关键信息 目标设备 设备型号: TOTOLink A3100R 固件版本: V5.9c.1527 漏洞类型 类型: 缓冲区溢出 (Buffer Overflow) 漏洞描述 原因: 在 中的 接口中,对 参数的输入验证不当。 影响: 远程攻击者可以利用此漏洞在系统上执行任意代码或导致服务拒绝。 技术细节 函数分析: 使用 IDA 分析 函数,发现 变量通过 被复制到 ,但没有进行过滤或长度检查。 风险: 如果用户提供的 数据过长,会导致缓冲区溢出,覆盖相邻内存区域,可能导致程序崩溃或被进一步利用。 利用方式 方法: 攻击者可以通过发送带有恶意配置文件的 API 请求、构造特制的 HTTP 请求(包含过长的 字符串)来触发漏洞。 POC (概念验证) 请求示例: