首页
社区
课程
招聘
[原创]说说无线路由器后门的那些事儿(1)-D-Link篇
发表于: 2013-11-29 11:29 74798

[原创]说说无线路由器后门的那些事儿(1)-D-Link篇

2013-11-29 11:29
74798

说说无线路由器后门的那些事儿(1)-D-Link篇

  前不久devttys0在自己的网站上纰漏了D-Link、Tenda无线路由器的后门,有理有据,技术内容还是很值得学习滴,由于之前没有关注过固件分析方面的技术,看了之后云里雾里的,除了膜拜就没有其他的了。于是乎,通过几天的查找资料有了一些心得和体会,与大家分享,顺便求大神指导。
  思路及步骤:
  按照devttys0的文章中的步骤进行分析,先到dlink官方下载相应班额不能的固件,地址如下:
  ftp://ftp.dlink.eu/Products/dir/dir-100/driver_software/DIR-100_fw_reva_113_ALL_en_20110915.zip
  下载后解压获得固件文件DIR100_v5.0.0EUb3_patch02.bix。使用固件分析神器Binwalk对其文件系统进行提取。
  
  如devttys0所说,看到一个SquashFS文件系统,使用Binwalk可将这个文件系统导出。导出后得到下面这个文件系统,看样子是些系统文件了。
  
  继续看/bin/webs文件,这个就是无线路由器的web服务程序喽,还等什么?上IDA,走起!~~~
  注意哦,用IDA打开的时候要选择CPU哦,打开后就不用多说了,IDA嘛大家都比我用得好啦。不过我们得到的不是x86的反汇编代码,是mips的,这个也不难,找手册看下就有了。其实凭借x86下的经验,这个也不是问题,毕竟汇编指令不是很多嘛。
  查看字符串信息和函数信息:
  
  果然找到传说中的“后门密码”和那个alpha_auth_check函数。
  进入alpha_auth_check进行分析:
  
  Look这里,一目了然吧。判断后门密码,如果为真,则检测为已登录状态。
  按照devttys0给出的逆向还原代码就更直观了:
  
  从上面代码就可以很清晰的看到这个赤裸裸的后门了。下面我们验证一下吧,我买到的是中文版的DLINK DIR-100,通过更改http发包数据中的User-Agent值为“xmlset_roodkcableoj28840ybtide”进行访问。结果不用用户名和密码进去了。
    
 
  涉及到的工具:
  Binwalk
  IDA
  还存在的疑问:
  1、如何在官方没有提供固件文件的情况下,在设备中提取固件或文件?
  2、如何做到动态调试,木有找到无线路由器的模拟器和动态调试工具哦,求指导!


[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入!

上传的附件:
收藏
免费 5
支持
分享
最新回复 (85)
雪    币: 2155
活跃值: (29)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
2
收藏此帖,回家后用自己的路由器试一下,正好是DLink的。。。

我去,这些人和我一个德行,都喜欢在自己东西里留后门。。。

我们为了方便日后的程序升级和调试日志,有时候都是直接留一个小FTP服务在程序里的。。。哈哈哈
2013-11-29 11:38
0
雪    币: 124
活跃值: (469)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
3
居然没抢到一楼
2013-11-29 11:51
0
雪    币: 80
活跃值: (109)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
4
的确,如果官方没有固件就麻烦了。不过它留后门仅仅是为了调试??不信。
内网能控制路由还好说,毕竟大多数都是家里用。如果外网可以控制路由器的话……就麻烦了

谢谢楼主!
2013-11-29 12:50
0
雪    币: 131
活跃值: (98)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
5
求大神写的后门哈,呵呵。

确实有开启ftp或tftp的,莫非就是阁下留的?哈哈
2013-11-29 13:01
0
雪    币: 131
活跃值: (98)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
6
不知道没有在芯片上直接提取bin或者文件系统的方法。

