首页
论坛
课程
招聘
[原创]Cisco RV160W系列路由器漏洞:从1day分析到0day挖掘
2021-8-5 10:31 10201

[原创]Cisco RV160W系列路由器漏洞:从1day分析到0day挖掘

2021-8-5 10:31
10201

前言

(本文写于几个月前,由于官方还没公开推送补丁,就迟迟没发布) 本来只是打算分析思科RV160W这款路由器最近的无条件RCE漏洞。我diff固件查看变动代码,结果有了一些新发现

 

https://www.cisco.com/c/en/us/support/docs/csa/cisco-sa-rv160-260-rce-XZeFkNHf.html

 

固件初步分析

根据官方的通告,Cisco Small Business RV160、RV160W、RV260、RV260P 和 RV260W VPN 路由器基于 Web 的管理界面中存在多个漏洞,可能允许未经身份验证的远程攻击者以root用户身份在受影响的设备上执行任意代码。这些漏洞在固件v1.0.01.02版本被修复

 

 

我去Cisco Software Center下载了两个版本固件

 

 

版本v1.0.01.01就是存在漏洞的固件

 

binwalk解压固件,寻找提供web服务的二进制文件,其实可以根据rc.d与init.d目录的一些初始化脚本盲猜,这里本着通用性与研究性的目的用另一种方式寻找。

 

由于手中没有现成设备,firmadyne有点鸡肋,于是我在油管上找了个RV160W的配置教程,观察浏览器上方的url,根据关键字符“configurationManagement”定位到admin.cgi,进而定位到web组件是mini_httpd(32位arm小端程序)。

 

1
2
3
4
5
6
7
8
9
10
11
12
13
b0ldfrev@ubuntu:~/blog/v1.0.01.01/rootfs$ grep -Rnl "configurationManagement" * 2>/dev/null
usr/sbin/admin.cgi
usr/lib/opkg/info/sbr-gui.list
www/gettingStarted.htm
www/configurationManagement.htm
www/app.min20200813.js
www/home.htm
b0ldfrev@ubuntu:~/blog/v1.0.01.01/rootfs$ grep -Rnl "admin.cgi" * 2>/dev/null
usr/sbin/mini_httpd
usr/sbin/admin.cgi
usr/lib/opkg/info/sbr-gui.list
b0ldfrev@ubuntu:~/blog/v1.0.01.01/rootfs$ file ./usr/sbin/mini_httpd
./usr/sbin/mini_httpd: ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux.so.3, for GNU/Linux 2.6.16, stripped

定位到web服务程序后,我们对两个版本固件的mini_httpd程序进行二进制代码对比(当然也有对 admin.cgi 进行对比,也存在不少改动代码,但这次我只关注mini_httpd组件部分)

 

最经典的是bindiff这款工具,但是我用它并没有找到关键代码改动部分

 

 

 

之后又使用了一款IDA插件diaphora,导出sqlite数据库后进行对比,发现 mini_httpd2 的 sub_1B034 函数(对应mini_httpd1的sub_1AF58函数)和sub_15CE4函数(对应mini_httpd1的sub_15CE4函数)改动较明显。

 

 

mini_httpd1

 

分析sub_1AF58函数改动部分

 

分别定位到两个程序相关代码部分

 

mini_httpd1

 

mini_httpd1

 

mini_httpd2

 

mini_httpd2

 

在新版本的sub_1B340中,将格式化后的v3作为参数传递给system,在这之前v3经过了一次sub_1B034函数

 

sub_1b034函数是新加入的,里面大概是过滤字符的功能

 

 

这里已经不能再明显了,system函数处存在命令注入,于是mini_httpd2用过滤危险字符的方式修复了这个漏洞。

 

分析sub_15CE4函数改动部分

 

mini_httpd1

 

mini_httpd1

 

mini_httpd2

 

mini_httpd1

 

将strcpy函数替换成了strncpy函数。断定此处strcpy存在栈溢出漏洞。

 

对固件的初步逆向分析后,基本判定老版本固件至少存在命令注入和栈溢出这两个漏洞。

固件模拟

模拟httpd服务,为了之后附加进程调试,我选用qemu系统模式进行模拟。

 

拷贝1.0.01.01固件文件系统进qemu,挂载一些关键目录后以chroot执行sh.

