首页 > 菜鸟学院 > 技术分析:“厄运cookie”漏洞(CVE-2014-9222)解密

技术分析:“厄运cookie”漏洞(CVE-2014-9222)解密

时间:2015-03-04 | 来源:互联网 | 阅读:118

话题:

所以,让我们来找出“解锁”字节的准确位置。通过追踪字符串”Do not need passwordauthentication for configuration!”,在ROM:801F9168的指令中,看起来“解锁”字节在地址0x8034FF94上。现在,让我们来验证它。通过0×80000000的内存备份,固件的解压工作在地址0x80014BC0之前已经完成,还有通过指令”jalr $s0”跳转到 0×80020000地址。通过IDA Pro,我们可以知道$at 等于0×80020000,如果我们把ROM:0x80014BC0的指令”jalr $s0”更改到”sw $s0, -4($at)”,那么当镜像被解压后,它会复制$s0里面的内容到0x8001FFFC,然后在这停止启动。所以通过读取地址0x8001FFFC的内容,我们可以知道zynos将要跳转到0×80020000或者其他地方。

让我们试一试:

BootbaseVersion: VTC_SPI1.26 |  2012/12/2616:00:00 RAM: Size= 8192 Kbytes Found SPIFlash 2MiB Winbond W25Q16 at 0xbfc00000 SPI FlashQuad Enable Turn offQuad Mode   RASVersion: 1.0.0 Build 121121 Rel.08870 System   ID: $2.12.58.23(G04.BZ.4)3.20.7.020120518_V003  | 2012/05/18   Press anykey to enter debug mode within 3 seconds. ............ EnterDebug Mode ATEN1,A847D6B1 OK ATWL80014BC0, ac30fffc OK atgr      (Compressed)      Version: FDATA, start: bfc85830      Length: A94C, Checksum: DCEE      Compressed Length: 1D79, Checksum: 01BB Flash datais the same!!      (Compressed)      Version: ADSL ATU-R, start: bfc95830      Length: 3E7004, Checksum: 3336      Compressed Length: 122D57, Checksum: 3612   ERROR atrl8001fffc 8001FFFC:80020000


湘ICP备2022002427号-10湘公网安备:43070202000427号
© 2013~2019 haote.com 好特网