提取固件的几种方法
1 从厂商网站下载
2 代理或镜像设备更新时的流量
通过MITM提取出下载URL,或许还需要设置UA
3 直接从设备转储固件
固件一般烧录在FlashROM上,通过以下几个方法获取
1 用编程器+烧录夹读取
2 用TTL小板连UART串口从bootloader中提取或者直接进shell
3 把FlashROM 切下来,再用编程器+烧录底座读取
4 Google搜索
固件中提取文件系统
1 binwalk
binwalk -e
binwalk -E 进行熵分析,判断是否有加密
文件系统分析方法
1 查看配置文件,Web 目录, 口令文件,查找后门等
find . -name "*.conf"
2 使用firmwalker
3 对二进制文件进行分析
动态分析
1 基于固件仿真的自动化脚本
Firmware Analysis Toolkit(Firmadyne的自动化脚本)
Firmadyne
2 手工下载目标架构的debian镜像,chroot运行web服务器或其他需要测试的组件
3 有真机的情况
先root设备,再把gdb扔上去,在shell里面用gdb附加目标漏洞进程
4 qemu
路由器的构造
CPU FlashRom RAM 其他(网卡,天线,调试接口,各种元器件等)
挖洞主要关注FlashROM(可能需要真机提取固件) UART串口(可能用来getshell和调试)
路由器的攻击面
1 web
几种不同web架构
1 一个web后台进程+ 多个cgi程序 + 各种静态资源
优先逆cgi程序,这些cgi一般实现管理业务,容易有命令注入,然后再逆web守护进程
2 一个web后台进程 + 各种静态资源
3 一个web后台进程 + 解析器与lua/php/asp + 各种静态资源
先审计脚本程序,容易出现命令注入
2 实现upnp的代码
几乎所有路由器都有实现upnp协议的代码,这个协议主要用于局域网中设备间的通信,路由器在实现upnp中某个自定义action时,可能会有输入数据处理不当的溢出漏洞,命令注入较少
3 实现一些私有协议的代码
例如,很多路由器厂商有提供“设备发现”功能,容易出现溢出
4 后门类漏洞
路由器自带telnetd/ftpd/sshd,可以看看有没有厂商留下的后门密码
路由器的漏洞利用技巧
1 基于http的命令注入漏洞
;cmd;
|| cmd ||
&& cmd &&
2 栈溢出
基本套路和pc端一致,一些差异如下
1 路由器大端字节序居多,遇到strcpy sprintf存在溢出时,返回地址有00会复制不过去,解决办法是跳到动态库中的代码,一般不会有00
2 路由器一般不会开ASLR,NX经常开启,构造ROP即可
路由器shell的利用
1 wget
2 tftp
3 用echo写文件进去
echo -e -n "\x11\x22\x33\x44" > /tmp/elf
路由器漏洞分析练习
DVRF