suncitygroup太阳集团(股份)有限公司-官方网站





首页 产品与服务 解决方案 客户案例 技术支持 合作发展 关于suncitygroup太阳集团 用户退出 合作商登录 用户登录 申请试用

行业解决方案政府解决方案金融解决方案医疗解决方案教育解决方案能源解决方案物流交通解决方案

售后服务文档中心年度培训

渠道政策申请成为合作伙伴渠道专区

了解suncitygroup太阳集团公司介绍发展历程企业文化权威认可 suncitygroup太阳集团年刊
新闻中心公司动态行业资讯安全研究
加入我们
联系我们产品咨询与试用总部与分支机构

公司动态行业资讯安全研究

热门阅读

每周安全速递³⁷¹ | 勒索软件攻击导致心理健康机构超11万人数据泄露

2026-01-06

四年同行，韧性共铸：西南某商行携手suncitygroup太阳集团再度通过年度容灾大考

2025-12-26

以“AI+数据安全”领雁！祝贺suncitygroup太阳集团牵头项目入选浙江省科技厅“尖兵领雁”计划！

2025-12-22

suncitygroup太阳集团AI灾备专家：引领灾备领域迈入“智能化”时代

2025-12-15

热点观察｜suncitygroup太阳集团丁斐：数据安全 × 价值共创？可信数据空间的 “双向奔赴”

2025-12-03

每周安全速递³⁷¹ | 勒索软件攻击导致心理健康机构超11万人数据泄露

2026-01-06

Strix自动渗透测试平台搭建与使用

2025-12-22

每周安全速递³⁷⁰ | 勒索软件攻击导致心理健康机构超11万人数据泄露

2025-12-19

每周安全速递³⁶⁹ | 安卓勒索软件DroidLock针对西班牙语言用户进行攻击

2025-12-15

每周安全速递³⁶⁸ | 美国电信与汽车服务巨头遭Cl0p勒索攻击

2025-12-05

Tenda 系列路由器CVE-2018-16333栈溢出漏洞复现

发布时间：2023-04-28 阅读次数： 1558 次

漏洞简述

Tenda AC7 V15.03.06.44_CN、AC9 V15.03.05.19(6318)_CN、AC10 V15.03.06.23_CN、AC15 V15.03.05.19_CN、AC18 V15.03.05.19(6318)_CN系列路由器固件中存在缓冲区溢出漏洞，在处理 POST 请求传输过来的 ssid 参数时，ssid 参数的值直接复制到栈上的一个局部变量中，这会覆盖函数的返回地址，从而导致了缓冲区溢出漏洞。

固件模拟

首先从https://github.com/Snowleopard-bin/pwn/tree/ｍａｓｔｅｒ/IOT/Tenda_CVE-2018-16333下载存在漏洞的固件

解压固件

binwalk -Me US_AC15V1.0BR_V15.03.05.19_multi_TD01.bin --run-as=root

解压后在_US_AC15V1.0BR_V15.03.05.19_multi_TD01.bin.extracted/目录下存在squashfs-root文件系统

接下来进行固件模拟，在本文中主要进行qemu user级调试

首先安装qemu-user-static

sudo apt install qemu-user-static

然后执行下面的两条命令进行qemu用户级调试

cp $(which qemu-arm-static) .
sudo chroot ./ ./qemu-arm-static ./bin/httpd

此时会发现会一直卡在如下图所示的启动进度

将/bin/httpd文件拖进IDA中

使用alt+t组合键搜索“WeLoveLinux”关键字，查询资料发现此处存在check_network、ConnectCfm会进行网络连接方面的确认，需要对这两个方法的返回值进行patch才能绕过此处的判断逻辑让程序正常执行下去

通过以下的链接和命令下载和安装IDA插件keypatch

https://github.com/keystone-engine/keypatchhttps://github.com/polymorf/findcrypt-yara
pip install keystone-enginepip install sixpip install yara-python

将keypatch.py、findcrypt3.py、 findcrypt3.rules三个文件拷贝到IDA的plugin目录即可

值得注意的是，在IDA7.5及更新的版本中，keypatch仓库的主分支文件在导入到IDA中时可能会报错无法正常使用，这个时候可以使用这个分支的keypatch.py文件：

https://github.com/keystone-engine/keypatch/blob/08e743b841be90c99554b7fa4a6f5e11c6b1d8f8/keypatch.py

安装完成后，右键即可看到Keypatch插件的工具栏

接下来我们通过Keypatch->Patcher将check_network、ConnectCfm的

MOV R3, R0

都修改为

MOV R3, #1

patch后的程序逻辑如下

点击Edit->Patch->Apply patches to input file，即可让上面的patch生效

将patch后的httpd替换掉原本的/bin/httpd文件（注意进行备份）

mv ./bin/httpd ./bin/httpd.bak
chmod 777 ./bin/httpd

查询资料发现除了要对httpd文件patch之外，还需要建立虚拟网桥br0，因为程序是从名为br0的网卡获取网络地址

apt-get install bridge-utils
apt-get install uml-utilities
sudo brctl addbr br0
sudo brctl addif br0 ens32
sudo ifconfig br0 172.16.1.1/24
sudo ifconfig br0 up

完成br0的创建后，执行下面的命令在此进行固件模拟

sudo chroot ./ ./qemu-arm-static ./bin/httpd

使用浏览器访问http://172.16.1.1

此时可能还是不能正常访问路由器后台界面，如下图，这时因为程序无法找到部分文件导致的

这时只需要执行下面的命令拷贝web程序所需文件到/webroot/目录即可

cp -rf ./webroot_ro/* ./webroot/

此时再访问http://172.16.1.1，发现已能正常访问路由器管理界面

漏洞复现

存在漏洞的接口地址为/goform/fast_setting_wifi_set

当通过GET方式直接请求http://172.16.1.1/goform/fast_setting_wifi_set时，可以发现响应是跳转到登录页面

此时将请求修改为POST方式，并在请求body中加入ssid参数，此时ssid=aaa，发送请求后，程序返回了一个errCode的响应，此时程序仍正常运行

我们将ssid参数修改为较长的脏数据，再次发送请求包，这个时候程序不再返回任何响应，刷新路由器页面发现已经不能正常访问

查看模拟路由器的启动命令窗口，可以看到模拟固件进程已经退出，并提示“段错误”，溢出漏洞复现成功

漏洞分析

根据漏洞原作者的描述，漏洞出现在路由器的web服务器--httpd文件中

https://github.com/ZIllR0/Routers/blob/ｍａｓｔｅｒ/Tenda/oob1.md

使用IDA打开_US_AC15V1.0BR_V15.03.05.19_multi_TD01.bin.extracted/bin目录下的httpd文件

使用alt+t组合键搜索"ssid"关键字

定位到调用了ssid的fast_setting_wifi_set函数，程序获取ssid参数后，没有经过检查就直接使用strcpy函数复制到栈变量中，造成了栈溢出漏洞。

上一条：每周安全速递²⁵⁸|VMware修复Pwn2Own大赛发现的两个漏洞
下一条：每周安全速递²⁵⁷|BlackBit勒索软件在韩国蔓延

免费试用

服务热线

马上咨询

400-811-3777

回到顶部



热门推荐

政府解决方案

金融解决方案

医疗解决方案

教育解决方案

能源解决方案

物流交通解决方案

热门资讯

热门资讯

热门资讯

热门资讯





热门推荐

政府解决方案

金融解决方案

医疗解决方案

教育解决方案

能源解决方案

物流交通解决方案

热门资讯

热门资讯

热门资讯

热门资讯

 



