本文深入分析了CVE-2020-26567,该漏洞存在于DSR-250N和DSR-500N路由器的旧固件中。通过未授权访问`upgradeStatusReboot.cgi`文件,攻击者可导致设备拒绝服务。固件分析涉及手动提取、固件结构解析和漏洞触发点的确定。漏洞已在3.17B固件中得到修复。此外,文章介绍了固件提取和CGI文件系统的工作原理,以及不同地区固件触发漏洞的差异。
漏洞信息
漏洞编号:CVE-2020-26567漏洞详情:在路由器DSR-250N、DSR-500N路由器的固件版本3.17之前的固件中存在一个upgradeStatusReboot.cgi文件,未授权访问此文件能造成设备拒绝服务,不过这个漏洞在3.17B中已修复。
接下来我将从两个固件中来分析这个漏洞产生的原因,和其中的漏洞点,并且在分析的过程中,讲解一些分析固件中所要关注的点。
DSR-250N 固件分析
首先我们先获取来进行对DSR-250N固件的分析,我们很简单的就可以从D-Link Support 那里下载到我们要的固件DSR-250N_Ax_FW3.12_WW。
手动提取固件
拿到固件的第一步,大部分情况下都是用Binwalk来查看固件所带有的信息。用习惯了自动提取固件,这回,我们来手动分析固件然后提取我们需要的文件系统。直接打开固件,我们先从固件文件系统最常见的中squashfs文件系统来入手,以squashfs文件系统为例,我们首先要确定固件的magic签名头,常见的squashfs的头部特征有这些sqsh、hsqs、qshs、shsq、hsqt、tqsh、sqlz。这里确定了固件的“hsqs”,发现了有两个,那么这个固件有可能是有两个squashfs类型的文件系统。
[<img src=“https://p3-juejin.byteimg.com/tos-cn-i-k3u1fbpfcp/67d37db789d44d04ab498269be5feae9~tplv-k3u1fbpfcp-zoom-in-crop-mark:4536:0:0:0.image)](https://link.juejin.cn/?target=https%3A%2F%2Fwww.oschina.net%2Faction%2FGoToLink%3Furl%3Dhttps%253A%252F%252Fp1.ssl.qhimg.com%252Ft01fa5727aece7387ea.png “https://www.oschina.net/action/GoToLink?url=https%3A%2F%2Fp1.ssl.qhimg.com%2Ft01fa5727aece7387ea.png”” style=“margin: auto” />
我们现在已经知道了文件的magic签名头,那么我们怎么确定squashfs文件系统的大小。使用先将 “hsqs”的 magic 签名头的偏移地址开始 dump 出一段数据(一般 squashfs 文件
最低0.47元/天 解锁文章
扫一扫
4274
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
