TP-Link WR940N V6 脆弱性

[stack]
b1ack0wl ❤️
バックグラウンド
ワームを見つける時代遅れのアプローチ #1 時代遅れのアプローチ #2
) Bindiff HTTPd Bindiff Diagnosis Hostapd Bindiff Diagnosis
重複する地物の検索
搾取雰囲気搾取 (続き)
物探し
ノート
2022 年 6 月 23 日
Exodus Intelligence がを公開脆弱性は、TP-Link 製 WR940N V5 および WR941ND V6 ルータに影響を与えました。このワームは、「初期化されていないポインターの脆弱性」として分類されています。、それでも手元に WR940N V6 マネキンしかなかったので、V6 マネキンのシークレットエージェントを雇うよりも早く WR940N V5 ファームウェアを分析することにしました。しかし、予後を通して、いくつかのギャップに気付きました。一時停止の結果が同じであるため、それらは恐ろしいものです。このワームを発見するための 2 つの手法を、実を言うと古代の戦術で指摘します UPnP ダイアグラムアーキテクチャ 2.0 PDF
 . アドバイザリに記載されている HTTP マップ SUBSCRIBE は GENA に関連付けられています。  (全般的 え ベント N 通知  あ アーキテクチャ) UPnP の割り当ては、外部デバイスが SUBSCRIBE できるイベンティングを処理するために有罪です および UNSUBSCRIBE to.  の簡単な grep を実行する SUBSCRIBE を抽出したファームウェアは 3 つのバイナリ ファイルを返します:
$ grep -r "SUBSCRIBE  " . バイナリファイル ./sbin/hostapd に適合 バイナリファイル ./lib/libwpa_common.so に適合 バイナリファイル ./usr/bin/httpd に適合 
 ビンディフに飛び込む前に、決心したバイナリのハッシュを評価して、バイナリをすぐに削除できるかどうかを教えます。 ハッシング マップ プローン (MD5) は「パニック」と呼ばれていますが、この記事の公開時点で、生成されたバイナリ内で MD5 ハッシュの衝突を報告する承認済みのルーター ベンダーはありません。
パッチ未適用FW (v.211111): ef7abcd4f5a2289c24a50c9fa9fda8a1 ./sbin/hostapd 45725cdfe9ad7d8323c50167908acc23 ./lib/libwpa_common.so 4dac0ec14e36001092cc2560f297a715 ./usr/bin/httpd Patched FW (v.220610): 8aa55621c7277b7cc998ecc80fd9d6a4 ./sbin/hostapd 45725cdfe9ad7d8323c50167908acc23 ./lib/libwpa_common.そう 4feb70561feb0391404ee29712b0144e ./usr/bin/httpd  バイナリをハッシュして全体を比較するのは時間の無駄ですが、この場合、ファイルを削除するのに役立ちました ./lib/libwpa_common.so として2 つの MD5 ハッシュが一致しました。 これにより、2 つのファイル ./sbin/hostapd のみが残ります。  および ./usr/bin/httpd 。 ここから、Bindiff を利用して、どのバイナリに脆弱性が含まれているかを特定します時代遅れのアプローチ #2 投稿されたアドバイザリで UPnP / GENA への言及が削除されたというサーブとフェイクをスランプしましょう。 例として、この仮説の代表者は脆弱性勧告でよく起こります 
 CVE-2014-4126 には次の情報が含まれています: "Microsoft Info superhighway Explorer 10 および 11 により、巧妙な Web マップ (別名 "Info superhighwayエクスプローラーのメモリ破損の脆弱性。". 脆弱性はプロバイダー内にあるため、抽出したファームウェア内に実行可能ファイルの記録を作成して起動するのが正しい解決策です。 get シークレット エージェントができるファイルの数実行可能としてマークされました。
$ get . -executable -kind f | wc -l 170 
うわぁ！ 一流のシークレット エージェントでは、このファームウェア イメージ内に大量の実行可能ファイルが含まれているように見えますが、それにもかかわらず、何かが発生した場合 binwalk がファームウェアの解凍になった？ 男にシークレットエージェントを連れて行くことで get のページ -exec を利用する可能性が高い すべてのファイルにチャンスがあれば、追加のタスクを実行するアクション。 ファイルを活用してすべてのファイル名の後に file の出力を出力する可能性があります。 最初のいくつかのエントリでシークレットエージェントを取得した後、返されたファイルの多くがもはや ELF ファイルではないことが明らかになりました.
