Basado en el Libro Blanco Técnico
Después de leerlo, lo entiendo de la siguiente manera (página 13, abajo)
Por lo tanto, para explotar (vulnerabilidad del RCE del kernel de Linux (CVE-2017-1000251), hay dos actores, Atacante y Víctima
1) El atacante envía una solicitud de configuración con un elemento EFS con stype configurado en L2CAP_SERV_NOTRAFIC
2) El atacante envía Configuration Response con el campo de resultado establecido en L2CAP_CONF_PENDING y posiblemente parámetros repetidos, por ejemplo, muchos valores de MTU, para desencadenar el desbordamiento de pila
Estoy confundido desde entonces, ya que pensé que la Víctima debería enviar una Respuesta de Configuración basada en la solicitud de Configuración del Atacante, pero en el documento se describe como anteriormente.
¿Esto es correcto? ¿Lo malinterpreté? ¿Puede alguien explicarme / corregirme en esto?
Gracias,
Actualización 1:
Cuando ayuda a alguien, aquí hay un seguimiento de Wireshark de solicitud de Conf.
Tenga estos 2 adaptadores
Cliente - 00: 1A: 7D: DA: 71: 13
Servidor - 34: F3: 9A: 10: 52: C9
Aquí, con el cliente, establezco MTU en 2000
./l2cap-client 00:1A:7D:DA:71:13
mtu: ok
./l2cap-server
accepted connection from 34:F3:9A:10:52:C9
¿Alguienpuedeexplicaresto?TengoelfondoTCP/IP....
¿Quésignificalocalhost()?
Porquéseenvíadesdelocalhost()aCliente(Conf.req)quedesdeClientealocalhost()(RedvdConf.Req)queelServidorenvíaalocalhost()(RecvdConfReq)yquedesdelocalhost()alServidor(EnviadoConfResponse)seenvíay,alfinal,elclienteyelservidorseenvíanalocalhost()RecvConfResponse:¿éxito?
Actualización2:
Encontréesto,enbaseaesto,cadadispositivodebeenviarunaSolicituddeConf.ycadasolicituddeberecibirunaRespuestadeConf.
¿PorquéparecetanextrañoqueenmirastrodeWireshark?
Actualización3:
Ok,creo,lodescubrí...
Atacante
Envía:
Solicituddeconfiguraciónenviada(DCID:0x0040)
ElatacanteenvíaunasolicituddeconfiguraciónconunelementoEFSconstypeestablecidoenL2CAP_SERV_NOTRAFIC
Recibealmismotiempolasolicitudconfdeotraparte:
SolicituddeconfiguracióndeRcvd(DCID:0x0040)
Envía:
ElatacanteenvíaunarespuestadeconfiguraciónconelcampoderesultadoestablecidoenL2CAP_CONF_PENDINGyposiblementeparámetrosrepetidos,porejemplo,muchosvaloresdeMTU,paradesencadenareldesbordamientodepila
Actualización4:
Pasandoalsiguientepaso...creandolosmarcos,aquíestánmissiguientespreguntassialguienestáinteresadoenSO: