是在解析JSON对象的key时发生的栈溢出。<\/p>

3. 未授权访问<\/h3> 漏洞利用不需要任何认证，可以直接通过网络发送恶意请求。<\/p>

漏洞利用步骤<\/h2>

2. 触发溢出<\/h3> 将恶意JSON发送到目标设备的特定接口（具体接口需要根据实际环境确定）。<\/p>

漏洞概述<\/h2>
本漏洞是在Real World CTF比赛中发现的群晖BC500摄像头远程代码执行漏洞，涉及未授权访问和栈溢出问题。漏洞存在于`libjansson.so.4.7.0<\/code>库的parse_object<\/code>函数中，在JSON解析key时造成了栈溢出。<\/p>`

1. 漏洞位置<\/h3>
漏洞位于`libjansson.so.4.7.0<\/code>库的parse_object<\/code>函数中，具体是在解析JSON对象的key时发生的栈溢出。<\/p>`

3. 未授权访问<\/h3>
漏洞利用不需要任何认证，可以直接通过网络发送恶意请求。<\/p>

2. 触发溢出<\/h3>
将恶意JSON发送到目标设备的特定接口（具体接口需要根据实际环境确定）。<\/p>