TP-Link路由器中,tdpServer守护进程通过在本地0.0.0.0接口的UDP 20002端口进行监听,为TP-Link移动应用程序对路由器建立控制提供了基础。此进程与应用程序之间通过加密的UDP数据包进行通信。经过逆向分析,可得出数据包格式。值得注意的是,当数据包的type字段为0xf0时,守护进程提供onemesh服务,该服务是TP-Link新...
设备启动,调用tdpd_pkt_handler_loop()(地址:0x40d164)——监听端口20002接收到数据传递——tpdp_pkt_parser()(地址:0x40cfe0) tpdp_pkt_parser() 第一部分:检查数据包、校验和的验证 第二部分:type判断即调用服务选择 第三部分:标志字段onemesh_flag为1,进入onemesh_main()(地址:0x40cd78),onemesh_mai...
tdpServer进程的监听地址为0.0.0.0,使用UDP端口20002。目前我们尚未完全澄清该守护进程的所有功能,但这并不影响漏洞利用。该进程似乎是用来建立TP-Link移动应用以及路由器之间的桥梁,以便用户能从移动应用端控制路由器。 该进程会使用UDP数据包与移动应用通信,数据包载荷经过加密处理。我们还原出了数据包格式,如下所示:...
tdpServer守护进程在本地0.0.0.0接口的UPD 20002端口监听,为TP-Link移动应用程序对路由器建立控制提供基础,守护进程与应用程序之间通过使用带有加密payload的UDP数据包通信,逆向分析得到数据包格式如下: 数据包的格式决定了守护进程提供的服务,例如type为0,守护进行将提供tdpd服务,使用特定的TETHER_KEY哈希值的数据包进行...
在tdpServer上0.0.0.0 UDP端口20002的守护进程在做监听,目前尚未完全了解守护进程的整体功能,这对于开发者来说是不必要的。但是,该守护进程似乎是TP-Link移动应用程序和路由器之间的桥梁,从而允许从移动应用程序建立某种控制。 守护进程通过使用带有加密payload的UDP数据包与移动应用程序进行通信。
漏洞成因是tdpServer服务中存在特定缺陷,该服务默认情况下侦听UDP端口20002。解析slave_mac参数时,该过程在使用用户执行的系统调用之前未正确验证用户提供的字符串,攻击者可以利用此漏洞在root用户的上下文中执行代码。 0x01 环境配置 本文中,调试和大多数分析都是在路由器上完成的。关于如何通过USB-TTL设备从路由器获取...
在LAN 口上监听的服务中,tdpServer 服务可以通过端口 20002 上的UDP协议访问,使用名为TDP的专有协议,有2篇相关详细解释了 TPD 协议的工作原理,阅读之后能更加理解本文: https://www.thezdi.com/blog/2020/4/6/exploiting-the-tp-link-archer-c7-at-pwn2own-tokyo ...
udp 0 0 0.0.0.0:20002 0.0.0.0:* 325/tp_manage udp 0 0 0.0.0.0:38000 0.0.0.0:* 1087/ntpd udp 0 0 0.0.0.0:3702 0.0.0.0:* 969/nvid 我们可以看到nmap扫描中看到的那些开放端口背后的进程,例如uhttpd或cet。我特别关注这个uhttpd过程,因为它是服务器背后的那个https(当时我仍然认为它是http)而且我...
品牌: 凌视 浩群 设备类型: 普通交换机 千兆以太网交换机 网管交换机 企业级交换机 智能交换机 光纤交换机 百兆交换机 千兆交换机 路由交换机 数量: 10001 10003 10004 10027 10107 20002 20007 综合排序 人气排序 价格 - 确定 已核验企业 所有地区 ...
在监听局域网的服务中,tdpServer是为了在Pwn2Own上进行研究和开发的。可以通过端口20002上的UDP访问此服务,该端口使用名为TDP的专有协议。至少有2个博客文章详细解释了TPD协议的工作原理: ·https://www.thezdi.com/blog/2020/4/6/exploiting-the-tp-link-archer-c7-at-pwn2own-tokyo ...