《解密家用路由器0day漏洞挖掘技术》学习笔记

第一章 基础准备与工具

1.路由器漏洞分类

  • 密码破解漏洞

    • 简单可猜测密码:暴力破解
    • WPS(Wi-Fi Protected Setup)技术:一键加密
    • 本质上属于使用过程中的配置问题,不着重分析
  • Web漏洞

    • 家用路由器带有Web管理服务
    • SQL注入、命令执行、CSRF、XSS等针对web攻击
  • 后门漏洞

    • 后门:开发软件的程序员为了日后调试和检测方便,在软件中设置的一个超级管理权限
    • 后门被发现即会被攻击
  • 溢出漏洞

    • 存在缓冲区漏洞被攻击
    • 通过分析及模糊测试发现缓冲区溢出漏洞,即可获得控制权限

2.路由器系统

  • 采用Linux系统

    • 特点:
    1. 指令架构:路由器是一种嵌入式系统,多采用MIPS(属于RISC精简指令集体系,与之相对的是CISC复杂指令集体系)和ARM这两种指令架构

      2.路由器的Shell基于BusyBox

  • 文本编辑器:

    • nano编辑器:简单,使用方便
    • vi编辑器:命令行模式、插入模式、末行模式
  • 编译工具GCC

    • 将.c文件生成可执行文件
    • 编译命令:gcc -o 文件名 文件名.c
    • 执行命令: ./文件名
  • 调试工具GDB

    • 设置断点进行调试

3.MIPS汇编语言基础

最常使用MIPS32架构

  • 使用大量寄存器:

    • 通用寄存器GPR:32个
    • 特殊寄存器:3个 PC(程序计数器)、HI(乘除结果高位寄存器)、LO(乘除结果低位寄存器)
  • 字节序:大端模式(与书写习惯相同)、小端模式(相反)

  • 寻址方式:4种 寄存器寻址、立即数寻址、寄存器相对寻址、PC相对寻址

  • 流水线效应:几条指令同时执行,但处于不同阶段

  • 寄存器前面使用$标注

4.HTTP协议

  • 路由器与Web服务器通信时使用HTTP协议
  • HTTP请求由请求行、消息报头、请求正文三部分组成
    • 请求行:请求方法(常用GET、POST)+URL
    • 消息报头:名字+:+空格+值
    • 请求正文:请求内容

第四章 Web漏洞

XSS漏洞

  • 跨站脚本攻击 Cross Site Scripting

  • 指的是在Web页面中插入恶意HTML代码

  • 过程:受害者点击含有XSS漏洞的网页中的URL,恶意代码就会在浏览器中执行,将路由器网页的Cookie发给攻击者,即可通过Cookie盗取信息或更改路由器设置

CSRF漏洞

  • 跨站请求伪造Cross-Site Request Forgery
  • 相较XSS能够直接修改路由器参数,使目标长期被监控,危害更大,更隐蔽
  • 攻击者伪造CSRF链接,修改路由器DNS为伪造DNS服务器,受害者点击后,网络数据因假的DNS将数据全部发给攻击者,可监控。

路由器基础认证漏洞

  • 使用一种特殊的URL访问方法实现路由器认证
  • 基础认证漏洞+XSS+CSRF一起攻击

第五章 后门漏洞

  • 可以绕过安全控制而获取路由器访问权的漏洞
  • 事件举例:绕过密码、直接获得root权限

第六章 溢出漏洞

  • 叶子函数:一个函数中不再调用其他任何函数
    • 存在可以溢出大量数据的情况,就存在通过覆盖父函数中的返回地址利用缓冲区溢出漏洞的可能性
  • 非叶子函数:一个函数中调用了其他函数
    • 存在非叶子函数,且有缓冲区溢出漏洞,就可以覆盖某一个函数的返回地址,从而劫持程序执行流程
  • 缓冲区:在内存中存储数据的内存区域
  • 缓冲区溢出:大放小,多出来的覆盖了小相邻内存中的其他数据,引发内存问题
  • 利用缓冲区溢出的3种后果:拒绝服务、获得用户级权限、获得系统权限(注:用户级权限就是普通权限,系统权限相当于root)
  • 漏洞利用开发过程:
    • 劫持PC
    • 确定偏移
    • 确定攻击途径
    • 构建漏洞攻击数据

第八章 路由器文件系统与提取

  • 路由器固件:是软件,固化在只读存储器ROM中
  • 获取固件两种方法:
    • 从路由器广商提供的更新网站下载
    • 通过硬件接入,从路由器flash中提取固件
  • 文件系统:Squashfs,只读格式,具有超高压缩率,将文件系统保存在压缩过的文件中,需要时只解压所需部分

手动提取

  • file命令查看文件类型
  • 手动判断文件类型
    • 检索magic签名(大小端两次检索)
    • 确定文件系统
  • 手动提取出squashfs-root文件夹

自动提取

  • 使用binwalk
  • 使用libmagic库函数,直接扫描文件的内存镜像,以提高扫描效率
  • 使用 binwalk 名称.bin 进行固件扫描
  • 使用 binwalk -e 名称.bin 进行提取文件

第九章 漏洞分析简述

  • 漏洞分析是指 在代码中迅速定位漏洞,弄清攻击原理,准确地估计潜在的漏洞利用方式和风险等级的过程
  • 通过漏洞公布网站获取漏洞信息
  • 漏洞POC:漏洞发现者提供的一段可重现漏洞的代码
  • 漏洞分析常用的两种方法:
    • 动态调试:使用IDA的动态调试功能,跟踪指令执行流程,追踪输入数据在程序中的处理过程
    • 静态分析:使用IDA获得程序的“全局观”,具有清晰的代码结构,能高质量地支持MIPS指令的反汇编代码,辅助进行动态调试

第十六章 路由器硬件的提取

  • Flash:闪存,通常分为4个区块

    • BootLoader
    • Kernel
    • Root Filesystem
    • NVRAM
  • 提取方案:

    • 通过路由器主板上的JTAG接口提取FLASH、NVRAM
    • 从主板上取下的FLASH芯片中提取
    • 使用测试夹从FLASH芯片中提取
  • 提取FLASH:

    • brjtag -backup:kernel 备份固件
    • brjtag -erase:kernel 擦除固件
    • brjtag -flash:kernel 写入固件
    • brjtag -backup:wholeflash 备份wholeflash
    • brjtag -erase:wholeflash 擦除wholeflash
    • brjtag -flash:wholeflash 写入wholeflash

漏洞挖掘技术

  • 静态代码审计:依赖源代码的白盒测试
    • 使用IDA
    • 步骤:
      • 使用IDA对目标程序进行反汇编
      • 搜索可能造成安全漏洞的危险函数
      • 跟踪危险函数如何获取和用户提供的数据的过程,判断是否存在安全漏洞
    • 跟踪分析方法:
      • 正向数据流跟踪:从用户输入开始追踪,判断其影响和漏洞
      • 数据处理逆向流跟踪:跟踪常见的数据危险函数,反向追踪数据流向,找到源缓冲区和目的缓冲区,判断输入的数据是否造成漏洞(目前采用)
  • 模糊测试:不依赖源代码的黑盒测试

你可能感兴趣的:(学习,web安全,安全)