type
status
date
slug
summary
tags
category
icon
password
Property
Jun 29, 2023 03:08 AM
实验目的
提取固件,并在虚拟环境中成功运行
对固件存在的漏洞进行静态分析,尝试给出POC
对固件进行动态分析和调试,定位漏洞位置和原理
解密固件,对存在的漏洞位置进行定位和分析
0x0 实验环境
- Kali-Linux 2022
- Attify OS 3.0
- IDE 8.3
- VirtualBox 6.1
- VMware 16
0x1 固件提取
首先我们使用安装固件提取工具 binwalk,直接使用Kali Linux,该系统默认安装有binwalk
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F2e9cd779-b777-4de4-89cc-3abd41d0da78%2FUntitled.png?table=block&id=8c565417-7d4a-4ea9-a4f4-8de838d3855d&t=8c565417-7d4a-4ea9-a4f4-8de838d3855d&width=2280&cache=v2)
提取固件系统的参数是-e,我们可以加上-t -vv参数查看详细的提取过程。通过输出信息,可以得知该固件系统没有加密压缩
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F809fa52c-0928-4a94-928c-d5fc58e063ae%2FUntitled.png?table=block&id=47598b8c-00ca-406e-bdf4-87df41d26395&t=47598b8c-00ca-406e-bdf4-87df41d26395&width=2616&cache=v2)
查看当前文件夹,可以看到这个路由器用的是squashfs文件系统
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F976220ff-33b0-4e58-849d-a7e31f1d5a62%2FUntitled.png?table=block&id=65d39496-b69a-427d-95c5-66a9fb52f607&t=65d39496-b69a-427d-95c5-66a9fb52f607&width=1578&cache=v2)
0x2 静态分析
得到固件后,若直接打开,会发现该固件被加了密,无法直接解压缩,这是厂商对该固件做了保护,防止大家逆向分析他的固件。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Ffda7fd4b-2144-4384-b2c5-28daf76b60c3%2FUntitled.png?table=block&id=015d9672-7caa-47de-9891-911872360d30&t=015d9672-7caa-47de-9891-911872360d30&width=2560&cache=v2)
此处我使用的是
ziperello
第三方集成破解工具进行字典爆破:花了一些时间,得到最终密码,为
beUT9Z
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fc7909cf5-9d07-4679-9fa9-c1999d55a328%2FUntitled.png?table=block&id=a473f5ef-3688-43e6-9cea-887ab790e70c&t=a473f5ef-3688-43e6-9cea-887ab790e70c&width=1814&cache=v2)
解压后查看文件夹目录:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F9fc9414a-d921-4870-a8a7-53c900514fb4%2FUntitled.png?table=block&id=246365bb-a2ac-4e21-8e39-c5a65000efac&t=246365bb-a2ac-4e21-8e39-c5a65000efac&width=1571&cache=v2)
yaffs2里有几个看上去是recovery的镜像,核心的应该是2K-mdm-image-mdm9625.yaffs2 ,我们下面就来提取该文件,我首先用binwalk来提取它,但提取出来的文件乱七八糟,不知道什么原因,后来看网上推荐直接用yaffs的原生工具unyaffs提取,整个文件系统目录就十分清楚了
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Faa79be2c-cb34-4e3f-bb06-3e128fc228a5%2FUntitled.png?table=block&id=02b8c707-2d18-45a0-8c7d-591f12ee3db5&t=02b8c707-2d18-45a0-8c7d-591f12ee3db5&width=2536&cache=v2)
接下来我们查找该路径下的所有.conf文件,.conf文件多是配置文件,有可能从中可以发现敏感的信息。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F8b9f6c94-048b-4ff1-ba8c-b9755b11e561%2FUntitled.png?table=block&id=de015cf1-0fdf-471d-8d36-5662281ec72f&t=de015cf1-0fdf-471d-8d36-5662281ec72f&width=2466&cache=v2)