1
2
3
4
5
6
7
8
9
10
root@debian-armhf:~/rootfs# ls
bin  etc  media  overlay  rom    sbin  test_scripts  usr  www
dev  lib  mnt     proc      root    sys   tmp        var
root@debian-armhf:~/rootfs# mount -t proc  /proc/ ./proc/
root@debian-armhf:~/rootfs# mount -t devtmpfs /dev/ ./dev/
root@debian-armhf:~/rootfs# chroot . ./bin/sh
 
BusyBox v1.23.2 (2020-08-17 10:59:42 IST) built-in shell (ash)
 
/ #

在运行mini_httpd之前可能需要初始化环境目录,这些往往都在rc.d与init.d启动脚本里面,所以全局搜索引用“mini_httpd”的地方

1
2
3
4
5
6
7
8
b0ldfrev@ubuntu:~/cve/RV160W/rootfs$ grep -Rnl "mini_httpd" * 2>/dev/null
etc/scripts/mini_httpd/mini_httpd.sh
etc/rc.d/S23mini_httpd.init
etc/init.d/mini_httpd.init
etc/init.d/config_update.sh
usr/sbin/mini_httpd
usr/sbin/admin.cgi
usr/lib/opkg/info/sbr-gui.list

发现etc/scripts/mini_httpd/mini_httpd.shetc/rc.d/S23mini_httpd.initetc/init.d/mini_httpd.init 这些里面的内容都差不多,大概都是初始化一些文件然后最终启动/usr/sbin/mini_httpd

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
#!/bin/sh /etc/rc.common
 
START=23
 
version_gt() {
    test "$(echo "$@" | tr " " "\n" | sort -n | head -n 1)" != "$1";
}
get_version() {
    version=`cat $1 | grep "\"VERSION\"" | awk -F '"' '{print $4}'`
    if [[ "${version/V/}" != "$version" ]]; then
        version=`echo $version | awk -F 'V' '{print $2}'`
    fi
    echo $version
}
start() {
    fwLgPath="/www/lang"
    mntLgPath="/mnt/packages/languages"
    mkdir -p /tmp/download
    mkdir -p /tmp/download
    mkdir -p /tmp/download/certificate
    mkdir -p /tmp/download/log
    mkdir -p /tmp/download/configuration
    mkdir -p /tmp/www
    mkdir -p /tmp/portal_img
    if [ ! -d /mnt/packages/languages ]; then
        mkdir -p /mnt/packages/languages
        cp -rf ${fwLgPath}/* ${mntLgPath}
    else
        # check version
        list="English Spanish Frensh German Itailian"
        for i in $list; do
            if [ -f ${fwLgPath}/${i}.js ]; then
                if [ -f ${mntLgPath}/${i}.js ]; then
                    tmp_version=`cat ${mntLgPath}/${i}.js | grep "\"VERSION\"" | awk -F '"' '{print $4}'`
                    fw_version=$(get_version ${fwLgPath}/${i}.js)
                    mnt_version=$(get_version ${mntLgPath}/${i}.js)
                    if [[ "${tmp_version/V/}" != "$tmp_version" ]]; then
                        cp -f ${fwLgPath}/${i}.js ${mntLgPath}/${i}.js
                    elif ! version_gt $mnt_version $fw_version; then
                        cp -f ${fwLgPath}/${i}.js ${mntLgPath}/${i}.js
                    fi
                else
                    cp ${fwLgPath}/${i}.js ${mntLgPath}/${i}.js
                fi
            fi
        done
    fi
 
