关键漏洞信息 漏洞描述 TOTOLINK N150RT V2 固件版本 V3.4.0-B20190525 在 路径中存在缓冲区溢出漏洞,涉及 参数。 设备信息 设备: TOTOLINK N150RT 固件版本: N150RT_V2_Firmware V3.4.0-B20190525 制造商网站: https://www.totolink.net/ 固件下载地址: https://www.totolink.net/home/menu/detail/menu_listpl/download/id/153/ids/36.html 漏洞详情 在处理 POST 请求时, 变量接收 参数的输入。由于用户可以控制 参数的输入, 语句可能导致缓冲区溢出漏洞。 漏洞利用步骤 1. 使用 QEMU 运行固件。 2. 在终端上使用 命令确认 boa 服务器正在运行。 3. 使用 BurpSuite 发送包含恶意 参数的 POST 请求。 4. 再次使用 命令检查,发现 boa 服务器已崩溃,浏览器无法访问服务。 代码片段示例 结果 发送恶意请求后,boa 服务器进程消失,导致服务不可用。