本文已发表到安全客:https://www.anquanke.com/post/id/180714
这个题目,2018年的7月6日的时候在公司内部分享过了,说来也将近一年了,懒得现在才发出来。
在2018年的3,4月两个多三个月的时间里,花了比较多的时间去搞一个国产的路由器,挖了一些漏洞后,之后也就没搞了。
也写了个有一点作用的MIPS IDAPYTHON审计辅助脚本
https://github.com/giantbranch/mipsAudit
基础知识
简介
1、路由器基本都是阉割版的linux系统
2、架构以MIPS和ARM为主
3、一般含有telnet服务
4、很多基础命令以busybox的方式实现(如cat,chmod,date,echo,ifconfig,ls,kill等)
比如下面路由器中的busybox
路由器常见漏洞
Web漏洞
- XSS
- CSRF
二进制漏洞
- 主要是栈溢出
自带后门
- 磊科路由器后门:私有协议,硬编码密码的后门
环境及工具
Ubuntu虚拟机
python
IDA
Binwalk
QEMU
对应架构的qemu虚拟机
gdb及静态编译的gdbserver
Burp,filefox插件
。。。。。。
固件的提取与解压
总览
固件提取
1、对智能硬件(路由器)的升级进行抓包,提取url
2、通过烧录器读取拆卸下来的芯片
3、通过mtd的方式
- 查看分区信息
- 一般别人用dd命令来提取,其实用cp和cat也可以
4、通过串口的方式
假如串口可以获得shell,那么可以使用第三种方法
固件解压
binwalk -Me XXXXXX.bin
M ,–matryoshka 递归扫描可解压的
e,–extract 提取
解压到的是_XXXXXX.bin.extracted/
以某个路由器为例的漏洞挖掘
Web安全漏洞
审计web源码,发现有些目录(下面的goform)不存在,代码在二进制中实现,故使用黑盒测试
随便试了一下搞了几个XSS
还有自带命令执行的
添加路由处存在命令注入漏洞,这个是找到溢出后顺便发现的
二进制漏洞挖掘之静态分析
这个我编写了个IDAPYTHON审计辅助脚本,用处嘛,有一点点吧。。。
开源地址:https://github.com/giantbranch/mipsAudit
辅助脚本功能如下:
1、找到危险函数的调用处,并且高亮该行(也可以下断点)
2、给参数赋值处加上注释
3、最后以表格的形式输出函数名,调用地址,参数,还有当前函数的缓冲区大小
详细见下图
针对不确定参数的函数
我们可以点击addr那一列直接到达函数调用处,方便审计
其实跑出来的量还是很大的,我只不过是偶然的机会遇到了刚好又漏洞的。。
我定位到的是下面这里,有strcat和sprintf
向上回溯有个route add的字符串
那应该是添加路由的地方
测试
发现后面goahead的pid都变了,那应该溢出崩溃,重启了
上gdb调试确认溢出
那么漏洞成因就是:strcat和sprintf的拼接
动态调试
1、基于qemu
2、在设备上调试
qemu
qemu有两种运作模式
用户模式(User mode),启动不同架构的Linux程序
系统模式(System mode),模拟整个电脑系统(这个暂时还没能够实现动态调试)
注:有些程序比较依赖于特定的函数(比如nvram系列函数)就很难用qemu启动了
将对应的qemu程序及其依赖库拷贝到对应目录,使用静态的就没这烦恼了
启动一个mipsel的程序
1 | sudo chroot ./ ./qemu-mipsel ./bin/busybox |
调试只要加-g参数即可(下面会监听23946端口)
sudo chroot ./ ./qemu-mipsel -g 23946 ./bin/busybox
ida 使用remote gdb debuger即可
在设备上调试
条件
1、有shell权限
2、有静态编译的gdbserver或者gdb
Reference
《揭秘家用路由器0day漏洞挖掘技术》
《IDA Pro权威指南》
《python 灰帽子》
https://github.com/wangzery/SearchOverflow/blob/master/SearchOverflow.py
https://www.hex-rays.com/products/ida/support/idapython_docs/