./web/login/input-box1.png: PNG画像データ、250×32、8bit/カラーRGBA、ノンインターレース./web/help/WanSlaacCfgHelpRpm.htm: HTML ドキュメント、ASCII テキスト、非常に長い行、CRLF 行終端記号付き">
$ get . -executable -kind f -exec file '{} ' ; ./など/ath/wsc_config.txt: ASCII テキスト ./など/ath/default/default_wsc_cfg.txt: ASCII テキスト./web/login/enter-box1.png: PNG画像データ、250×32、8ビット/カラーRGBA、ノンインターレース ./web/aid/WanSlaacCfgHelpRpm.htm: HTML doc、ASCII テキスト、非常に長いトレース、CRLF 行終端文字 
 ファイルの量をスライスするために、の出力get は  にパイプされますgrep で「ELF 32」を検索-bit」を出力します。 <8aa55621c7277b7cc998ecc80fd9d6a4  ./sbin/hostapd--->
$ゲット。  -executable -kind f -exec ファイル '{}' ;  | |  grep "ELF 32 ビット" -c 72 
 実行可能ファイル (ライブラリを含む) の記録が 58% 減少したため、次の手順では、エビの bash を更新します。ファイルをハッシュしてから評価するように入札します。 それは一筋縄ではいきませんが、逆にレコードをさらにスライスするのに役立つかもしれません. へリストを生成し、抽出されたすべての squashfs 内で入札の調整が実行されます ディレクトリ
$ゲット。  -executable -kind f -exec ファイル '{}' ;  | |  grep "ELF 32 ビット" | スライス -d ":" -f 1 | 教えられながら-r文字列;  md5sum $string を制定します。  performed 50a9bc41ebc4db4bcdf526b64e8b9ae2 ./bin/busybox 0781d8cd42137165f4b38eb67b41e07c ./sbin/wifitool e5d4b3d6d5ce16592b23c82a7872b97e ./sbin/iwpriv dd22c3d54c059547fabc4ce7d9c92adf ./sbin/iwlist 9a71298edacef371a920509249373d06 ./sbin/iptables-multi 17dbb88ae25c0323984e754aa0628ed8 ./sbin/tc 4a9af1c3a57b36ef4e31542c9a1228aa ./sbin/iwconfig 02dbb91d7fd6401158aea9021de72cf5 ./sbin/ wpa_supplicant ef7abcd4f5a2289c24a50c9fa9fda8a1 ./sbin/hostapd c1efb3e78c002b7a82d2d28739bfcb1d ./sbin/wlanconfig e1aef559e8ccf27b79b83e05f577bd59 ./lib/ld-uClibc-0.9.30.so 45725cdfe9ad7d8323c50167908acc23 ./lib/libwpa_common.so 7c34616b9c965c7dd4f8e1b1f2d18d6f ./lib/libip6tc.so.0.0.0 3d5625439ce9cd389bd3b7ebcc3eb6e1 ./ lib/libxtables.so.2.1.0 368cd21ea41bcece3ecd41335fcbba97 ./lib/libwolfssl.so.14.0.0 452a4826c92c8a51284af5007d9a6db8 ./lib/libiptc.so.0.0.0 b3a33a68a1ef0cfa2a5bd6878d2e3310 ./lib/libwpa_ctrl.so [...etc] 
動作中 diff[stack]  2 つのファイルで、最終的に次のようになります:
$ diff unpatched_executables_md5.txt patched_executables_md5.txt  50a9bc41ebc4db4bcdf526b64e8b9ae2 ./bin/busybox 9c9  ef7abcd4f5a2289c24a50c9fa9fda8a1 ./sbin/hostapd 60c60  4dac0ec14e36001092cc2560f297a715 ./usr/bin/httpd 
 72ファイルの記録は現在、実際の 3 つのファイルに縮小されています。 次のステップは、これらのファイルを Binexport で処理することです。  そして Bindiff . 2つのプリミティブ戦術の間  s、ファイル /sbin/hostapd および /usr/bin/httpd  は、ファイル /bin/busybox[heap] の間、すべてのリストにあります。  は、すべてのリストの 1 つの中にのみ存在します。 ワームを発見する可能性を高めるために、ファイル hostapd および httpd  は、busybox を残しながら発足したと見なされます。  締めくくりにも、どんな点でも。 HTTPd Bindiff 診断から始まる httpd と Bindiff 降順類似度バッグによる予後、分析されたほぼすべての機能が偽物 (別名 MIPS NOP 方向の肉付き。NOP=0x00000000) であるか、WAN リンク接続にリンクされていたことが偶然になりました。 分析された関数は、近傍変数の初期化に関連する方向性を把握していませんでした。  (例 sw $zero ($sp)) また、脆弱性の担当者にパッチを適用しているようには見えませんでした.
