cq674350529's blog

A Journey into Synology NAS 系列一: 群晖NAS介绍

发表于 2021-08-30 更新于 2023-02-05 分类于 IoT 评论：

前言

之前花过一段时间研究群晖的NAS设备，并发现了一些安全问题，同时该研究内容入选了安全会议POC2019和HITB2021AMS。网上关于群晖NAS设备安全研究的公开资料并不多，因此基于议题《Bug Hunting in Synology NAS》和《A Journey into Synology NAS》，将之前的一些内容展开，如果有对群晖NAS设备感兴趣的同学，希望对你们有所帮助。

阅读全文 »

Netgear R6400v2 堆溢出漏洞分析与利用

发表于 2021-03-19 更新于 2023-02-10 分类于 IoT ，漏洞评论：

漏洞简介

2020年6月，ZDI发布了一个关于Netgear R6700型号设备上堆溢出漏洞的安全公告，随后又发布了一篇关于该漏洞的博客，其中对该漏洞进行了详细分析，并给出了完整的漏洞利用代码。该漏洞存在于对应设备的httpd组件中，在处理配置文件上传请求时，由于对请求内容的处理不当，在后续申请内存空间时存在整数溢出问题，从而造成堆溢出问题。攻击者利用这一漏洞可以在目标设备上实现代码执行，且无需认证。

阅读全文 »

Zyxel设备eCos固件加载地址分析

发表于 2021-03-04 更新于 2022-11-24 分类于 IoT 评论：

前言

English version is here, thanks for ecos.wtf team’s translation.

最近在分析Zyxel 某型号设备时，发现该设备的固件无法采用binwalk等工具进行提取。根据binwalk的提示信息，猜测该设备使用的是eCos实时操作系统，其固件是一个单一大文件。由于不知道其加载地址，在使用IDA等工具进行分析时，无法建立正确的交叉引用，直接逆向会比较麻烦。而网上与eCos固件分析相关的资料不多，在没有相关的芯片文档或SDK手册等资料的前提下，从该固件本身出发，通过对固件进行简单分析，寻找固件中引用的固定地址，最终确定了该固件的加载地址。

阅读全文 »

NETGEAR PSV-2019-0076: 从漏洞公告到PoC

发表于 2020-10-01 更新于 2023-02-10 分类于漏洞评论：

前言

最近看到一篇安全资讯，提到Netgear修复了其产品中的多个高危漏洞，包括PSV-2019-0076、PSV-2018-0352和PSV-2019-0051等。其中，利用部分漏洞可实现远程代码执行，且无需认证。以PSV-2019-0076为例，查看Netgear的安全公告，如下，并没有透露过多的细节。

阅读全文 »

PSV-2020-0211:Netgear R8300 UPnP栈溢出漏洞分析

发表于 2020-09-16 更新于 2023-02-10 分类于 IoT ，漏洞评论：

漏洞简介

PSV-2020-0211对应Netgear R8300型号路由器上的一个缓冲区溢出漏洞，Netgear官方在2020年7月31日发布了安全公告，8月18日SSD公开了该漏洞的相关细节。该漏洞存在于设备的UPnP服务中，由于在处理数据包时缺乏适当的长度校验，通过发送一个特殊的数据包可造成缓冲区溢出。利用该漏洞，未经认证的用户可实现任意代码执行，从而获取设备的控制权。

阅读全文 »

Create Wireshark Dissector in Lua

发表于 2020-09-03 更新于 2022-11-24 分类于基础评论：

前言

在对嵌入式设备进行分析时，有时会遇到一些私有协议，由于缺少对应的解析插件，这些协议无法被Wireshark解析，从而以原始数据的形式呈现，不便于对协议的理解与分析。正好之前看到了介绍用Lua脚本编写Wireshark协议解析插件的文章，于是以群晖NAS设备中的某个私有协议为例，动手写了一个协议解析插件。

阅读全文 »

Pwn2Own Netgear R6700 UPnP漏洞分析

发表于 2020-07-04 更新于 2023-02-10 分类于 IoT ，漏洞评论：

前言

6月15日，ZDI发布了有关NETGEAR R6700型号路由器的10个0 day的安全公告，其中有2个关于UPnP的漏洞：认证绕过和缓冲区溢出。通过组合这2个漏洞，在Pwn2Own Tokyo 2019比赛中，来自Team Flashback的安全研究员Pedro Ribeiro和Radek Domanski成功在R6700v3设备上实现代码执行。

6月17日，NETGEAR官方发布了安全公告，并针对R6400v2和R6700v3这2个型号的设备发布了补丁。由于此时还没有这2个漏洞的具体细节，于是打算通过补丁比对的方式对漏洞进行定位和分析。

阅读全文 »

MikroTik SMB测试之Mutiny Fuzzer

发表于 2020-07-01 更新于 2023-02-10 分类于 fuzz 评论：

前言

Mutiny是由思科研究人员开发的一款基于变异的网络fuzz框架，其主要原理是通过从数据包(如pcap文件)中解析协议请求并生成一个.fuzzer文件，然后基于该文件对请求进行变异，再发送给待测试的目标。通过这种方式，可以在很短的时间内开始对目标进行fuzz，而不用关心相关网络协议的具体细节。

阅读全文 »

CDPwn系列之CVE-2020-3119分析

发表于 2020-06-25 更新于 2023-02-10 分类于漏洞评论：

漏洞简介

CDPwn系列漏洞是由来自Armis的安全研究员在思科CDP(Cisco Discovery Protocol)协议中发现的5个0 day漏洞，影响的产品包括思科交换机、路由器、IP电话以及摄像机等。其中，CVE-2020-3119是NX-OS系统中存在的一个栈溢出漏洞，利用该漏洞可在受影响的设备(如Nexus系列交换机)上实现任意代码执行，如修改Nexus交换机的配置以穿越VLAN等。

阅读全文 »

Mikrotik Chimay-Red 分析

发表于 2020-03-03 更新于 2023-02-10 分类于 IoT ，漏洞评论：

前言

Chimay-Red是针对MikroTik RouterOs中www程序存在的一个漏洞的利用工具，该工具在泄露的Vault 7文件中提及。利用该工具，在无需认证的前提下可在受影响的设备上实现远程代码执行，从而获取设备的控制权。该漏洞本质上是一个整数溢出漏洞，对漏洞的利用则通过堆叠远程多线程栈空间的思路完成。更多信息可参考博客Chimay-Red。

下面结合已有的漏洞利用脚本Chimay-Red，对该漏洞的形成原因及利用思路进行分析。

阅读全文 »