Vivotek Remote Stack Overflow
Vivotek远程栈溢出漏洞分析固件下载下载地址:http://download.vivotek.com/downloadfile/downloads/firmware/cc8160firmware.zip 获取到的是一个pkg文件,可以正常用binwalk获取固件,但是会得到许多文件,_31.extracted这个是我们需要的 然后就是正常查找busybox查看架构,找到httpd文件,然后qemu用户态执行,会提示缺了boa.conf,然后我们直接看conf.d,发现缺乏etc文件夹,复制一个过去就正常了,但是我用户态gdb连接后会直接跳出,就改为系统态运行了,下面就介绍系统态连接了,别的就没什么好说的 系统态连接首先是设置tap0接口 12sudo tunctl -t tap0 -u $(whoami)sudo ifconfig tap0 10.10.10.1/24 然后开机qemu虚拟机 123456789qemu-system-arm \ -M vexpress-a9 \ -kernel vmlinuz-3.2.0-4-vexpress \ -i...
Totolink NR1800X漏洞复现
固件下载与系统模拟固件:首先是下载对应版本固件NR1800X_V9.1.0u.6279_B20210910.bin:https://www.totolink.net/home/menu/detail/menu_listtpl/download/id/225/ids/36.html 然后是binwalk解压,接着看busybox架构,发现是mips小端 然后是下载对应镜像 Index of /~aurel32/qemu/mipsel 我是下载这两个 系统模拟这里是采用tap0+nat模式 现在本地创建 12sudo tunctl -t tap0 -u $(whoami)sudo ifconfig tap0 192.168.10.1 netmask 255.255.255.0 然后qemu系统启动 12345sudo qemu-system-mipsel -M malta \ -kernel vmlinux-3.2.0-4-4kc-malta \ -hda debian_squeeze_mipsel_standard.qcow2...
TP-Link SR20命令执行漏洞复现
TP-Link SR20命令执行漏洞复现介绍TDDP协议是TP-link设备的调试协议,该协议的版本分为两种,version1/2,version1版本无需身份验证和对数据包加密,而version2要,所以只需向SR20设备的UDP 1040端口发送特定数据就可以了 固件模拟问题从 Download for SR20 | TP-Link 官网上下载 SR20(US)_V1_180518 ,binwalk一下,然后寻找一下tddp文件,qemu用户态启动,发现卡住了,我们gdb-multiarch连接上发现程序是卡在了select函数,然后IDA静态分析一下看看 IDA查找原因我们发现程序是输出了一个tddp task start字符,然后查找一下,发现是调用在sub_936c函数上 123$ sudo chroot ./ ./qemu-arm-static ./usr/bin/tddp [sudo] yy 的密码: [tddp_taskEntry():151] tddp task start sub_936c`:v7 ...
基于tenda路由器的缓冲区溢出漏洞总结
基于tenda路由器的缓冲区溢出漏洞总结前言本文仅基于tenda-AC6和tenda-AC15的路由器的情况分析 仅为个人理解 漏洞共性类型:栈缓冲区溢出(CWE-120 / CWE-121) 位置:集中在 Web管理接口 /goform/xxx 根源:无输入长度校验,直接用 strcpy/sprintf/strcat 拷贝到固定栈缓冲区 危害:远程代码执行RCE、设备崩溃、未授权接管 条件:多数无需登录,直接POST恶意请求即可触发 环境搭建tenda类路由器的web服务的启动都是靠一个名为httpd的程序,但是开启的仅仅只是web的服务,不是整个路由器的服务,所以可以通过查找inittab中的rcS的内容,这个rcS是路由器启动必须项 然后进行qemu模拟时会发现,不管是用户态还是系统态,都会卡在输出welcome的地方,gdb调试一下发现程序是一直在一个哦按段中循环,经IDA分析后可以发现程序会无法通过两个循环条件,所以直接给他返回1就可以正常启动了,然后会发现qemu用户态启用时并没有给ip,给的是255.254.255.255,tenda产品是使用...
Tenda-AC15路由器CVE:四个缓冲区溢出漏洞分析复现
CVE-2020-13394漏洞介绍 项目 内容 CVE编号 CVE-2020-13394 漏洞名称 Tenda多款产品httpd服务缓冲区溢出漏洞 漏洞类型 缓冲区溢出 (CWE-120: Buffer Copy without Checking Size of Input) CVSS v3.1评分 9.8 (严重) 攻击向量 网络 (AV:N) 权限要求 无 影响范围 多款Tenda路由器设备,包括: - AC6 V1.0 (固件 V15.03.05.19_multi_TD01) - AC9 V1.0 (固件 V15.03.05.19(6318)CN) - AC9 V3.0 (固件 V15.03.06.42_multi) - AC15 V1.0 (固件 V15.03.05.19_multi_TD01) - AC18 (固件 V15.03.05.19(6318)_CN) 漏洞描述 路由器的httpd服务在处理对/goform/SetNetControlList URL的POST请求时,未能检查list参数的长度。程序使用strcpy函数将该...