 
する時間になりました次のバイナリに切り替えます hostapd.   の bindiff 出力を分析する場合hostapd 降順の類似度バッグでは、1 つの特徴だけが際立っていて、それが sub_004498D4.  適応で秘密エージェントを使用すると、1 つの命令のみがホストとして表示されるようになりました。
 命令  sw $zero 0x20($sp) の解s とれ word (4 バイト) from  $zero 通常は  にアタッチされるレジスタ0x00000000 をオフセット [stack] のローカル変数に0x20. この命令マップは、オフセット 0x20 のローカル変数 は初期化されませんでした。  (例: int foo=0; vs int foo;) このオプションの決定グラフで秘密エージェントを取ると、これが明らかになりました。オプションは、ループとエッジから生じるある種のパーサーです。  シークレットエージェントを機能に近づけ、HLILを活用する場合 この特定の機能が何らかの HTTP リクエストを解析しているように見えます。 strchr()の使い方 改行文字 (0x0a) を検索し、strncasecmp() ステートメント、それはその機能が処理に有罪であるように思われます  GENA の購読リクエスト 
 このオプションが着信サブスクリプション要求を処理し、このオプションへの 1 つの変更は、初期化される近隣変数であることがわかります。 細かい変更が私に叫んだので、それは正しい起動のように見えました  UNINITIALIZEDスタックベースの変数!!。 次のステップは、この変量がどのような傾向にあるのか、どのマップがどのようなものであるかを教えることです.
 MIPS ではレジスタ $a0 は、機能を呼び出すときの最初の引数として総傾向にあります ( の同じ) $r0 (ARMv7 では))。 したがって、スタックから $a0 にロードする方向のシークレット エージェントを取る register は本当に正しい起動です。 0x00441250 の最初の参照から開始 以下のルートが表示されます.   1 行ずつ進むと次のようになります: $a0
 には、オフセット 0x20 のスタックから DWORD が読み込まれます。 If $a0 が NULL の場合、freeaddrinfo への分岐決定() はバイパスされます。
If $a0
 が NULL ではなくなり、価格が freeaddrinfo() に渡されます。 .
 )これは、初期化されていないスタック主ベースの完全なポインター脆弱性の教科書的な例です。 任意のタグを単にこのスタック フレームに書き込むことさえできる場合、未定義のタグが freeaddrinfo().$a0 の利用への 2 次元参照 は、このポインターを初期化する可能性のある別の機能が発生しやすいと考えているように見えるだけかもしれませんが、逆アセンブルにより、$a0 レジスターは、レジスターからの価格で上書きされます [stack] $s4 を呼び出すよりも早く) 無料()。  (報酬: ファブリケートは  拡張スロット  を構成することを怠らなくなりました このスニペットを分析すると 😉 )
 
次のステップは、このスタック フレームとオーバーラップするフィーチャを検索することです。これにより、任意のフリー エンシェントを作成できます。   遡ってみると、sub_4409d4.  1 - sub_443124 addiu $sp, $sp, -0x20 2 - sub_4419f4 addiu $sp, $sp, -0xa0 3 - sub_4409d4 addiu $sp, $sp, -0xa0 いつsub_4409d4 が呼び出され、スタックは a によって調整されます。合計 -0x160。 そこで、-0x160 + 0x20 と重なる特徴を探したいと思います。  inbid to hit the uninitialized space.
