昨晚睡前都在传Log4j然而与我没有一点关系。睡醒的我又觉得行了,书接上文开始进行漏洞挖掘。
首先进行端口扫描,发现仅开了23和80。telnet 连接23端口发现如果输入的用户名不对都会断开连接。浏览器进行登录然后抓包,获取可以用做定位的字符串。通过文件搜索,可以定位到jhttpd通过main函数入手首先是mem_init_fun()函数,其中三个函数是负责初始化http可以访问到的请求以及对应的处理函数:httpd_file_init、httpd_file_ext_init、httpd_cgi_ext_init示例如下,httpd_all_file指向了一个结构体,包含了可以访问的权限、接口名等信息,编写脚本解析dump出该地址指向的所有接口接着继续dump httpd_file_ext_init和httpd_cgi_ext_init中的所有请求。这两个函数的结构跟httd_all_file的有所不同,但都包含了一样的信息。当http请求的东西初始化完调用httpd_sever_init开始监听80端口最后调用http_poll函数开始处理用户的http请求对于get请求则让httpd_dowith_get函数去处理post请求则根据请求的名hash去获取对应的处理函数经过httd_check_user校验权限后判断是否调用相应的处理函数。了解了该程序的http服务大概的流程,接下来就是分析哪个请求的处理存在问题即可。
登录是绕不过的问题,如何弄到一个帐号呢?先看登录函数,通过之前的抓包可以看到请求是/login.cgi,那么对应的函数是login_cgi我们并没有传入type这个参数,那么就来到了这里在httpd_cgi_user_check函数中,发现多数的帐号都是通过配置读取的,但存在一个内置的帐号Wowfkrouteradmin通过他修改过的md5函数对jhl_realm_str(此时为空)进行加密后和传入的也是md5的密码进行对比。如果校验不成功返回-1,在回到上层login_cgi中。是-1会从httpd_cgi_user_check_admin中获取一个字符串并返回前端将他的md5扣出来自己弄加密登录提交,发现返回的是一个也类似md5的字符串最后查看httpd_cgi_user_check_admin函数,发现他返回的居然是jhl_realm_str的md5,并且会将新的md5覆盖到jhl_realm_str???这什么操作没看懂,后门?所以攻击方法只需要将他返回的md5进行一次加密拿来提交即可登录成功.....
[招生]科锐逆向工程师培训(2024年11月15日实地,远程教学同时开班, 第51期)
mb_hgrbqfun 有些函数怎么弄到符号的,还是它的程序就是带的dll导出的符号吗
apaoa 写得挺好的,就是有点烂