Frankenstein:为无线设备固件提DDoS防御供qemu模拟执行和Fuzzing漏洞挖掘的框架-墨者安全-墨者盾
DDOS防御_CC防护_高防CDN服务器_【墨者安全】—墨者盾墨者盾—你的网站贴身保镖!
QQ:800185041
高防免费接入:400-0797-119

渠道合作:156 2527 6999

主页 > CC防护 > Frankenstein:为无线设备固件提DDoS防御供qemu模拟执行和Fuzzing漏洞挖掘的框架

Frankenstein:为无线设备固件提DDoS防御供qemu模拟执行和Fuzzing漏洞挖掘的框架

小墨安全管家 2020-10-20 12:27 CC防护 89 ℃
DDoS防御

其次,攻击者没有有关当前堆布局的反馈。我们必须确保在下一具缓冲区分配之前调用shellcode,这必须修复损坏的堆。否则,我们将取消引用位于溢出地址处的任何数据,并将其视为堆缓冲区。在大多数事情下,这将导致崩溃。

当应用程序执行分配时,将找到与请求的大小相对应的正确块池。第一具缓冲区从空暇列表中猎取,并返回给应用程序。空暇列表头如今指向该列表中的第二个缓冲区,结果状态如下所示。虽然在Nexus 5和CYW20735B-01之间举行了6年的开辟,但它们都使用ThreadX处理类似的Block缓冲区。

    bloc = *(buffer - 4) 

BLOC[0] @ 0x205DC8:       32     7 /  8            288 @ 0x2179A4 

 

 

成功举行堆喷的想法是触发“读取远程名称响应” HCI事件。分配这些事件,因为接收到“读取远程名称” HCI命令。为了触发这些命令,我们需要从主机未知的蓝牙地址举行连接,主机将尝试解析该名称。这是经过bthci_cmd_lc_HandleCreate_Connection在每个连接上设置hook并随机分配地址来实现的。

str r1, [r0] 

void dynamic_memory_Release(int buffer) { 

在此扩展中,我们能够运行以下命令来生成可重新执行状态:

此错误使我们使用仿的确CYW20735固件举行进一步的ACL含糊测试变得艰难。在固件崩溃之前,无法在音乐流或网络共享期间拍摄快照。然而,CYW20819固件没有此咨询题。

#define valid_block_ptr(pool, ptr)  \ 

ldr r0,=0x205e38 

在Nexus5上,该free操作使用存储在缓冲区标头中的块指针将缓冲区插入到空暇列表的前面。在CYW20735B-01上,此过程稍有不同,下面将举行介绍。Nexus 5 的free实现如下所示:

溢出到空暇的块缓冲区中会破坏空暇列表中的指针。结果,攻击者大概会将缓冲区分配重定向到任意地址。假如攻击者还能够操纵缓冲区的内容,则会发生任意写条件。为了利用此漏洞,攻击者需要延续分配多个缓冲区。必须幸免即将释放这些缓冲区,因为这些缓冲区将作为此列表的开头插入。我们将此策略用于CVE-2019-11516的利用。溢出后,堆即将具有以下结构。

漏洞分析

· 在目标设备上分配包含攻击者操纵的数据的缓冲区,这些数据将被写入目标位置。

要触发CVE-2019-11516,请运行hcitool -i hci1 scan并等待几秒钟到几分钟。


DDoS防御

当前位置:主页 > CC防护 > Frankenstein:为无线设备固件提DDoS防御供qemu模拟执行和Fuzzing漏洞挖掘的框架

标签列表
DDoS防御
网站分类
X
 

QQ客服

400-0797-119