其中的inadyn-mt.conf文件引起了我们注意,这是no-ip应用的配置文件,no-ip就是一个相当于花生壳的东西,可以申请动态域名。我们从中可以发现泄露的no-ip的登陆账号及密码。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Ffc632042-a661-4f06-aa20-059a27cfe54e%2FUntitled.png?table=block&id=ad65e85e-1204-4cbb-a3f9-d297d8a1e60a&t=ad65e85e-1204-4cbb-a3f9-d297d8a1e60a&width=1458&cache=v2)
除了上述泄露的no-ip账号密码,我们还从shadow文件中找到了root账号的密码,通过爆破可以得到root的密码为1234。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fec6f34f0-1c00-4020-9ca5-3608f87a2ecf%2FUntitled.png?table=block&id=1d44bcba-4593-490b-8248-d65edbdcf86a&t=1d44bcba-4593-490b-8248-d65edbdcf86a&width=1721&cache=v2)
其实并不止有.conf文件会泄露信息,还有很多其他后缀的敏感文件会泄露信息,我们接下来使用firmwalker工具来自动化遍历该固件系统中的所有可疑文件。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fa4df8859-cc34-4ab7-b7bc-ab551608b828%2FUntitled.png?table=block&id=04d2dee4-37b9-4566-80db-f56013678723&t=04d2dee4-37b9-4566-80db-f56013678723&width=1730&cache=v2)
命令如下,firmwalker会将结果保存到firmwalker.txt
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F7c01c7bb-e860-407c-9808-dcb98348e647%2FUntitled.png?table=block&id=fdb0b659-2000-41ae-ac78-741a91eb4f5a&t=fdb0b659-2000-41ae-ac78-741a91eb4f5a&width=2348&cache=v2)
后缀都在data文件夹中的各个配置文件中
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F8b22e520-1ff8-4415-8ef7-45951e0ef684%2FUntitled.png?table=block&id=3c2e3b31-b708-4c92-b50c-1b434d93869d&t=3c2e3b31-b708-4c92-b50c-1b434d93869d&width=2559&cache=v2)
分析完敏感的配置文件后,我们接下来分析存在风险的二进制程序。查看自启动的程序,一个
start_appmgr
脚本值得我们研究一番,进入etc/init.d
目录查看文件目录:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F1d8bf457-937e-42bd-8f88-ec1464fea7b6%2FUntitled.png?table=block&id=510fad46-86bb-44f6-9113-2c1fb53ae56a&t=510fad46-86bb-44f6-9113-2c1fb53ae56a&width=2248&cache=v2)
mgr一般就是主控程序的意思,该脚本会在开机的时候以服务的形式运行/bin.appmgr程序
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Faacfb1cf-fa64-44f5-a079-dd1621f41be2%2FUntitled.png?table=block&id=2df0ea8d-7143-48f4-b384-1d24ff7a615d&t=2df0ea8d-7143-48f4-b384-1d24ff7a615d&width=2342&cache=v2)
通过IDA进行反编译,在main函数中发现了一个管理员当时为了方便调试留下的后门,只要连接该固件的39889端口并发送HELODBG的字符串:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F60943896-8304-48ec-8189-68e46b668f04%2FUntitled.png?table=block&id=bd3ee4b7-2454-404d-b0a7-b1b2b6aa685e&t=bd3ee4b7-2454-404d-b0a7-b1b2b6aa685e&width=781&cache=v2)
对于端口39889在路由器中的作用:
端口号39889有多种可能的用途,具体取决于使用该端口的应用程序或服务。一些常见的应用程序和服务使用39889端口,如下:
- Cisco Unified Communication Manager使用39889端口作为SIP(会话初始化协议)信令端口。