 最初の要素SSDPがどのようになったかを分析したい スタックは UPnP プロトコルの一部であるため、このバイナリ内で動作します。 機能 sub_444d84文字列の秘密エージェントを取ることで偶然になりました M-SEARCH。 ここでも、HLIL を利用することで、UDP マルチキャスト経由で送信される可能性のある着信 SSDP 要求を解析する機能が有罪であることは明らかです
本当のことを言うと、どれだけ巨大なのか突き出します宛先 buf は、特にマクロ sizeof(buf)-1 の使用例に従っているためです。  内 len 1600 バイトのスタック主ベースの完全変数が recv SSDP データ。 逆アセンブルでシークレット エージェントを使用する場合、スタックは -0x6a8 によって調整されます。  と buf  パラメーターは、確かに 1600 バイトのスタック主ベースの完全なバッファーです 
SSDP 機能のスタック フレームは -0x6a8、 buf は recvfrom() になりやすい は -0x6a8+0x34 にあります。 、プローン バッファは -0x160+0x20 にあります。 。 recvfrom() 機能は、1599 バイト 0x63f の UDP ソケットから教えられます。  16 進数。 合計 char buf[1600]; バッファの場合、-0x674[...etc] から書き込みます。 -0x35 の総合解 これは、このスタック主ベースの完全なバッファが、傾向のある機能と重複していることを示しています。 以降 recvfrom()はもはやペルソナ障害を持っていませんそれは起動するための巨大なプットです！傾向のある機能が GENA 内にあること 積み重ねて壮大な古代を提供できますが、傾向のあるものから後方にスランプしたいと考えています freeaddrinfo() 電話をかけて、そこに担当する方法に関するガイドラインを解決します。 私は発足しがちです HLIL この方向に逃げて、次は伏せスペースを狙って循環と並んで決定スランプです。
 機能のエントリから、文字列のチェックがあるように見えます  wps_event これは、仮定によりサブスクリプション URI である可能性があります。  (例 SUBSCRIBE /wps_event HTTP/1.1 ).  このウェブログ内のスライスの複雑さを支援するために、以下の評価をヘッダー CALLBACK:  および NT:  これは単に発生しただけでも指摘できます。 (UPnP プロトコル PDF 内に印刷されている) からの定型購読検索情報内。 NTのタグ: の価格よりも早くCALLBACK:  が解析されます. 部分文字列のチェックが終わるとすぐに upnp:match パス (別名 strncasecmp() は 0) を返し、次に CALLBACK の価格 HTTP ヘッダーが解析されます。  の構造CALLBACK ヘッダーは次のとおりです。
折り返し電話：  
 しかし、 strncasecmp() 非 NULL を返しますか? これは、文字列 http:// を変更することを提案します CALLBACK ヘッダー内の任意のものに。  (例 0wl:// ).
おお！  HLIL の出力によると、防止する必要があるタグが付加されているように見えますか? ただし、サーブを Disassembly に切り替えると、  モードでは、合計の HLIL が少し誤解を招くことは明らかです レジスター $a0 は、オフセット 0x68[1600] に配置されたもう 1 つのローカル変数と共にロードされるように見えます。  ただし、ブランチが使用されなくなった場合は  $a0 は  からの価格で上書きされます) 0x20 これは傾向のあるオフセットです。
 このすべての情報から、次のリクエストを送信した場合、単に休憩が発生する可能性があるように見えます:    SSDP
 : (重なったスタックフレームをお楽しみください)(M-SEARCH HTTP/1.1) + ("A" オフセット) + (freeaddrinfo() の DWORD)   GENA: (freeaddrinfo() への呼び出しの割り当て) 
">
SUBSCRIBE /wps_event HTTP/1.1 NT: upnp:match コールバック:   ノート: UPnP 仕様全体 SUBSCRIBE リクエストには HTTP ヘッダー TIMEOUT が必要です。  Second-{int} に添付、それにもかかわらず、このパーサーはこの要件を取り除き、Timeout タグを  に設定します。 1801 秒。 私の考えでは、他の UPnP 実装内でこの奇妙な点をすぐに見たことはありませんでした.  GDB が hostapd 2 つのリクエストは送信され、最終的には次のようになります:   0x2ab734cc: jalr t9 0x2ab734d0: lw s0,28(s0) (gdb) ir $s0 $a0 s0: 0x41424344 a0: 0x41424344">プログラム購入したシグナル SIGSEGV, セグメンテーション違反. 0x2ab734cc in ?? () (gdb) x/1i $personal computer=> 0x2ab734cc: jalr t9 0x2ab734d0: lw s0,28(s0) (gdb) ir $s0 $a0 s0: 0x41424344 a0: 0x41424344 
