对totolink的简单代码分析

渗透技巧 1年前 (2022) admin
376 0 0

点击蓝字 ·  关注我们

01

固件信息

TOTOLINK:A860R V4.1.2cu.5182_B20201027
下载链接:
http://www.totolink.cn/home/menu/detail.html?menu_listtpl=download&id=62&ids=36

02

分析

拿到固件第一时间分析固件结构固件web服务器是lighttpd,但经过简单的判断和分析,处理前端传递的数据主要由cgi-bin/中的各个cgi组件去处理的,所以我的思路就放在了去对这些各个.cgi文件去进行代码分析。

1

infostat.cgi

查看main函数:

对totolink的简单代码分析

可以看到,该cgi文件先接收了前端通过post传递过来的数据,然后通过strtol函数去进行处理。然后将处理后的长整数字符赋值到了v9,然后通过fread从v9里面读取数据到v11,但是没有限制数据的长度,

—-所以这里存在一个缓冲区溢出漏洞—-

后注:该cgi经过审计没找到其它的漏洞 所以 换!

2

downloadFlile.cgi

依旧是main函数:

对totolink的简单代码分析

同样的简单的代码审计
v14获取前端通过 get方式传递过来的数据,然后直接拼接到了v24然后用system()去直接运行了命令这是很明显的命令执行,但是该漏洞已被提交,没关系我们继续往下看
v3=strchr(v14,’=’) (这个等号按r转换一下就行)该行获取get传参的方式中“=”后面数据然后赋值到了v3,然后通过strcpy(v25, v3 + 1);直接复制到了v25
—-这里存在一个缓冲区溢出漏洞—-
用v3+1是为了去除掉这个’=’号,
然后通过strtok去分割了 url中的”/“数据,然后又直接通过strcpy复制到了v26,
(初次判断这里应该是处理url中的目录文件)
—-这里同样也是一个缓冲区溢出漏洞—-
然后程序在经过多次的分割”/“后的数据,将数据复制到了v27中(这个洞不管了太多了)
然后通过
sprintf(v24, “echo appId:%s versionId:%s path:%s fileName:%s >>/tmp/download”, v26, v27, (const char *)v8, v20);
这行函数将数据复制到了v24数组中,然后再一次的直接用system去执行—-这里又是一个明显的命令执行—-
所以该函数经过简单审计后截图如下

对totolink的简单代码分析

老样子 没看到别的洞 换!

3

cstecgi.cgi

依旧是老朋友 main函数

对totolink的简单代码分析
代码逻辑同样比较简单
v26获取了程序通过post方式传递过来的数据,然后经过strtol处理后赋值给了v31
然后有直接将sprintf复制到了v32数组然后直接system去执行命令
—-这里存在一个命令注入—-(能直接shell谁还看缓冲区溢出呀)
然后第51行程序获取了通过get方式传递的数据然后通过下面这个if语句
if ( v28 && (v27 = strstr(v28, “CSAuthUrl=”)) != 0 )
获取CSAuthUrl=后的数据,所以这里的参数就是CSAuthUrl,然后再下一行通过sprintf直接拼接复制到了v33里面
这里存在一个缓冲区溢出—
然后该cgi没看到其它较为明显的漏洞

03

总结

该型号路由器简单的代码审计就此结束,复现poc就不发出来了(开摆!),发现的漏洞在上个月已经全部提交。

可以看到totolink路由器有些型号的路由器代码逻辑简单,且安全性来说较为适合新手去挖,唯一缺点,totolink环境模拟较为复杂,通过qemu去模拟的环境需要自己去hook,所以推荐购买真机去进行漏洞挖掘和代码审计。

本文水平较低,仅帮助iot新手去过渡iot的漏洞挖掘,欢迎师傅找我一起学习,一起进步。

EDI安全

对totolink的简单代码分析

扫二维码|关注我们

一个专注渗透实战经验分享的公众号

原文始发于微信公众号(EDI安全):对totolink的简单代码分析

版权声明:admin 发表于 2022年10月20日 上午11:30。
转载请注明:对totolink的简单代码分析 | CTF导航

相关文章

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...