Tenda AC15栈溢出漏洞(CVE-2018-18708)
CVE-2018-18708漏洞报告漏洞基本信息 项目 内容 漏洞名称 多款Tenda产品httpd 缓冲区错误漏洞 厂商 腾达 (Tenda) CNNVD编号 CNNVD-201810-1339 危害等级 高危 CVE编号 CVE-2018-18708 漏洞类型 — 收录时间 2018-10-30 更新时间 2018-10-31 固件下载地址: AC15升级软件 - 腾达Tenda官方网站 环境搭建我们下载得到的是一个zip文件,解压,然后binwalk获取固件,先查找一下发现有httpd程序,dhttpd是开发板,然后是看看init,发现有个启动必须项,这个是启动路由器会执行的,但是我们启动的只是单独的web服务,所以要记得补上cp -rf /webroot_ro/* webroot/,不然可能会出现问题 1234567891011121314151617181920212223242526272829303132333435363738394041424344454647484950515253545556575859606162...
Tenda AC6路由器CVE-2025-50263缓冲区溢出漏洞
CVE-2025-50263前言由于前两天搞了个tenda的路由器,刚好看到还同时存在的另一个缓冲区溢出漏洞,就一并分析了,qemu连接具体请看 https://hfddh666.github.io/2026/04/19/CVE-2025-25343%E5%A4%8D%E7%8E%B0/ 漏洞报告 CNVD-ID CNVD-2025-15719 公开日期 2025-07-15 危害级别 高 (AV:N/AC:H/Au:N/C:C/I:C/A:C) 影响产品 Tenda AC6 15.03.05.16_multi CVE ID CVE-2025-50263 漏洞描述 Tenda AC6是腾达推出的双频无线路由器。 Tenda AC6存在缓冲区溢出漏洞,该漏洞源于fromSetRouteStatic函数中list参数未能正确验证输入数据的长度大小,目前没有详细的漏洞细节提供。 漏洞类型 通用型漏洞 参考链接 https://github.com/faqiadegege/IoTVuln/blob/ma...
CVE-2025-25343复现
CVE-2025-25343漏洞信息 CNVD-ID CNVD-2025-09690 公开日期 2025-05-13 危害级别 高 (AV:N/AC:L/Au:N/C:C/I:C/A:C) 影响产品 Tenda AC6 15.03.05.16 CVE ID CVE-2025-25343 漏洞描述 Tenda AC6是中国腾达(Tenda)公司的一款无线路由器。 Tenda AC6存在缓冲区溢出漏洞,该漏洞源于formexeCommand函数未能正确验证输入数据的长度大小,攻击者可利用该漏洞在系统上执行任意代码或导致拒绝服务。 漏洞类型 通用型漏洞 参考链接 https://nvd.nist.gov/vuln/detail/CVE-2025-25343 漏洞解决方案 目前厂商已发布升级程序修复该安全问题,详情见厂商官网: https://www.tenda.com.cn/material/show/102681 厂商补丁 Tenda AC6缓冲区溢出漏洞的补丁 验证信息 (暂无验证信息...
ICSim CAN 总线逆向与伪造,重放攻击
ICSim CAN 总线逆向与伪造,重放攻击什么是can总线是车辆内部ECU之间通信的串行总线协议,每个ECU负责管理一个或多个特定的功能 can的通信方式是全局通信,因此,只要接入任意节点,便能轻易访问总线上所有的信息,且它是以明文形式传输,没有任何保护,但是有crc校验 cam总线有优先级的仲裁方式,多条消息,优先级高的先行发出,所以利用这一点,可以致使ECU无法正常工作 can总线不包含发送方的信息 can的数据帧结构:SOF | Arbitration | Control | Data | CRC | ACK | EOF 安装环境先安装依赖 1234567sudo apt updatesudo apt install -y \can-utils \git \build-essential \libsdl2-dev \libsdl2-image-dev 然后下载ICSIM模拟器,可以模拟汽车的仪表盘和控制器 123git clone https://github.com/zombieCraig/ICSimcd ICSimmake 接着就是开启网卡,用来作接口 1234s...