CVE-2020-10882&&tdpServer分析|世界观热点

来源: 哔哩哔哩时间：2023-06-28 13:27:45

为什么会对一个几年前的漏洞进行分析呢,因为在HITP2023AMS会议上,看到一个关于TP-Link的tdpServer的json堆栈溢出(/2023/04/24/hitbams-your-not-so-home-office-soho-hacking-at-pwn2own/)所以我看了关于这个服务前几年的漏洞存在一个命令注入，这个命令注入是在pwn2own-tokyo由Flashback团队发现的(/blog/2020/4/6/exploiting-the-tp-link-archer-c7-at-pwn2own-tokyo)关于漏洞影响的版本可以访问链接。

下面就是正文,对原文中一些没有详细展开的函数点进行了分析,获取固件后解开后寻找/usr/bin/tdpServe直接给Ghidra进行分析

recvfrom()

第一行,调用了recvfrom()接收UDP数据,获取UDP_data后调用tdpd_pkt_parser()

【资料图】

tdpd_pkt_parser()

这个函数有一下几个点

第十一行判断接收的数据长度不小于0x10,也就是16.

并且在15行tdp_get_pkt_len()函数,判断请求头中设置的长度不大于0x410

在这个函数里tdpd_pkt_sanity_checks()有多个判断,判断数据包中的第一个字节是否为0x01,还进行了CRC32校验,和对第二个字节是否为0xf0.

30行判断了第二个字节是否是-0x10

进入漏洞分支vuln_func_branch()

tdp_get_pkt_len()

这个函数比较简单全部都在第七行,判断param_1不为空.*(ushort *)(param_1 + 4)因为是ushort获取两个字节,加上0x10的长度小于0x410,而这个param_1+4的位置是我们在数据包头设置的payload的长度,判断成功后会返回我们设置的长度,而不是0xffffffff.

tdpd_pkt_sanity_checks()

第12行判断了数据包中第一个字节是否为0x01

第20行进行了CRC32循环冗余校验,判断数据包是否完整会进行详细的分析,但是只对代码分析不会展开讲CRC32

26行判断了第二个字节是否是0xf0,即使这里能够通过也会在tdpd_pkt_parser函数的第30行进行判断是否等于-0x10进行判断,也就是0xf0,才能进入漏洞函数分支

CRC_32()

该函数进行了一些运算,本质上就是CRC32的校验,在写POC时可以直接使用python中的去生成curCheckSum,填充到数据包中.

在第8行判断了长度和内容不为空,重要的的操作都在第11和12行,第11行简单来说就是整个data有多少个字节就循环多少次,第12行中的DAT_00416e90就是一个校验用的数据表.

核心操作： uVar1 = *(uint *)(&DAT_00416e90 + ((*Data ^ uVar1) & 0xff) * 4) ^ uVar1 >> 8;

先运行了*Data ^ uVar1获取了Data中的第一个字节和uVar1进行异或,在第一次进入函数uVar1的值为0xffffffff,在循环完成一次后uVar1会被重新赋值为上一次的结果

完成第一步的操作后将和0xff进行逻辑与操作并乘4,假设现在的通过运行算后生成了一个叫NewData的指针

*(uint *)(&DAT_00416e90 + NewData) ^ uVar1 >> 8现在的公式是这个样子的,因为uint类型会从指针的位置获取4个字节,根据运算符的优先级会先运行uVar1 >> 8在将从DAT_00416e90获取的数据和uVar1 >> 8的结果进行异或生成我们的新的uVar1,并进入下一次循环.

一下是python对这个操作的还原,值得注意的是在最后的生成的值由于 C 语言中整数类型的表示方式是使用补码,所以我们在python中还原校验是一个负数我们需要将他转换为无符号整数,当然如果你直接使用就不需要考虑这个了,在最后都需要将结果打包成一个32位大端的字节串才能够拼接Payload