USDT自动充值API接口

菜宝钱包(caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

0x0 前言
来自GRIMM的平安研究职员Adam Nichols和来自越南互联网服务提供商VNPT 的研究职员d4rkn3ss剖析讲述了一个影响Netgear路由器的严重的栈缓存溢出远程代码执行破绽,破绽CVSS 评分为8.8分,破绽影响79种差异型号的Netgear路由器的758种固件版本,受影响的固件中最早的版本是2007年公布的。远程攻击者行使该破绽可以以root权限执行代码,并接受装备。

影响路由器:

AC1450
D6220
D6300
D6400
D7000v2
D8500
DC112A
DGN2200
DGN2200v4
DGN2200M
DGND3700
EX3700
EX3800
EX3920
EX6000
EX6100
EX6120
EX6130
EX6150
EX6200
EX6920
EX7000
LG2200D
MBM621
MBR624GU
MBR1200
MBR1515
MBR1516
MBRN3000
MVBR1210
CR4500
R6200
R6200v2
R6250
R6300
R6300v2
R6400
R6400v2
R6700
R6700v3
R6900
R6900P
R7000
R7000P
R7100LG
R7300
R7850
R7900
R8000
R8300
R8500
RS400
WGR614v8WG
R614v9WG
R614v10
WGT624v4
WN2500RP
WN2500RPv2
WN3000RP
WN3100RP
WN3500RP
WNCE3001
WNDR3300
WNDR3300v2
WNDR3400
WNDR3400v2
WNDR3400v3
WNDR3700v3
WNDR4000
WNDR4500
WNDR4500v2
WNR834Bv2
WNR1000v3
WNR2000v2
WNR3500
WNR3500v2
WNR3500L
WNR3500Lv2
XR300

0x1 简介
要害点:Netgear R7000,版本1.0.11.100_10.2.100及之前,未认证绕过获取到ROOT权限。

PoC代码参见:https://github.com/grimm-co/NotQuite0DayFriday/tree/master/2020.06.15-netgear

0x2 准备
版本 V1.0.11.208_10.2.101(已经修复):http://support.netgear.cn/Upfilepath/R7000-V1.0.11.208_10.2.101.chk

版本 V1.0.11.100_10.2.100(存在破绽):https://www.downloads.netgear.com/files/GDC/R7000/R7000-V1.0.11.100_10.2.100.zip

调试的程序:httpd

0x3 工具
静态剖析:IDA

获取文件系统:binwalk

程序调试工具:gdbserver、IDA

串口调试工具:Hyper Terminal软件、TTL转USB转接板

0x4 测试环境
Netgear R7000路由器真机测试,可以在某宝上或者某鱼上购置,价钱不贵(学到的知识是无价的)。

0x5 串口调试
Netgear R7000路由器自身带有串口引脚,以是就没需要太过于费劲寻找串口引脚。如下图所示,是已经毗邻好的串口。

如下图是USB转TTL转接板,本人为什么先把这个工具插入到USB口,而不是USB转TTL转接板毗邻杜邦线(正常是提前毗邻杜邦线,USB转TTL转接板毗邻USB口,再打开Hyper Terminal,最后开启路由器,数据就会在Hyper Terminal显示),再去毗邻USB口,是有缘故原由的,主要是由于,若是提前毗邻好杜邦线,再插入到USB口,那就获取不到信息(不信可以自行实验,本人之前也遇到过类似的坑,脱坑后一直想着这个点)。

打开Hyper Terminal软件,调整好信息(Netgear R7000路由器使用默认信息即可,不用修改信息),点击确定。

开启路由器,守候几秒钟,再将杜邦线插入到TTL转USB转接板上(按着GND-GND、RXD-TXD、TXD-RXD的接法接),如下图所示。

,

Usdt第三方支付接口

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

,

此时就会在Hyper Terminal上打印信息。当打印启动完成后,获取到ROOT权限,便可以举行下一步的调试事情。

0x6 httpd程序调试
进入到路由器后,使用wget下载gdbserver程序举行调试(由于Netgear R7000是arm架构,以是需要下载arm架构的gdbserver)。

凭证网上曝光的poc来看,破绽点是在如下图的地址所示,只要能控制v9的巨细,便可以溢出s的值。然则想触碰着破绽点,必须要绕过 strcmp(src,",$^") ,而 src 必须是,$^,否则无法绕过,src是我们可以控制的数据,以是绕过这个函数并不难。只要在 *,$^ 数据的后面放入00便可以轻松绕过。

想要到达破绽点,尚有两个点需要绕过,s1(所有的数据) 必须存在name="mtenFWUpload",而且name="mtenFWUpload"的数据之后需要存在 \r\n\r\n,以是在组织数据的时刻必须是name="mtenFWUpload" ... \r\n\r\n。

可以看到R1寄存器(src的值)的值是我们控制的长度,而且这个长度是可以溢出到返回值地址处。

没有执行memcpy之前R0的值(s的值)是没有数据的,执行之后,就笼罩了组织好的数据。

运行到POP处,此时的SP的地址是0XBE911E54,就是已经被笼罩成了BBBB,由于ARM架构的特征,它会先将BBBB...IIII的数据存放到R4-R11的寄存器中,真正复制给PC的值是0X003D000,以是最终的返回值地址是0X003D000。

经由组织,程序会跳转到0X003D000地址处,将SP(此时的SP已经是0xBE911E78,以是是utelnetd -p 8888 -l /bin/sh的值)赋值给R0,并传给system函数执行下令,到达随便下令执行破绽的效果。

0x7补丁对照
图7.1(V1.0.11.208_10.2.101)是已经打过补丁的,限制了v9的长度,而图7.2(V1.0.11.100_10.2.100)并没有对v9的长度举行限制,才导致溢露马脚。


图 7.1


图 7.2

0x8 小结
这个破绽原理相对来说对照简朴,挺适合入门的明晰

串口调试时要注重TTL转USB转接板接入。

组织的poc中必须有*,$^,而且后面必须跟00,否则无法绕过strcmp。

0X003D000是很好的执行点,不需要跳转到libc库中,相对来说行使照样对照简朴的。

导致溢出的缘故原由,没有限制用户数据的长度。

Usdt官方交易所声明:该文看法仅代表作者自己,与本平台无关。转载请注明:usdt手续费怎么收(www.caibao.it):复现影响79款Netgear路由器高危破绽
发布评论

分享到:

usdt otc api接入(www.caibao.it):大范甘迪:激励人们多接种疫苗,这是能脱节现状的出路
2 条回复
  1. 卡利注册
    卡利注册
    (2021-04-02 00:01:36) 1#

    Allbetwww.allbetgame.us欢迎进入欧博亚洲(Allbet Game),Allbet是欧博亚洲的官方网站。欧博亚洲开放Allbet注册、Allbe代理、Allbet电脑客户端、Allbet手机版下载等业务。值得看的

  2. 澳5彩票开户(a55555.net)
    澳5彩票开户(a55555.net)
    (2021-09-17 00:02:36) 2#

    USDT交易所www.Uotc.vip),全球頂尖的USDT場外擔保交易平臺。

    太硬核了

发表评论

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。