[原创]说说无线路由器后门的那些事儿（1）-D-Link篇-智能设备-看雪-安全社区|安全招聘|kanxue.com

[原创]说说无线路由器后门的那些事儿（1）-D-Link篇

2013-11-29 11:29 73593

[原创]说说无线路由器后门的那些事儿（1）-D-Link篇

gamehacker 活跃值

2013-11-29 11:29

73593

说说无线路由器后门的那些事儿（1）-D-Link篇

　　前不久devttys0在自己的网站上纰漏了D-Link、Tenda无线路由器的后门，有理有据，技术内容还是很值得学习滴，由于之前没有关注过固件分析方面的技术，看了之后云里雾里的，除了膜拜就没有其他的了。于是乎，通过几天的查找资料有了一些心得和体会，与大家分享，顺便求大神指导。
　　思路及步骤：
　　按照devttys0的文章中的步骤进行分析，先到dlink官方下载相应班额不能的固件，地址如下：
　　ftp://ftp.dlink.eu/Products/dir/dir-100/driver_software/DIR-100_fw_reva_113_ALL_en_20110915.zip
　　下载后解压获得固件文件DIR100_v5.0.0EUb3_patch02.bix。使用固件分析神器Binwalk对其文件系统进行提取。
　　

　　如devttys0所说，看到一个SquashFS文件系统，使用Binwalk可将这个文件系统导出。导出后得到下面这个文件系统，看样子是些系统文件了。
　　

　　继续看/bin/webs文件，这个就是无线路由器的web服务程序喽，还等什么？上IDA，走起！～～～
　　注意哦，用IDA打开的时候要选择CPU哦，打开后就不用多说了，IDA嘛大家都比我用得好啦。不过我们得到的不是x86的反汇编代码，是mips的，这个也不难，找手册看下就有了。其实凭借x86下的经验，这个也不是问题，毕竟汇编指令不是很多嘛。
　　查看字符串信息和函数信息：
　　

　　果然找到传说中的“后门密码”和那个alpha_auth_check函数。
　　进入alpha_auth_check进行分析：
　　

　　Look这里，一目了然吧。判断后门密码，如果为真，则检测为已登录状态。
　　按照devttys0给出的逆向还原代码就更直观了：
　　

　　从上面代码就可以很清晰的看到这个赤裸裸的后门了。下面我们验证一下吧，我买到的是中文版的DLINK DIR-100，通过更改http发包数据中的User-Agent值为“xmlset_roodkcableoj28840ybtide”进行访问。结果不用用户名和密码进去了。
　　

　　
　
　　涉及到的工具：
　　Binwalk
　　IDA
　　还存在的疑问：
　　1、如何在官方没有提供固件文件的情况下，在设备中提取固件或文件？
　　2、如何做到动态调试，木有找到无线路由器的模拟器和动态调试工具哦，求指导！

[培训]内核驱动高级班，冲击BAT一流互联网大厂工作，每周日13:00-18:00直播授课

上传的附件：

1.png （28.95kb，127次下载）
2.png （29.05kb，10次下载）
3.png （55.42kb，237次下载）
4.png （16.88kb，77次下载）
5.png （17.19kb，81次下载）
6.png （72.16kb，13次下载）