    /etc/scripts/mini_httpd/mini_httpd.sh start
}
 
stop() {
    /etc/scripts/mini_httpd/mini_httpd.sh stop
}
 
reload() {
    /etc/scripts/mini_httpd/mini_httpd.sh reload
}

我试着运行了一个

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
/ # /etc/init.d/mini_httpd.init
uci: Entry not found
Syntax: /etc/init.d/mini_httpd.init [command]
 
Available commands:
    start    Start the service
    stop    Stop the service
    restart    Restart the service
    reload    Reload configuration files (or restart if that fails)
    enable    Enable service autostart
    disable    Disable service autostart
 
/ # /etc/init.d/mini_httpd.init start
uci: Entry not found
ls: /mnt/configcert/confd/startup/: No such file or directory
use backup cert for mini-httpd ...
1 0 0 0
setsockopt SO_REUSEADDR: Protocol not available
setsockopt SO_REUSEADDR: Protocol not available
/usr/sbin/mini_httpd: can't bind to any address
/ #

发现报错can't bind to any address,这个报错在mini_httpd程序中,此时一些文件其实已经初始化了,我们可以只关注mini_httpd程序本身。

 

我们直接运行mini_httpd,同样的报错

1
2
3
4
/ # /usr/sbin/mini_httpd
setsockopt SO_REUSEADDR: Protocol not available
setsockopt SO_REUSEADDR: Protocol not available
/usr/sbin/mini_httpd: can't bind to any address

错误原因是setsockopt函数在调用时协议参数不合法,经过一番尝试后无果;最后想到这种设置套接字属性的函数,其实hook掉对连接的影响也不是很大,关键服务能起来就行。

 

定位到程序报错点,是setsockopt失败返回负值导致的错误。

 

 

我索性将setsockopt函数hook全返回1

1
2
3
4
5
6
7
8
9
10
11
/*arm-linux-gnueabi-gcc -shared -fPIC hook.c -o hook  */
#include <stdio.h>
#include <stdlib.h>
#include<sys/socket.h>
 
int setsockopt(int sockfd, int level, int optname,
                      const void *optval, socklen_t optlen)
{
 
return 1;
}
1
2
3
4
5
6
7
8
9
BusyBox v1.23.2 (2020-08-17 10:59:42 IST) built-in shell (ash)
 
/ # LD_PRELOAD="/hook" ./usr/sbin/mini_httpd
bind: Address already in use
/ # ./usr/sbin/mini_httpd: started as root without requesting chroot(), warning only
 
/ # ps |grep mini_httpd
 2364 root      3540 S    ./usr/sbin/mini_httpd
 2369 root      3120 S    grep mini_httpd

可以看到服务跑起来了,访问试试

 

 

根据403字符定位到程序中

 

 

 

执行sub_1b5f0函数后就退出了,猜测是某些环境变量的问题,这里为了不改变代码逻辑,我直接patch mini_httpd程序代码块,把跳转 sub_1B5F0的地方nop掉

 

before_nop

 

nop

 

再次执行程序后访问web

 

固件逆向分析与调试

接下来就是对mini_httpd的详细逆向过程,其实就是寻找触发路径。

命令注入漏洞分析

我把漏洞触发函数改成了vuln,以及调用vuln的上层函数vuln_back1,上上层函数vuln_back2........

 

vuln_back2

在vuln_back2中看出,我们只需要contrl_arg字符串里面包含"dniapi/"即可进入vuln_back1

 

vuln_back2

 

在往上看,contrl_arg被赋值成dword_34F60 + 1,并且dword_34F60第一个字符必须为'/',这里可以猜测contrl_arg是一个请求行的URL

 

vuln_back2

 

为了验证我的猜测,动态调试一下,由于所有的请求都被放在了fork子进程中处理。我这里暂时为了方便调试,hook了fork函数返回0,构造了G