cq674350529's blog

前言

6月15日，ZDI发布了有关NETGEAR R6700型号路由器的10个0 day的安全公告，其中有2个关于UPnP的漏洞：认证绕过和缓冲区溢出。通过组合这2个漏洞，在Pwn2Own Tokyo 2019比赛中，来自Team Flashback的安全研究员Pedro Ribeiro和Radek Domanski成功在R6700v3设备上实现代码执行。

6月17日，NETGEAR官方发布了安全公告，并针对R6400v2和R6700v3这2个型号的设备发布了补丁。由于此时还没有这2个漏洞的具体细节，于是打算通过补丁比对的方式对漏洞进行定位和分析。

前言

Mutiny是由思科研究人员开发的一款基于变异的网络fuzz框架，其主要原理是通过从数据包(如pcap文件)中解析协议请求并生成一个.fuzzer文件，然后基于该文件对请求进行变异，再发送给待测试的目标。通过这种方式，可以在很短的时间内开始对目标进行fuzz，而不用关心相关网络协议的具体细节。

漏洞简介

CDPwn系列漏洞是由来自Armis的安全研究员在思科CDP(Cisco Discovery Protocol)协议中发现的5个0 day漏洞，影响的产品包括思科交换机、路由器、IP电话以及摄像机等。其中，CVE-2020-3119是NX-OS系统中存在的一个栈溢出漏洞，利用该漏洞可在受影响的设备(如Nexus系列交换机)上实现任意代码执行，如修改Nexus交换机的配置以穿越VLAN等。

前言

Chimay-Red是针对MikroTik RouterOs中www程序存在的一个漏洞的利用工具，该工具在泄露的Vault 7文件中提及。利用该工具，在无需认证的前提下可在受影响的设备上实现远程代码执行，从而获取设备的控制权。该漏洞本质上是一个整数溢出漏洞，对漏洞的利用则通过堆叠远程多线程栈空间的思路完成。更多信息可参考博客Chimay-Red。

下面结合已有的漏洞利用脚本Chimay-Red，对该漏洞的形成原因及利用思路进行分析。

前言

在某些情况下，我们可能会将C代码与汇编代码一起混合使用。比如，使用汇编代码直接与硬件进行交互，或者在处理任务时希望占用尽量少的资源同时获得最大的性能，而使用C代码处理一些更高级 的任务。通常情况下，混合使用C与汇编可分为以下三种情形：

• 在C中调用汇编中定义的函数
• 在汇编中调用C语言中的函数
• 直接在C语言中嵌入汇编

漏洞简介

CVE-2019-13954是MikroTik RouterOS中存在的一个memory exhaustion漏洞。认证的用户通过构造并发送一个特殊的POST请求，服务程序在处理POST请求时会陷入”死”循环，造成memory exhaustion，导致对应的服务程序崩溃或者系统重启。

该漏洞与CVE-2018-1157类似，是由于对漏洞CVE-2018-1157的修复不完善造成。下面通过搭建MikroTik RouterOS仿真环境，结合漏洞CVE-2018-1157的PoC脚本及补丁，对漏洞CVE-2019-13954进行分析。

漏洞简介

CVE-2018-1158是MikroTik路由器中存在的一个stack exhaustion漏洞。认证的用户通过构造并发送一个特殊的json消息，处理程序在解析该json消息时会出现递归调用，造成stack exhaustion，导致对应的服务崩溃重启。

该漏洞由Tenable的Jacob Baines发现，同时提供了对应的PoC脚本。另外，他的关于RouterOS漏洞挖掘的议题《Bug Hunting in RouterOS》非常不错，对MikroTik路由器中使用的一些自定义消息格式进行了细致介绍，同时还提供了很多工具来辅助分析。相关工具、议题以及PoC脚本可在git库routeros获取，强烈推荐给对MikroTik设备感兴趣的人。

前言

最近在安全客上看到一篇文章PIE保护详解和常用bypass手段，里面提到了3种绕过PIE保护机制的方式：partial write、泄露地址和vdso/vsyscall。由于之前对vdso/vsyscall机制了解的不多，于是花了点时间动手实践，以下是对题目1000levels的简单分析。

1000levels

程序分析

该程序提供的功能如下。

前言

通常，在对IoT设备的固件进行分析时，固件中与提供服务如HTTP、Telnet、RTSP、UPnP等相关的二进制程序是重点分析的对象。因为一旦在这些程序中发现漏洞，其很有可能会被远程利用，进而带来严重的安全隐患。

对固件二进制程序进行分析，常见的分析方法包括模糊测试、补丁比对、工具静态扫描和人工审计等。其中，模糊测试方法具备简单易用的特点，通常也比较有效，其在业界已被广泛使用。

前言

在对IoT设备进行安全分析时，通常设备对我们而言像个”黑盒子”，通过给它提供输入然后观察它的反馈输出，而对设备的”内部”并不了解。如果能够通过某种方式进入设备”内部”，获取到设备的shell，则会对后续的分析提供极大的便利。