《解密家用路由器0day漏洞挖掘技术》学习笔记

第一章 基础准备与工具

1.路由器漏洞分类

• 密码破解漏洞

  • 简单可猜测密码：暴力破解
  • WPS（Wi-Fi Protected Setup）技术：一键加密
  • 本质上属于使用过程中的配置问题，不着重分析

• Web漏洞

  • 家用路由器带有Web管理服务
  • SQL注入、命令执行、CSRF、XSS等针对web攻击

• 后门漏洞

  • 后门：开发软件的程序员为了日后调试和检测方便，在软件中设置的一个超级管理权限
  • 后门被发现即会被攻击

• 溢出漏洞

  • 存在缓冲区漏洞被攻击
  • 通过分析及模糊测试发现缓冲区溢出漏洞，即可获得控制权限

2.路由器系统

• 采用Linux系统

  • 特点：

  1. 指令架构：路由器是一种嵌入式系统，多采用MIPS（属于RISC精简指令集体系，与之相对的是CISC复杂指令集体系）和ARM这两种指令架构

     2.路由器的Shell基于BusyBox

• 文本编辑器：

  • nano编辑器：简单，使用方便
  • vi编辑器：命令行模式、插入模式、末行模式

• 编译工具GCC

  • 将.c文件生成可执行文件
  • 编译命令：gcc -o 文件名 文件名.c
  • 执行命令： ./文件名

• 调试工具GDB

  • 设置断点进行调试

3.MIPS汇编语言基础

最常使用MIPS32架构

• 使用大量寄存器：

  • 通用寄存器GPR：32个
  • 特殊寄存器：3个 PC（程序计数器）、HI（乘除结果高位寄存器）、LO（乘除结果低位寄存器）

• 字节序：大端模式（与书写习惯相同）、小端模式（相反）

• 寻址方式：4种 寄存器寻址、立即数寻址、寄存器相对寻址、PC相对寻址

• 流水线效应：几条指令同时执行，但处于不同阶段

• 寄存器前面使用$标注

4.HTTP协议

• 路由器与Web服务器通信时使用HTTP协议
• HTTP请求由请求行、消息报头、请求正文三部分组成
  • 请求行：请求方法（常用GET、POST）+URL
  • 消息报头：名字+：+空格+值
  • 请求正文：请求内容

第四章 Web漏洞

XSS漏洞

• 跨站脚本攻击 Cross Site Scripting

• 指的是在Web页面中插入恶意HTML代码

• 过程：受害者点击含有XSS漏洞的网页中的URL，恶意代码就会在浏览器中执行，将路由器网页的Cookie发给攻击者，即可通过Cookie盗取信息或更改路由器设置

CSRF漏洞

• 跨站请求伪造Cross-Site Request Forgery
• 相较XSS能够直接修改路由器参数，使目标长期被监控，危害更大，更隐蔽
• 攻击者伪造CSRF链接，修改路由器DNS为伪造DNS服务器，受害者点击后，网络数据因假的DNS将数据全部发给攻击者，可监控。

路由器基础认证漏洞

• 使用一种特殊的URL访问方法实现路由器认证
• 基础认证漏洞+XSS+CSRF一起攻击

第五章 后门漏洞

• 可以绕过安全控制而获取路由器访问权的漏洞
• 事件举例：绕过密码、直接获得root权限

第六章 溢出漏洞

• 叶子函数：一个函数中不再调用其他任何函数
  • 存在可以溢出大量数据的情况，就存在通过覆盖父函数中的返回地址利用缓冲区溢出漏洞的可能性
• 非叶子函数：一个函数中调用了其他函数
  • 存在非叶子函数，且有缓冲区溢出漏洞，就可以覆盖某一个函数的返回地址，从而劫持程序执行流程
• 缓冲区：在内存中存储数据的内存区域
• 缓冲区溢出：大放小，多出来的覆盖了小相邻内存中的其他数据，引发内存问题
• 利用缓冲区溢出的3种后果：拒绝服务、获得用户级权限、获得系统权限（注：用户级权限就是普通权限，系统权限相当于root)
• 漏洞利用开发过程：
  • 劫持PC
  • 确定偏移
  • 确定攻击途径
  • 构建漏洞攻击数据

第八章 路由器文件系统与提取

• 路由器固件：是软件，固化在只读存储器ROM中
• 获取固件两种方法：
  • 从路由器广商提供的更新网站下载
  • 通过硬件接入，从路由器flash中提取固件
• 文件系统：Squashfs,只读格式，具有超高压缩率，将文件系统保存在压缩过的文件中，需要时只解压所需部分

手动提取

• file命令查看文件类型
• 手动判断文件类型
  • 检索magic签名（大小端两次检索）
  • 确定文件系统
• 手动提取出squashfs-root文件夹

自动提取

• 使用binwalk
• 使用libmagic库函数，直接扫描文件的内存镜像，以提高扫描效率
• 使用 binwalk 名称.bin 进行固件扫描
• 使用 binwalk -e 名称.bin 进行提取文件

第九章 漏洞分析简述

• 漏洞分析是指 在代码中迅速定位漏洞，弄清攻击原理，准确地估计潜在的漏洞利用方式和风险等级的过程
• 通过漏洞公布网站获取漏洞信息
• 漏洞POC：漏洞发现者提供的一段可重现漏洞的代码
• 漏洞分析常用的两种方法：
  • 动态调试：使用IDA的动态调试功能，跟踪指令执行流程，追踪输入数据在程序中的处理过程
  • 静态分析：使用IDA获得程序的“全局观”，具有清晰的代码结构，能高质量地支持MIPS指令的反汇编代码，辅助进行动态调试

第十六章 路由器硬件的提取

• Flash：闪存，通常分为4个区块

  • BootLoader
  • Kernel
  • Root Filesystem
  • NVRAM

• 提取方案：

  • 通过路由器主板上的JTAG接口提取FLASH、NVRAM
  • 从主板上取下的FLASH芯片中提取
  • 使用测试夹从FLASH芯片中提取

• 提取FLASH：

  • brjtag -backup:kernel 备份固件
  • brjtag -erase:kernel 擦除固件
  • brjtag -flash:kernel 写入固件
  • brjtag -backup:wholeflash 备份wholeflash
  • brjtag -erase:wholeflash 擦除wholeflash
  • brjtag -flash:wholeflash 写入wholeflash

漏洞挖掘技术

• 静态代码审计：依赖源代码的白盒测试
  • 使用IDA
  • 步骤：
    • 使用IDA对目标程序进行反汇编
    • 搜索可能造成安全漏洞的危险函数
    • 跟踪危险函数如何获取和用户提供的数据的过程，判断是否存在安全漏洞
  • 跟踪分析方法：
    • 正向数据流跟踪：从用户输入开始追踪，判断其影响和漏洞
    • 数据处理逆向流跟踪：跟踪常见的数据危险函数，反向追踪数据流向，找到源缓冲区和目的缓冲区，判断输入的数据是否造成漏洞（目前采用）
• 模糊测试：不依赖源代码的黑盒测试