- NetFlow数据存储(NFSen、NfSen)使用39889端口。
- 通过TCP / UDP协议访问Windows远程管理(WinRM)服务也可能使用39889端口。
POC如下:
0x3 动态分析
模拟执行固件
动态分析固件之前,需要先把固件运行起来,但我们手头又没有路由器、摄像头之类的物联网硬件,该如何运行呢?这就需要虚拟执行,虚拟执行你就把它想象成一个虚拟机可以运行各种物联网OS,此处使用了AttifyOS,AttifyOS集成了大量的渗透测试和漏洞扫描工具,包括Metasploit、Nmap、Aircrack-ng、sqlmap、Android SDK和其他实用工具。此外,它还包括各种安全评估和漏洞利用的环境和实验室,可帮助用户深入了解网络安全的技术和实践。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fdd03da27-ee85-4d61-ae91-0433a9f69c52%2FUntitled.png?table=block&id=f6993f2f-a4a7-4432-917c-289111256ba1&t=f6993f2f-a4a7-4432-917c-289111256ba1&width=1688&cache=v2)
在tools/fat路径下运行fat.py,输入固件路径
DWP2360b-firmware-v206-rc018.bin
,脚本执行成功后,会回显一个IP地址,这个IP就是模拟的固件地址。![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fa8934376-4073-4057-a21d-e1752ba51f91%2FUntitled.png?table=block&id=ee6c3fec-c286-4872-8aa4-44da59817ee4&t=ee6c3fec-c286-4872-8aa4-44da59817ee4&width=864&cache=v2)
我们访问这个地址
192.168.0.50
即可得到对应的路由器后台管理系统,也就是整个IOT固件模拟的运行环境![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Ff4ef564a-5edc-4756-be8d-a140dfbf9890%2FUntitled.png?table=block&id=6cc0a069-e216-498c-9de2-f8238d210cdd&t=6cc0a069-e216-498c-9de2-f8238d210cdd&width=903&cache=v2)
调试固件
这个部分用到了Damn Vulnerable Router Firmware这个项目,直接Git下来
开始之前,安装以下工具,动态调试中会用到。
安装keystone-engine时可能会报错,参考这个链接。 avatartwo/avatar2#23
安装好工具后,就开始对固件进行分析,固件路径如下。 DVRF/Firmware/DVRF_v03.bin 使用binwalk提取固件文件系统。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fd8363d07-e50f-4073-90cb-d65c8330fbe2%2FUntitled.png?table=block&id=ee1a81d0-c496-4484-bf86-6671a416d6d6&t=ee1a81d0-c496-4484-bf86-6671a416d6d6&width=1875&cache=v2)
提取出来的目录里有个文件夹pwnable,里面存放着漏洞程序示例,选取stack_bof_01程序进行实验,程序的源代码可以在
DVRF/Pwnable Source/Intro/
里查看![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fb0201237-95eb-4794-ac19-a040daa459c6%2FUntitled.png?table=block&id=294430f4-9d6e-4bef-839c-2bcf26250b13&t=294430f4-9d6e-4bef-839c-2bcf26250b13&width=2004&cache=v2)
首先用reasdelf查看程序架构:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F23f33d35-15ac-446b-a811-61eee5f55524%2FUntitled.png?table=block&id=72ef10d3-6d8a-4b30-8e17-d1dbc4a8d38c&t=72ef10d3-6d8a-4b30-8e17-d1dbc4a8d38c&width=1857&cache=v2)
拷贝qemu-mipsel-static到当前目录,然后配合chroot虚拟执行stack_bof_01固件,可以成功执行。qemu是一款轻型的虚拟机。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fdd4d89f8-680d-4d48-9eaf-01f1b4f1d25e%2FUntitled.png?table=block&id=2dbde18a-b0a1-4b3d-b282-cd20e8fa37c5&t=2dbde18a-b0a1-4b3d-b282-cd20e8fa37c5&width=1736&cache=v2)
