[原创]Nepnep二进制组面试经历分享与 CVE-2019-19240 复现报告-Pwn-看雪-安全社区|安全招聘|kanxue.com

[原创]Nepnep二进制组面试经历分享与 CVE-2019-19240 复现报告

发表于: 2021-11-23 13:41 28914

[原创]Nepnep二进制组面试经历分享与 CVE-2019-19240 复现报告

KSr01dO

2021-11-23 13:41

28914

终于加入了梦寐以求的Nepnep，能和花花、贝塔贴贴啦

同时也欢迎各位师傅们来Nepnep玩

面试过程记录如下，希望能帮助到打算来面试的小伙伴们

（原载于本人博客：https://www.ksroido.art/nepnep%e4%ba%8c%e8%bf%9b%e5%88%b6%e7%bb%84%e9%9d%a2%e8%af%95%e5%88%86%e4%ba%ab/）

先交了简历，然后直接技术一面

花花：简历上写你之前在校赛出过题，讲讲具体情况？

冷冷子：出了三四题二进制的，简单的有明文签到和base64，XOR等，这个不细说了，RE压轴是我出的，基于nvram-faker这个项目,我修改了一个小模块下，往里面塞了一些数据，静态分析很难看出来，但是动调一下就出了，主要考察的是linux动态链接库的调试以及LD_PRELOAD的使用(或者HOOK)

花花：QEMU初始化时找不到 nvram 该如何处理？什么是 nvram ?

冷冷子：1. 我这边复现的MIPS架构的洞只有一个（简历上写的CVE-2005-2799），我当时查了一下资料，用 nvram-faker 这个项目加载就可以消除 QEMU初始化时找不到 nvram 这个问题，其他特殊情况情况没有遇到过如何处理

2. nvram 就是板载内存颗粒，有些嵌入式环境是直接与板载颗粒主控通信的，但是MIPS架构的内存颗粒对应的/dev/nvram文件是真实的系统启动时初始化、创建的，轮到程序在qemu里面运行时，并没有正常经历这些步骤，所以用户模式的qemu的nvram初始化失败

花花：为什么直接return fake并不会影响正常的模拟

冷冷子（原话，有错误，正确的答案在下面）：虽然qemu无法模拟主控但是仍然已经搭建好了模拟层的内存，所以初始化函数只需要返回一个正常值即可；也就是说，其实主程序已经可以正常的做他想做的内存分配操作了，但是初始化检查函数并不这么认为

（更正确一些的答案）：程序跑的时候，用户模式的qemu只负责翻译程序的机器码，然后构建起一些虚拟的操作系统基本环境（比如内存的分配），但是大部分东西在用户模式的qemu下都是没有的（比如/proc和/dev和/etc/run等），此时qemu通过chroot，用透明相对路径的方法访问：以固件文件夹为根目录的文件当然就访问不到了

花花： nvram-faker 很老了，只是做了一堆枚举，如果没有写在里面的，就不适用了，你认为要更好的解决nvram的问题的话，该如何解决？

冷冷子：（这个没答好，而且我目前还不确定标准答案，暂时不写）

花花：bootloader，kernel，rootfs之间有什么关系

冷冷子： bootloader 负责CPU加电后从实模式启动到保护模式等操作，而为了让CPU能够与PCIE总线上的设备等进行通信，且为了该过程对人类而言是能看懂的，则需要kernel提供上层接口，rootfs没详细了解过

花花：除了这些还有要特别补充的安全方面的能力吗

冷冷子：基本上只会MIPS架构路由器漏洞这些东西了

花花：以后有什么打算

冷冷子：打算在队内好好学习，以我个人的能力和想法可能不会打算成为队内主力，在中层和大佬们一起学习就好

花花：有做过什么题吗

冷冷子：pwnable.kr pwnable.tw buu，不过都做得不是太多

花花：主要做了哪些考点？堆？栈？虚拟机？

冷冷子：主要只做过ret2xxx的栈题，其他的没做过特别有价值的二进制题目

花花：来讲一道印象深刻的题目

冷冷子：（复述了这个问题的内容和答案https://www.zhihu.com/question/492972837/answer/2176530773）

zhz：最后问个简单的，讲讲函数调用过程吧

冷冷子：（略）

花花：Dlink DIR-816 A2 BO5固件登陆界面有个洞，两天时间打穿就算成功，到时候提交复现报告即可

冷冷子：好的

（注：这里无意当中独立挖出来了goahead中间件的CVE-2019-19240，花花的预期解似乎是DIR816固件本身的CVE-2018-17063）

搜索后确认后台登陆页面为/dir_login.asp

WEB中间件为goahead

初始密码打印在路由器本体上

第一次登陆后台需要初始密码，不能直接访问设置界面

登陆成功后会进入/d_wizard_step1_start.asp进行初始化设置,同时,即使已经初始化过,若能跳转到本页进行设置,则路由器设置会被覆盖

交叉编译环境与qemu-mipsel环境搭建依据笔者之前发表的博客，不赘述

https://www.ksroido.art/%e5%ae%b6%e7%94%a8%e8%b7%af%e7%94%b1%e5%99%a80day%e6%8c%96%e6%8e%98%e7%ac%94%e8%ae%b02/

