提要
该文档会一直处于更新当中,当状态为完毕后,才是更新完成。由于网络上关于该漏洞原理的分析文档和资源实在是太少,而本人关于该方向也才是刚入门,能力有限,所以复现需要的时间较长,需要补充和学习的东西较多,若大家有什么建议,欢迎评论区一起讨论进步。
漏洞简介
OpenWrt是一套针对嵌入式设备的Linux操作系统,libubox是其中的一个提供事件循环、二进制格式处理、Linux链表实现和JSON辅助处理的基础库。
该漏洞与标记的二进制数据的JSON转换部分(blob)有关。Blob属性有足够大的double类型数值,由blobmsg_format_json处理,会溢出为堆栈上分配的JSON输出指定的缓冲区数组。攻击者可以向blobmsg_format_json提供特制的二进制blob或JSON输入,从而在double值序列到JSON缓冲区时造成堆栈溢出。
受影响的漏洞版本:
OpenWrt 18.06.0 - 18.06.6
OpenWrt 19.07.0-rc1 - 19.07.0
漏洞原理分析
本次我们选取的漏洞分析环境的版本是Openwrt18.06.5,具体的漏洞的源代码等内容我们在另一篇博客,关于CVE-2020-7982的漏洞复现中,已经提到了代码的位置,如下地址参考:
CVE-2020-7982 OpenWrt 远程命令执行漏洞学习(完结)_openwrt 漏洞-CSDN博客
本次实验要分析的源代码的参考地址如下,后续我们不再赘述
https://git.openwrt.org/?p=project/libubox.git;a=blob;f=blobmsg_json.c;h=ec8b482c30c96a355aca58651632bc509a16bedf;hb=HEAD
根据漏洞的介绍,我们需要先找到libubox的源代码
该项目的地址如下
https://git.openwrt.org/?a=project_list;pf=project
之后我们在blobmsg_json.h中可以找到我们想要的函数blobmsg_format_json
根据函数的内容声明,其会先调用blobmsg_format_json_with_cb这个函数,我们可以在blobmsg_json.c文件中找到这个函数
首先定义了一个strbuf的结构体s,并且初始化内容为0。strbuf 结构体通常用于在C语言中表示可变长度的字符串缓冲区。它通常包含有关缓冲区内容和大小的信息,以便可以方便地进行字符串操作。
一般而言,strbuf 结构体可能包含以下成员:
char *buf:指向存储字符串数据的内存缓冲区的指针。size_t len:当前字符串的长度。size_t alloc:分配给缓冲区的内存空间大小。
之后其调用函数setup_strbuf 具体如下图