有些使用无线路由接入互联网的,没有配置管理地址限制,还是有可能被访问到的。
2013-11-29 13:02
0
雪    币: 102
活跃值: (2050)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
7
有写好的 更改http发包数据的User-Agent值为“xmlset_roodkcableoj28840ybtide”值的DEMO么。。。我公司多DIINK的,我一个一个去试。。。
2013-11-29 14:51
0
雪    币: 243
活跃值: (247)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
8
哈哈,很多路由器,又改遭殃了
2013-11-29 15:09
0
雪    币: 131
活跃值: (98)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
9
这个用python可以实现批量扫描的哈。
2013-11-29 15:11
0
雪    币: 919
活跃值: (163)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
10
我也去试一下,
2013-11-29 15:11
0
雪    币: 102
活跃值: (2050)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
11
你的Demo发一个给我吧。。。我这没开发平台。 koflfy@qq.com     Thks~
2013-11-29 15:22
0
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
12
卧槽,求tplink的
2013-11-29 15:36
0
雪    币: 142
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
13
不过有个疑问,这要内网才能访问吧.
很多路由器默认是禁止外网访问的
2013-11-29 15:40
0
雪    币: 225
活跃值: (10)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
14
太牛了。。。。。。。。。。。。。。。。
2013-11-29 15:40
0
雪    币: 131
活跃值: (98)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
15
还真有tplink的,呵呵
2013-11-29 16:12
0
雪    币: 6
活跃值: (1141)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
16
强帖,留名
2013-11-29 16:21
0
雪    币: 257
活跃值: (67)
能力值: ( LV4,RANK:50 )
在线值:
发帖
回帖
粉丝
17
不错,这个要支持下
2013-11-29 20:28
0
雪    币: 80
活跃值: (109)
能力值: ( LV3,RANK:20 )
在线值:
发帖
回帖
粉丝
18
刚才捣鼓了下,binwalk千辛万苦找到了。
TP-LINK TL-WR742N_V5_130417 的文件用binwalk找出了许多,控制台窗口装不下。。
全是压缩的,lzma

至于IDA,有关ARM或MIPS所有CPU选项我都试了,只是——都是得到乱码
求助。
2013-11-29 21:01
0
雪    币: 1098
活跃值: (193)
能力值: (RANK:210 )
在线值:
发帖
回帖
粉丝
19
本人也将分享一些这方面的研究成果。敬请关注!http://bbs.pediy.com/showthread.php?t=181852
2013-11-30 10:17
0
雪    币: 131
活跃值: (98)
能力值: ( LV5,RANK:60 )
在线值:
发帖
回帖
粉丝
20
[QUOTE=zhuliang;1243490]本人也将分享一些这方面的研究成果。敬请关注!http://bbs.pediy.com/showthread.php?t=181852[/QUOTE]关注哦!!!
2013-11-30 14:21
0
雪    币: 159
活跃值: (16)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
21
无线路由也有后门?
2013-11-30 15:29
0
雪    币: 1149
活跃值: (888)
能力值: ( LV13,RANK:260 )
在线值:
发帖
回帖
粉丝
22
在bootloader 里有处理的 加密算法,可以自己解密和符号表还原....或者直接用 98 0c 这个标志区定位,用 linux 下 解压缩模块解密即可
2013-12-1 11:56
0
雪    币: 478
活跃值: (50)
能力值: ( LV2,RANK:10 )
在线值:
发帖
回帖
粉丝
23
关注啊卧槽太危险了
2013-12-2 02:37
0
雪    币: 3366
活跃值: (1353)
能力值: ( LV4,RANK:40 )
在线值:
发帖
回帖
粉丝
24
记得貌似公司的路由是link的,有空去蹂躏吧,有版本限制吗?
2013-12-7 10:40
0
雪    币: 5855
活跃值: (438)
能力值: ( LV4,RANK:45 )
在线值:
发帖
回帖
粉丝
25
呃,能否指点一下?
2013-12-16 13:28
0
游客
登录 | 注册 方可回帖
返回
//