从官网下载固件,然后binwalk -e直接提取

以下为初步 qemu-mipsel 环境搭建

首先是chroot之后个人倾向于使用bash而非busybox,所以复制bash的程序本体与动态链接库到对应的相对路径文件夹内,如图

同理,用ldd命令查qemu-mipsel所需要的动态链接库

复制到chroot后的对应相对路径目录中

总共的内容为这些

然后再把交叉编译环境output文件夹当中的lib库全部复制到dir816/lib内

此时就可以正常运行qemu了,算是初步搭建好了环境

chroot ./ ./qemu-mipsel ./bin/goahead

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

最后于 2023-5-12 20:12 被KSr01dO编辑，原因： 1

收藏・10

免费・10

支持

最新回复 (12)
KSr01dO 雪币： 228 活跃值： (582) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 13 关注私信	KSr01dO 2 楼欢迎大家加入nepnep的大家庭ww 2021-11-23 13:53 0
Roland_ 雪币： 4168 活跃值： (15932) 能力值： ( LV9，RANK：710 ) 在线值：发帖 40 回帖 102 粉丝 320 关注私信	Roland_ 12 3 楼笑死，原来坏女人面试的时候这么正经呀 2021-11-23 14:24 0
KSr01dO 雪币： 228 活跃值： (582) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 13 关注私信	KSr01dO 4 楼 ScUpax0s 笑死，原来坏女人面试的时候这么正经呀 2333333 2021-11-23 14:33 0
K1ose 雪币： 235 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	K1ose 5 楼师傅太强啦，多向你学习 2021-11-23 14:40 1
KSr01dO 雪币： 228 活跃值： (582) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 13 关注私信	KSr01dO 6 楼 K1ose 师傅太强啦，多向你学习呜呜，菜菜，差点面试没过 2021-11-23 14:53 0
无名侠雪币： 6911 活跃值： (9069) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 582 关注私信	无名侠 12 7 楼这面试也太卷了 2021-11-23 23:46 0
77pray 雪币： 1054 活跃值： (1772) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 12 粉丝 18 关注私信	77pray 8 楼这面试也太卷了 2021-11-24 00:30 0
sunfishi 雪币： 8764 活跃值： (5718) 能力值： ( LV13，RANK：296 ) 在线值：发帖 13 回帖 92 粉丝 99 关注私信	sunfishi 4 9 楼这面试也太卷了 2021-11-24 09:59 0
pureGavin 雪币： 14517 活跃值： (17538) 能力值： ( LV12，RANK：290 ) 在线值：发帖 84 回帖 1418 粉丝 259 关注私信	pureGavin 3 10 楼优秀，感谢分享，我也想加入了 2021-11-26 09:53 1
Roger 雪币： 3677 活跃值： (3081) 能力值： ( LV8，RANK：147 ) 在线值：发帖 6 回帖 73 粉丝 76 关注私信	Roger 1 11 楼师傅tql 2021-11-28 22:16 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 51 关注私信	ookkaa 12 楼师傅太强啦，多向你学习 2021-11-29 12:04 0
SmallDolphin 雪币： 311 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	SmallDolphin 13 楼师傅太强啦，多向你学习 2021-12-10 15:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

KSr01dO

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
KSr01dO 雪币： 228 活跃值： (582) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 13 关注私信	KSr01dO 2 楼欢迎大家加入nepnep的大家庭ww 2021-11-23 13:53 0
Roland_ 雪币： 4168 活跃值： (15932) 能力值： ( LV9，RANK：710 ) 在线值：发帖 40 回帖 102 粉丝 320 关注私信	Roland_ 12 3 楼笑死，原来坏女人面试的时候这么正经呀 2021-11-23 14:24 0
KSr01dO 雪币： 228 活跃值： (582) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 13 关注私信	KSr01dO 4 楼 ScUpax0s 笑死，原来坏女人面试的时候这么正经呀 2333333 2021-11-23 14:33 0
K1ose 雪币： 235 能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	K1ose 5 楼师傅太强啦，多向你学习 2021-11-23 14:40 1
KSr01dO 雪币： 228 活跃值： (582) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 17 粉丝 13 关注私信	KSr01dO 6 楼 K1ose 师傅太强啦，多向你学习呜呜，菜菜，差点面试没过 2021-11-23 14:53 0
无名侠雪币： 6911 活跃值： (9069) 能力值： ( LV17，RANK：797 ) 在线值：发帖 74 回帖 406 粉丝 582 关注私信	无名侠 12 7 楼这面试也太卷了 2021-11-23 23:46 0
77pray 雪币： 1054 活跃值： (1772) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 12 粉丝 18 关注私信	77pray 8 楼这面试也太卷了 2021-11-24 00:30 0
sunfishi 雪币： 8764 活跃值： (5718) 能力值： ( LV13，RANK：296 ) 在线值：发帖 13 回帖 92 粉丝 99 关注私信	sunfishi 4 9 楼这面试也太卷了 2021-11-24 09:59 0
pureGavin 雪币： 14517 活跃值： (17538) 能力值： ( LV12，RANK：290 ) 在线值：发帖 84 回帖 1418 粉丝 259 关注私信	pureGavin 3 10 楼优秀，感谢分享，我也想加入了 2021-11-26 09:53 1
Roger 雪币： 3677 活跃值： (3081) 能力值： ( LV8，RANK：147 ) 在线值：发帖 6 回帖 73 粉丝 76 关注私信	Roger 1 11 楼师傅tql 2021-11-28 22:16 0
ookkaa 雪币： 246 活跃值： (4427) 能力值： ( LV4，RANK：45 ) 在线值：发帖 22 回帖 214 粉丝 51 关注私信	ookkaa 12 楼师傅太强啦，多向你学习 2021-11-29 12:04 0
SmallDolphin 雪币： 311 活跃值： (336) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 13 粉丝 0 关注私信	SmallDolphin 13 楼师傅太强啦，多向你学习 2021-12-10 15:15 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

[原创]Nepnep二进制组面试经历分享 与 CVE-2019-19240 复现报告

[原创]Nepnep二进制组面试经历分享与 CVE-2019-19240 复现报告