查看stack_bof_01的源码,可以发现明显的strcpy内存溢出漏洞,当参数argv[1]超过200时,就会出现buf溢出的现象。
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F0853f93f-079e-4d21-9449-93f3f4ed1db6%2FUntitled.png?table=block&id=ef22f88d-b118-423a-86ae-93b23fa7f222&t=ef22f88d-b118-423a-86ae-93b23fa7f222&width=864&cache=v2)
0x4 解密固件
访问dlink的ftp服务器得到几个DIR-882的固件压缩文件(官网的ftp服务器隐藏,只能从漏洞网站下载到对应的固件版本),时间跨度为2017~2020年
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fd6a2f717-811b-4197-99d4-29281ab0b272%2FUntitled.png?table=block&id=0276a82d-120a-4dd1-972a-34f3fec613ec&t=0276a82d-120a-4dd1-972a-34f3fec613ec&width=1532&cache=v2)
解压出来的固件版本从旧到新依次为:
FW100B07 --> FW101B02 --> FW104B02 --> FW110B02 --> FW111B01 --> FW120B06 --> FW130B10
解压后能得到固件和对应的版本说明如下:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fa2fc3d77-12b5-4b53-bc97-5c96ddc6be6a%2FUntitled.png?table=block&id=75a40c76-3207-4a99-8968-a34dda18f887&t=75a40c76-3207-4a99-8968-a34dda18f887&width=1802&cache=v2)
目前最新的版本是FW130B10,尝试使用
binwalk
进行提取解析,会发现该固件被加密了,无法解析。![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fc39b8645-4301-4184-b155-9b461e63d367%2FUntitled.png?table=block&id=5718c355-5d16-40b4-9cf5-4f64e5b3a064&t=5718c355-5d16-40b4-9cf5-4f64e5b3a064&width=2440&cache=v2)
再来尝试提取最早版本的固件FW100B07,使用binwalk解析是能直接提取的,没有被加密过:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F25169359-941e-4345-ac15-447259bc90f0%2FUntitled.png?table=block&id=fc13feb7-ca91-47b0-920f-d32d54c27e6f&t=fc13feb7-ca91-47b0-920f-d32d54c27e6f&width=2553&cache=v2)
一般来说,有三种发布固件的方案
- 出厂时未加密,解密例程在高版本固件v1.1中给出,为后续的加密固件做准备对于这个方案,我们可以通过解密v1.1来获得解密例程
- 出厂时的固件已经加密,供应商决定更改高版本固件的加密方式,并发布了包含解密例程的未加密中间版本v1.2这一方案与第一个类似
- 出厂时的固件已经加密,供应商决定更改高版本固件的加密方式,并发布了包含解密例程的使用原加密方式加密的过渡版本v1.3这种方案对获取解密例程的难度较大,可从硬件中直接提取固件或对发布的v1.3进行分析
通过
binwalk
对其他年份的固件尝试进行提取可以知道,最早版本未加密,而后续版本进行了加密,因此DIR-882
厂商采用的是第一种方案,示意图如下:![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Ff59abbba-1577-4015-8a2f-5a0e36cdfb91%2FUntitled.png?table=block&id=c89efe93-d616-4f77-b759-67d1bf8488e5&t=c89efe93-d616-4f77-b759-67d1bf8488e5&width=1048&cache=v2)
从
binwalk
解析结果来看,能确定FW100B07、FW101B02、FW104B02是未加密的,而FW104B02之后的版本,FW110B02、FW111B01、FW120B06、FW130B10均是加密的,那么FW104B02就可以确定是中间版本![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fdd733cfa-e124-4940-a37c-a59d9ac0631c%2FUntitled.png?table=block&id=1454742c-cb8c-4fd3-a809-af8d95124c93&t=1454742c-cb8c-4fd3-a809-af8d95124c93&width=2560&cache=v2)
提取该固件
在最终目录下搜索找到imgdecrypt,从名字看出是下个版本固件的解密例程
