华硕RT-N300路由器漏洞分析(CVE-2016-10178)

type

status

date

slug

summary

实验目的

提取固件，并在虚拟环境中成功运行

对固件存在的漏洞进行静态分析，尝试给出POC

对固件进行动态分析和调试，定位漏洞位置和原理

解密固件，对存在的漏洞位置进行定位和分析

0x0 实验环境

Kali-Linux 2022

Attify OS 3.0

IDE 8.3

VirtualBox 6.1

VMware 16

0x1 固件提取

首先我们使用安装固件提取工具 binwalk，直接使用Kali Linux，该系统默认安装有binwalk

提取固件系统的参数是-e，我们可以加上-t -vv参数查看详细的提取过程。通过输出信息，可以得知该固件系统没有加密压缩

查看当前文件夹，可以看到这个路由器用的是squashfs文件系统

0x2 静态分析

得到固件后，若直接打开，会发现该固件被加了密，无法直接解压缩，这是厂商对该固件做了保护，防止大家逆向分析他的固件。

此处我使用的是ziperello第三方集成破解工具进行字典爆破：

花了一些时间，得到最终密码，为beUT9Z

解压后查看文件夹目录：

yaffs2里有几个看上去是recovery的镜像，核心的应该是2K-mdm-image-mdm9625.yaffs2 ，我们下面就来提取该文件，我首先用binwalk来提取它，但提取出来的文件乱七八糟，不知道什么原因，后来看网上推荐直接用yaffs的原生工具unyaffs提取，整个文件系统目录就十分清楚了

接下来我们查找该路径下的所有.conf文件，.conf文件多是配置文件，有可能从中可以发现敏感的信息。

其中的inadyn-mt.conf文件引起了我们注意，这是no-ip应用的配置文件，no-ip就是一个相当于花生壳的东西，可以申请动态域名。我们从中可以发现泄露的no-ip的登陆账号及密码。

除了上述泄露的no-ip账号密码，我们还从shadow文件中找到了root账号的密码，通过爆破可以得到root的密码为1234。

其实并不止有.conf文件会泄露信息，还有很多其他后缀的敏感文件会泄露信息，我们接下来使用firmwalker工具来自动化遍历该固件系统中的所有可疑文件。

命令如下，firmwalker会将结果保存到firmwalker.txt

后缀都在data文件夹中的各个配置文件中

分析完敏感的配置文件后，我们接下来分析存在风险的二进制程序。查看自启动的程序，一个start_appmgr脚本值得我们研究一番，进入etc/init.d目录查看文件目录：

mgr一般就是主控程序的意思，该脚本会在开机的时候以服务的形式运行/bin.appmgr程序

通过IDA进行反编译，在main函数中发现了一个管理员当时为了方便调试留下的后门，只要连接该固件的39889端口并发送HELODBG的字符串：

✍🏻

对于端口39889在路由器中的作用：

端口号39889有多种可能的用途，具体取决于使用该端口的应用程序或服务。一些常见的应用程序和服务使用39889端口，如下：

Cisco Unified Communication Manager使用39889端口作为SIP（会话初始化协议）信令端口。

NetFlow数据存储（NFSen、NfSen）使用39889端口。

通过TCP / UDP协议访问Windows远程管理（WinRM）服务也可能使用39889端口。

💡

POC如下：

0x3 动态分析

模拟执行固件

动态分析固件之前，需要先把固件运行起来，但我们手头又没有路由器、摄像头之类的物联网硬件，该如何运行呢？这就需要虚拟执行，虚拟执行你就把它想象成一个虚拟机可以运行各种物联网OS,此处使用了AttifyOS,AttifyOS集成了大量的渗透测试和漏洞扫描工具，包括Metasploit、Nmap、Aircrack-ng、sqlmap、Android SDK和其他实用工具。此外，它还包括各种安全评估和漏洞利用的环境和实验室，可帮助用户深入了解网络安全的技术和实践。