 これは、我々が目指していたブレークを尊重するように見えます!しかし、私たちは入れますか?! メモリマップを引き上げることで、の価格$PC /lib/libuClibc-0.9.30.so 内にあります。  0x2ab2d000-0x2ab8a000 のスペース内にある.   ADDR QUIT ADDR測定オフセットObjFile 0x400000 0x45D000 0x5D000 0x0 /SBIN /HOSTAPD 0x46D000 0x46E000 0x1000 0x5D000 /SBIN /HOSTAPD 0x46EATE -uclibc-0.9.30.so 0x2aaad000 0x2aaae000 0x1000 0x0 0x2aabc000 0x2aabd000 0x1000 0x4000 /lib/ld-uclibc-0.90.so 0x2aabd000 0x2aabe000 0x1000 0x5000 /ld-uclib-cxlabebebedabebebedabeabeabe000.20.20.20.20.20.20.20.20.20.201000 /libwpa_common.so 0x2aae2000 0x2aaf1000 0xf000 0x0 0x2aaf1000 0x2aaf2000 0x1000 0x23000 /lib/libwpa_common.so 0x2aaf2000 0x2ab1c000 0x2a000 0x0 /lib/libgcc_s.so.1 0x2ab1c000 0x2ab2c000 0x10000 0x0 0x2ab2c000 0x2ab2d000 0x1000 0x2a000 /lib/libgcc_s.so.1 0x2ab2d000 0x2ab8a000 0x5d000 0x0 /lib/libuclibc-0.9.30.so 0x2ab8a000 0x2ab99000 0xf000 0x0 0x2ab99000 0x2ab9a000 0x1000 0x5c000 /lib/libuclibc-0.9.30.30.30.so 0x2ab9a000 0x29b000 0x1000 0x50.50  7fd70000 0x15000 0x0 [stack] 
   の価格で敵対的ハンドルを差し引くことにより$PC ( 0x2ab734cc-0x2ab2d000)  のオフセット タグを表します) 0x464cc.  /lib/libuClibc-0.9.30.so を読み込んでいます Binary Ninja に入り、オフセット 0x464cc は $PC の価格を明らかにします は現在、機能 freeaddrinfo()( を指しています.  ) Graph Uncoverを取得した場合の別視点です   その上freeaddrinfo() のエントリ  $a0[stack]の価格 がレジスタ $s0 その後、 でない限り、何度もループします。 )$s0 は  と同じです0x00000000. これは、このオプションが subsequent でリンクされたレコードを解放することを示唆しています ポインタがオフセット 0x1c にある。  0x1c($s0) が NULL に決定され、リターン ブランチが取得されます。 このコード スニペットから、オフセットでの価格にもかかわらず、任意の割り当てを解放できるように見えます 0x1c NULL にアタッチするか、単に解放するだけの可能性もある割り当てにアタッチすることもできます。 これは、実際には、解放される可能性のある割り当てられた構造体の量を制限します。 では、この脆弱性を利用して UaF に接続しようとする試みが制限されている場合、他に何ができるでしょうか?! 方法に入る前に $PC
   すべての TCP 接続には、機能ポインタを含む構造体の割り当てが含まれています! 残念ながらオフセット 0x1c 割り当てられた回想を隠蔽しない int があります 😔
 サブスクリプションはヒープ内でスマートに割り当てられます! しかし残念ながら、割り当てにはオフセット 0x1C
 の値さえあります とてつもない回想アドレスを覆い隠すことはもうありません.   その TCP 接続構造体にサービスを提供します。  UaFを代表しようとしているのとは対照的に、私たちが管理している割り当て内で割り当てを代表しようとしたらどうなるでしょうか? そのぎこちない側面の道に進む前に、セキュリティ緩和の雰囲気について学ぶ必要があります (例: ASLR、NX、CFG ... など)  ) 雰囲気 チェック中の  マップ  NX が有効になっているか、無効になっています。7fa06000-7fa1b000 rwxp 00000000 00:00 0 [stack]"># cat /proc/465/maps 00400000-0045d000 r-xp 00000000 1f: 02 239 /sbin/hostapd 0046d000-0046e000 rw-p 0005d000 1f: 02 239 /sbin/hostapd 0046e000-00473000 rwxp 00000000 00: 00 0 [heap] [removed] 7fa06000-7fa1b000 rwxp 00000000 00:00 0 [stack]  スタックとヒープが実行可能です！ エスティーム ホーム Windows XP pre SP2 デイズです！ 次のチェックは、ASLR を検索することです。  randomize_va_space の価格でシークレット エージェントを利用することでチャンスが得られます.   # cat /proc/sys/kernel/randomize_va_space 1 