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Ffc8b39b2-5df0-4e78-949f-dcf6faa4b118%2FUntitled.png?table=block&id=fd9b514c-075e-4d15-9fb7-ebe7f18f7e2e&t=fd9b514c-075e-4d15-9fb7-ebe7f18f7e2e&width=2560&cache=v2)
接下来就可以分析下imgdecrypt的加密逻辑了,看下如何破解加密的固件,通过file命令,我们得知该程序是MIPS架构的可执行文件,在IDA中分析一下:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F44b1bc48-e8bf-49a9-90a5-8ce0798a6f11%2FUntitled.png?table=block&id=710c520a-46e3-482c-bd8f-b180d639f031&t=710c520a-46e3-482c-bd8f-b180d639f031&width=1816&cache=v2)
简单地从导入表中看下函数,发现有RSA、AES等多个组合加密算法,属于比较复杂的加密算法
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fad03882c-6f1c-40a0-9e10-7d0f3f828640%2FUntitled.png?table=block&id=1b0d66dd-05b2-4de7-b49e-1351e9b43a5e&t=1b0d66dd-05b2-4de7-b49e-1351e9b43a5e&width=1930&cache=v2)
一个可能有用的思路是:利用imgdecrypt还原出ftp服务器上提供的最新的固件,所以可能后续版本和Dlink其它型号的路由器也能用这个程序还原固件,因此可以进行解密:
![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fa35973b7-6d77-4a90-9765-34a0143a6e97%2FUntitled.png?table=block&id=baf6b48c-952f-4253-8350-5a1fc826f3fd&t=baf6b48c-952f-4253-8350-5a1fc826f3fd&width=1842&cache=v2)
总结
通过对于本次的固件安全漏洞分析,能够清楚反映硬件安全在整个互联网安全有着十分重要的地位,漏洞多发生在以下几个环节:
- 管理员账户泄露
- 系统存在后门
- 默认WPS PIN或者弱PIN
- 泄露相关敏感信息
- 不良的安全措施
后门账户
默认情况下,telnetd 和 SSHd 在路由器中运行,Telnetd 正在运行
存在 2 个后门帐户,可用于绕过用于管理路由器的 HTTP 身份验证。
管理员的密码是'admin',可以在
/bin/appmgr
使用IDA 查找关键字中找到:![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2Fa4ff7450-6eae-40f5-a732-1fce0607bf08%2FUntitled.png?table=block&id=6e0ac469-4060-4dee-a3ee-72b8b0d5cb18&t=6e0ac469-4060-4dee-a3ee-72b8b0d5cb18&width=818&cache=v2)
- admin 有密码 admin
- root 的密码是 1234
从而使得可以越权使用管理员的账号利用漏洞绕过加密机制:
系统存在后门
在上述分析的RT-300固件漏洞中,发现了在main函数中存在一个管理员当时为了方便调试留下的后门,只要连接该固件的
39889端口
并发送HELODBG的字符串,可以直接getshell,POC如下:默认WPS PIN或者弱WPS PIN
用户可以使用 Web 界面为 WPS 系统生成临时PIN(概率较低,因为
28296607
默认提供 WPS PIN)。如果路由器生成的 PIN 很弱或者直接使用默认的PIN,十分容易被攻击者通过逆向工程分析得到固件的加密算法从而轻易破解
因此,为了确保网络安全,需要使用更强大的安全措施,例如使用WPA2或更高级别的Wi-Fi加密协议,并选择长而复杂的Wi-Fi密码来保护网络。
泄露相关敏感信息
通过对硬件信息的挖掘可以得到Dlink 服务器的硬编码在
/sbin/fotad
二进制文件中,如图所示:![notion image](https://www.notion.so/image/https%3A%2F%2Fs3-us-west-2.amazonaws.com%2Fsecure.notion-static.com%2F19a9cb29-b736-4026-8636-aca9d8184f4f%2FUntitled.png?table=block&id=b914b44d-9442-44c1-9202-78eb3e65c631&t=b914b44d-9442-44c1-9202-78eb3e65c631&width=771&cache=v2)
不良的安全措施
在 中
/etc/init.d/start_appmgr
,代码种有一段不当的提权代码,chmod 777 /bin/QNetCfg
,会赋予 root 权限:这种不当的安全措施应该使得攻击者在入侵时能够很好的利用获得最高权限。
参考文档
- 作者:百川🌊
- 链接:https://www.baichuanweb.cn/article/example-64
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。