CVE-2025-8949
[[CVE]]
Ubuntu18
IDA9.1
binwalk
[[FirmAE]]
固件下载
[[firmwalker]]
固件仿真
1 | binwalk -Me DIR825B1_FW210WWB01.bin |
MIPS架构32位大端序
使用[[firmwalker]]进行扫描
-root/sbin/httpd为web服务器
1 | sudo ./run.sh -d dlink DIR825B1_FW210WWB01.bin |
使用FirmAE对其进行固件模拟
漏洞分析
根据poc漏洞点在httpd文件中得get_ping_app_stat函数中
ping的值是通过sub_412E48函数中的ping_ipaddr进行获取直接赋值给全局变量,没有任何过滤
可以对其进行命令注入
后续ping的值经过 parse_special_char函数进行处理,parse_special_char是一个外部的函数我们继续进行搜索
1 | grep -r "parse_special_char" | grep "匹配到二进制文件" |
parse_special_char 只检查 4 个 ASCII 值:
v5 == 34 // “ (双引号)
n92 == 92 // \ (反斜杠)
n92 == 96 // (反引号)
n92 == 36 // $ (美元符号)
只检查字符的直接ASCII值
BYTE ping__1 400; // sp+18h -258h BYREF
BYTE ping 200; // sp+1A8h -C8h BYREF
最后strcpy(ping, ping__1);
由于ping__1比ping大的多,没有长度检查,会导致缓冲区溢出
parse_special_char虽然进行了字符串过滤,但是strcpy函数引发了缓冲区溢出
1 | POST /ping_response.cgi HTTP/1.1 |
相关推荐
2025-07-25
SQCTF
浅红欺醉粉,肯信有江梅直接nc连接即可 借的东风破金锁 输入的内容只要相等即可 但是直接输入就超出了范围 ai搜出输入方法 12345678910111213141516171819202122232425262728293031323334353637383940414243from pwn import * #引用pwntools库from LibcSearcher import *misaki=1if misaki: context(log_level='debug',arch='amd64',os='linux')else: context(log_level='debug',arch='i386',os='linux')ming=1if ming: p=remote('challenge.qsnctf.com',31915)#配置远程连接nc challenge.qsnctf.com 31915else: ...
2025-07-25
ctfshow43-67
1-pwn43 ida打开文件后发现有明显的溢出点 有systeam函数可以使用,但是没用/bin/sh,尝试使用libc无法成功 gdb vmmap可以查看到程序有一段可写的部分,可以使用这一部分去写入/bin/sh 使用objdump -d -j .plt pwn命令可以查看到程序的函数plt地址 12345678910111213141516171819202122232425from pwn import * #引用pwntools库context(log_level='debug',arch='i386',os='linux')ming=1if ming: p=remote('pwn.challenge.ctf.show',28282)#配置远程连接 28282else: p=process("pwn")#配置本地连接:#gdb.attach(p)main_add=0x080487AFsystem=0x804845...
2025-07-25
轩辕杯
轩辕杯
2025-07-25
御网杯
ez_pwn 关闭标准输出流 溢出点 考虑使用wirte(2, got, 0x200) 程序 gadget 有 rdi 和 rsi,rdx 调试后发现没有被修改过还是 200,就无需修改,泄露 write 的真实地址,算出偏移,即可 获得 sh 12345678910111213141516171819202122232425262728293031323334353637383940414243444546474849505152535455565758596061626364from pwn import * #引用pwntools库from LibcSearcher import *misaki=1if misaki: context(log_level='debug',arch='amd64',os='linux')else: context(log_level='debug',arch='i386',os='linux')ming=1...
2025-08-19
CTFshow PWN162
此文章参考了: CTFshow PWN162 堆利用技巧大杂烩_ctfshow-pwn-162-CSDN博客 好好说话之IO_FILE利用(1):利用_IO_2_1_stdout泄露libc_libc泄露方式-CSDN博客 使用realloc函数来调整栈帧让one_gadget生效 - ZikH26 - 博客园 感谢师傅的讲解 本文章只描述了本地是操作是如何打通程序的,远程需要爆破出I0_2_1_stderr_ 的第四位 1/16 概率 本题使用了double_free,unsortedbin_attack 、_IO_2_1_stdout、house of spirit,UAF 经典的增删改查 add 后会有一个固定的 0x28 大小的 chunk,和一个自行输入 size 大小的 chunk,size 被限制大小,add 的 chunk 数量也被限制为 0x13,并且 s->data 为 inuse 此时的堆结构 show 是假函数,无法 show delete 函数中,if 检测 chunk_s+v1 实际上并不是inuse 的值,所以这边是一个假判...
2025-08-20
CTFshow PWN164
muea 中只有 add 和 delete add 中使用的是 realloc 什么是 realloc 呢? 可以参考如下文章 https://squarepants0.github.io/2020/11/18/2019-realloc-magic-realloc-yu-tcache/#toc-heading-2 简单来说就说 mallco 和 free 的结合 plus 版 1234567891011void *realloc(void *ptr, size_t size)# ptr=0 && size!=0# 视作mallco(size) 返回对应的地址# ptr!=0 && size==0# 视作free(ptr)#ptr!=0 && size!=0#当上一次mallco返回的ptr值的size > 现在需要申请的size,则会进行缩小,然后多余的进行free#当上一次mallco返回的ptr值的size < 现在需要申请的size,则会进行扩容#如果上一次mallco返回的ptr已经被free了,且 <...
评论
最新文章
![[BJDCTF 2020]YDSneedGirlfriend](/img/4.jpg)