 1のタグ は  として出力されます。スタックの位置をランダム化する、デジタル動的共有オブジェクト (VDSO) ページ、および共有回想エリア。 データ セグメントの敵対的ハンドルは、実行可能コード セグメントの一時停止後に適切に検出されます  しかし、件名があります。 何度も再起動して再フラッシュすると、次のようになります 1 このルーター マップでは、ASLR が 100% オフです。 ネットワーク Web を処理するデバイスは、Windows Vista よりもセキュリティが劣るオンライン トラフィックを叫んでいます。  搾取 (続き) 要約すると、次のように決定されました:    すべての ASLR と NX がオフになっています! ヒープのハンドルの起動は、通常は同じです。 このワームにはペルソナ障害はありません.これが理想の嵐です 😈 
  根拠のない忙しいヒープ割り当ては、おそらくうまくいく可能性があると思われますが、どのように、どのようにプットしますか?!?! 純粋なブラックボックスチェックアウトから、たまたまその体格に POST メッセージは常にヒープ ハンドル 0x46e100 内に存在します。  ペルソナ制限も把握しなくなりました！  ❤️  根拠のないヒープ割り当てを表すには、free()[stack] で教えてもらう必要があります。  割り当てを効率的に解放するために何が必要かについて教えてください。 しかし、このウェブログから逃れるには、次の内容が必要です:   割り当て -4 は、サイズ + 使用中フラグ (LSB) を把握する必要があります 
 割り振り -8 は、簡単にするために NULL にアタッチするだけで発生する可能性もあります  アロケーションはアンリンクチェックを循環させる必要があります.
  これらすべてが満たされている場合、割り当ては解放され、freelist とバケット化。 根拠のない割り当ての完全な管理があるため、次のステップは、単に破壊される可能性が高い機能ポインターを把握する構造体を検索することです。 以前から、TCP 接続はフィーチャー ポインタを保持する構造体をヒープ内に割り当てることが注目されていましたが、それにもかかわらず、それらはどのような結果になるのでしょうか? 着信 TCP 接続は機能によって処理されます sub_44004c hostapd内) .  と判断した場合accumulate() が成功し、 の呼び出しhttpread_create() を実行します.   特徴  eloop_register_timeout() は機能を組み込んだ構造体を割り当てる機能です  フィーチャーポインタはオフセット[heap]に保存されます0x10 タイムアウトタグがオフセットにある間0x00. 機能 eloop_run()0x10 のフィーチャ ptr  が呼び出されます.  この脆弱性を効率的に悪用するには、次の手順を入札で実行するだけで十分です:   マルチキャスト SSDP メッセージを送信して、任意の値でスタックを取得します  根拠のないヒープ割り当てを表すために希望するバイトを含む体格から POST 検索情報を送信します。 
発送 SUBSCRIBE[heap]  から CALLBACK HTTP ヘッダーのタグ att  http:// ではなくなった URI ハンドラにそれぞれ 決定を freeaddrinfo() に接続します。   )eloop_register_timeout() からの割り当てから接続するために、何も送信せずに多数の TCP ソケットを接続します 発生し、解放された根拠のないブロックを購入します。 から最終的な POST 検索情報を送信して、eloop_register_timeout() タイムアウトを接続する構造体  0 と機能ptrは、私たちが望むものです. 達成 $PC 管理：D  
   V5 ファームウェアを分析した後、WR940N の V6 マネキンは 2022 年 11 月 21 日までパッチが適用されないことがわかりました。何らかの理由で、2 つの特定のオブジェクトのみが 6 月にパッチを適用されましたが、V6 モデルはWR940Nの左腹臥位になりました。 私は、TP-Link がどのデバイスが影響を受けるかを入札するためにワーム送信者に依存していることを黙認することしかできませんが、より最近のマネキンのパッチ ホールは少し不規則であるため、それは純粋な仮説です. バイナリ  httpd は UPnP の異なる実装を実行しますが、多数の M-SEARCH 30 秒ごとに SSDP パケット。  httpd で生成されたパケットが が購入された場合、エクスプロイトは失敗します。 他の SSDP パケットを送信するよりも早くウィンドウを検索するために、SSDP マルチキャスト Web Exclaim オンライン トラフィックをリッスンするのが理想的です  getaddrinfo() が null 以外のタグになります。  {ホスト} CALLBACK の割り当て HTTP ヘッダーの FQDN が (例: )、 への傾向のある呼び出し) freeaddrinfo() は occ も可能  𝚆𝚊𝚝𝚌𝚑 𝙽𝙾𝚆 📺
は $PC の価格を明らかにします は現在、機能 freeaddrinfo()( を指しています. )

Related Posts
