从网页截图中,以下是关于漏洞的关键信息,使用简洁的Markdown格式返回: --- 名称 D-Link DIR-822k TK_1.00_20250513164613 - Buffer Overflow in /boafrm/formWanConfigSetup --- 影响产品 D-Link Router DIR-822k TK_1.00_20250513164613 --- 漏洞详情 --- 漏洞描述 在应用的 端点中发现了一个关键的缓冲区溢出漏洞。漏洞位于 函数中,该函数使用 函数解析用户请求中的 参数。由于对输入参数没有进行适当的边界检查,恶意行为者可以通过提供过长的 参数来覆盖程序的栈。这可能导致应用崩溃、内存损坏,并可能允许在服务器上执行任意代码。 --- 漏洞位置 /boafrm/formWanConfigSetup --- 根本原因 在 函数中发现了一个缓冲区溢出漏洞,该函数从用户请求中检索 参数(见下图)。此参数使用 复制到固定大小的缓冲区。通过提供过长的 值,攻击者可以覆盖相邻的栈内存,导致缓冲区溢出。 --- 影响 攻击者可以利用此漏洞造成各种恶意后果,包括: 拒绝服务(DoS):使web服务器进程崩溃并使设备的管理界面无法访问。 任意代码执行:通过覆盖堆栈上的返回地址将程序执行重定向到shellcode,使攻击者完全控制设备。 --- 概念验证(PoC) 此漏洞无需任何身份验证即可触发。以下是通过如Burp Repeater这样的工具发送POST请求并携带过长的 参数来演示漏洞利用。 --- 本地复现的截图 使用 设置环境 通过 运行PoC 结果如下所示(网页截图中有错误说明: ) ---