Tenda AX1806路由器固件版本 v1.0.0.1，存在多处栈溢出漏洞，漏洞点在 tdhttpd 二进制文件中，使用了危险函数 strcpy 前未对参数长度进行判断，导致拒绝服务漏洞。

通过公布的漏洞编号，得知CVE编号为 CVE-2022-28971、CVE-2022-28972、CVE-2022-28970、CVE-2022-28969、CVE-2022-28973。在CVE网站中查询相关信息，得到漏洞相关信息，基本上都是溢出类漏洞：

在官网下载固件（下载链接在文末），使用 binwalk 解包固件（需要用到ubi_reader），得到 ubifs 文件系统：

查询收集CVE信息，得知漏洞点在于 fromAdvSetMacMtuWan 、form_fast_setting_wifi_set 、fromSetIpMacBind、GetParentControlInfo、fromSetWifiGusetBasic 函数中。

对于这种路由器系统来说，路由器一般都是通过 httpd 服务来运行路由器管理页面，用户在修改路由器配置时直接在管理页面上提交数据，交给 httpd 服务程序处理，所以可以在固件系统中查找 httpd 相关文件然后分析。使用 grep -r httpd . 命令在 ./bin 文件夹下查找到一个 tdhttpd 可执行程序：

将 tdhttpd 放入IDA查看，ARM 32位小端，文件没有去掉符号，很容易分析。接下来分析上面提到的几个漏洞函数。fromAdvSetMacMtuWan 内调用函数 sub_658D8，sub_658D8 内字符串拷贝前未对输入参数做长度判断：

form_fast_setting_wifi_set 函数在处理 timeZone 参数时未对长度进行判断：

fromSetIpMacBind 就更离谱了，未对长度进行判断，无论如何都将内容拷贝到v20变量中：

GetParentControlInfo 函数在拷贝到堆块时未对长度进行判断，导致堆溢出：

fromSetWifiGusetBasic 函数也是没有判断参数长度直接进行拷贝：

使用 sudo qemu-arm-static -L . ./bin/tdhttpd 模拟运行固件，运行时监听了80端口，但无法访问页面：

这个是因为IP地址不对，可以另起一个终端查看80端口的IP地址：

这时候需要新建一个网桥：

新建网桥后除了本地网卡 ens33 以外多了一个 br0 网卡：

然后安装 arm 环境的 libc，把 qemu-arm-static 拷贝到固件根文件夹下，再次运行 httpd 服务，就可以模拟成功并访问页面了：

虽然能模拟部分页面，但是 Wi-Fi 功能是不能用的，因为 Wi-Fi 功能需要独立的硬件来支持，所以如果要测试 Wi-Fi 功能相关的接口，还是需要购买路由器才行。由于我是纯模拟，没有购买路由器，所以测试接口的时候参考了公布的PoC代码，这里模拟固件只是方便复现调试。Poc代码如下：

可以使用 gdb-multiarch 来动态调试Poc，只需要在qemu运行时加上调试参数。qemu运行命令如下：

调试脚本如下：

执行Poc，因为栈中返回地址被覆盖，最后会返回段错误信息，qemu 崩溃退出。但如果在实际过程中，路由器就已经宕机了：

因为是 strcpy 对字符串进行拷贝，遇到空字符会截断，所以无法构造地址进行利用，只能达到拒绝服务的攻击目的。

总结下来就是使用危险函数 strcpy 前未对参数进行长度判断，导致栈溢出。可将 strcpy 函数替换为 strncpy 函数控制拷贝字符长度，或者在使用 strcpy 前对长度进行判断。

AX1806 升级软件_腾达(Tenda)官方网站

IoT-vuln/Tenda/AX1806 at main · d1tto/IoT-vuln

写给初学者的IoT实战教程之ARM栈溢出