Dữ liệu được ghi đè sang các vùng nhớ khác, ta có thể thấy vùng nhớ 0x3577c đã bị ghi đè bởi chuỗi `cat /etc/passwd > /tmp/pwn`(vùng khoanh đỏ hình bên dưới).
Với việc ghi đè vùng nhớ 0x3577c, có thể thực hiện lệnh qua lời gọi hàm hệ thống bởi modem và thực hiện lệnh trên modem với quyền cao nhất. Nhưng do chương trình kiểm tra giá trị của biến wan_state, nên cần phải thực hiện một số kỹ thuật để có thể khai thác và thực hiện thành công lệnh trên modem.
Thực thi lệnh từ xa qua khai thác lỗ hổng bảo mật Buffer overflow
Với lỗ hổng buffer overflow ở trên, vùng nhớ 0x3755c có thể ghi đè thành câu lệnh “cat /etc/passwd > /tmp/pwn” với request sau:
Nhưng với request trên thì giá trị của wan_state (nằm tại ô nhớ 0x35768) cũng bị ghi đè thành “AAAA”, dẫn tới lệnh không được thực thi bởi hàm system() trong hàm diag_check.
Để có thể thực hiện lệnh, ta cần thiết lập giá trị (layout) của bộ nhớ như sau:
Việc đòi hỏi giá trị wan_state = 0x00000001 sẽ tạo ra null-byte trong quá trình copy dữ liệu sử dụng hàm strcpy. Dựa trên đặc điểm static của vùng nhớ .DATA mà có thể sử dụng thủ thuật dưới đây để có thể cài đặt layout của bộ nhớ và thực hiện lệnh.
Lúc này, giá trị của 0x3577c đã chứa nội dung lệnh cần thực hiện.
Kết nối thứ 2:
14:00 | 10/05/2024
Một lỗ hổng bảo mật mới được phát hiện trong ngôn ngữ lập trình R, có thể bị kẻ tấn công khai thác để tạo tệp RDS (R Data Serialization) độc hại dẫn đến việc thực thi mã tùy ý khi được tải và tham chiếu.
07:00 | 11/03/2024
Mới đây, các nhà nghiên cứu của hãng bảo mật Kaspersky (Nga) đã phát hiện một Trojan ngân hàng tinh vi mới đánh cắp thông tin tài chính nhạy cảm có tên là Coyote, mục tiêu là người dùng của hơn 60 tổ chức ngân hàng, chủ yếu từ Brazil. Điều chú ý là chuỗi lây nhiễm phức tạp của Coyote sử dụng nhiều kỹ thuật tiên tiến khác nhau, khiến nó khác biệt với các trường hợp lây nhiễm Trojan ngân hàng trước đó. Phần mềm độc hại này sử dụng trình cài đặt Squirrel để phân phối, tận dụng NodeJS và ngôn ngữ lập trình đa nền tảng tương đối mới có tên Nim làm trình tải (loader) trong chuỗi lây nhiễm. Bài viết này sẽ phân tích hoạt động và khám phá khả năng của Trojan ngân hàng này.
10:00 | 21/02/2024
Một tác nhân đe dọa có động cơ tài chính đã sử dụng thiết bị USB để lây nhiễm phần mềm độc hại ban đầu và lạm dụng các nền tảng trực tuyến hợp pháp, bao gồm GitHub, Vimeo và Ars Technica để lưu trữ các payload được mã hóa.
11:00 | 25/01/2024
Chiến dịch phát tán phần mềm độc hại Phemedrone (chiến dịch Phemedrone) thực hiện khai thác lỗ hổng Microsoft Defender SmartScreen (CVE-2023-36025) để bỏ qua cảnh báo bảo mật của Windows khi mở tệp URL.
Năm 2024, các tác nhân đe dọa được dự báo sẽ tận dụng sức mạnh của trí tuệ nhân tạo (AI) để thực hiện các hoạt động lừa đảo một cách thông minh hơn. Bằng việc sử dụng công nghệ AI tạo sinh, chúng có thể tạo ra các chiến thuật tấn công mới, khó phát hiện và kiểm soát.
16:00 | 18/05/2024