收藏・114

点赞・1

打赏

最新回复 (85) 1 2 3 4 ▶
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 339 粉丝 1 关注私信	LiXMX 2013-11-29 11:38 2 楼 0 收藏此帖，回家后用自己的路由器试一下，正好是DLink的。。。我去，这些人和我一个德行，都喜欢在自己东西里留后门。。。我们为了方便日后的程序升级和调试日志，有时候都是直接留一个小FTP服务在程序里的。。。哈哈哈
topofall 雪币： 124 活跃值： (344) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 195 粉丝 1 关注私信	topofall 2013-11-29 11:51 3 楼 0 居然没抢到一楼
sunnysab 雪币： 80 活跃值： (99) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 702 粉丝 0 关注私信	sunnysab 2013-11-29 12:50 4 楼 0 的确，如果官方没有固件就麻烦了。不过它留后门仅仅是为了调试？？不信。内网能控制路由还好说，毕竟大多数都是家里用。如果外网可以控制路由器的话……就麻烦了谢谢楼主！
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-29 13:01 5 楼 0 求大神写的后门哈，呵呵。确实有开启ftp或tftp的，莫非就是阁下留的？哈哈
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-29 13:02 6 楼 0 不知道没有在芯片上直接提取bin或者文件系统的方法。有些使用无线路由接入互联网的，没有配置管理地址限制，还是有可能被访问到的。
koflfy 雪币： 122 活跃值： (1455) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 392 粉丝 2 关注私信	koflfy 1 2013-11-29 14:51 7 楼 0 有写好的更改http发包数据的User-Agent值为“xmlset_roodkcableoj28840ybtide”值的DEMO么。。。我公司多DIINK的，我一个一个去试。。。
zzcc 雪币： 232 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 374 粉丝 0 关注私信	zzcc 2013-11-29 15:09 8 楼 0 哈哈，很多路由器，又改遭殃了
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-29 15:11 9 楼 0 这个用python可以实现批量扫描的哈。
doctrinist 雪币： 919 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	doctrinist 2013-11-29 15:11 10 楼 0 我也去试一下，
koflfy 雪币： 122 活跃值： (1455) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 392 粉丝 2 关注私信	koflfy 1 2013-11-29 15:22 11 楼 0 你的Demo发一个给我吧。。。我这没开发平台。 koflfy@qq.com Thks~
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 642 粉丝 0 关注私信	xiejienet 2013-11-29 15:36 12 楼 0 卧槽,求tplink的
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 642 粉丝 0 关注私信	xiejienet 2013-11-29 15:40 13 楼 0 不过有个疑问,这要内网才能访问吧. 很多路由器默认是禁止外网访问的
stinby 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	stinby 2013-11-29 15:40 14 楼 0 太牛了。。。。。。。。。。。。。。。。
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-29 16:12 15 楼 0 还真有tplink的，呵呵
lookzo 雪币： 6 活跃值： (980) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 538 粉丝 1 关注私信	lookzo 2013-11-29 16:21 16 楼 0 强帖，留名
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 670 粉丝 0 关注私信	AioliaSky 1 2013-11-29 20:28 17 楼 0 不错，这个要支持下
sunnysab 雪币： 80 活跃值： (99) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 702 粉丝 0 关注私信	sunnysab 2013-11-29 21:01 18 楼 0 刚才捣鼓了下，binwalk千辛万苦找到了。 TP-LINK TL-WR742N_V5_130417 的文件用binwalk找出了许多，控制台窗口装不下。。全是压缩的，lzma 至于IDA，有关ARM或MIPS所有CPU选项我都试了，只是——都是得到乱码求助。
zhuliang 雪币： 1098 活跃值： (193) 能力值： (RANK：210 ) 在线值：发帖 33 回帖 400 粉丝 15 关注私信	zhuliang 5 2013-11-30 10:17 19 楼 0 本人也将分享一些这方面的研究成果。敬请关注！http://bbs.pediy.com/showthread.php?t=181852
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-30 14:21 20 楼 0 [QUOTE=zhuliang;1243490]本人也将分享一些这方面的研究成果。敬请关注！http://bbs.pediy.com/showthread.php?t=181852[/QUOTE]关注哦！！！
电速极光雪币： 159 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 849 粉丝 0 关注私信	电速极光 2013-11-30 15:29 21 楼 0 无线路由也有后门？
ycmint 雪币： 1149 活跃值： (783) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 902 粉丝 10 关注私信	ycmint 5 2013-12-1 11:56 22 楼 0 在bootloader 里有处理的加密算法，可以自己解密和符号表还原....或者直接用 98 0c 这个标志区定位，用 linux 下解压缩模块解密即可
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 54 回帖 479 粉丝 1 关注私信	cnxxm 2013-12-2 02:37 23 楼 0 关注啊卧槽太危险了
CRoot 雪币： 3295 活跃值： (1078) 能力值： ( LV4，RANK：40 ) 在线值：发帖 25 回帖 745 粉丝 6 关注私信	CRoot 2013-12-7 10:40 24 楼 0 记得貌似公司的路由是link的，有空去蹂躏吧，有版本限制吗？
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 307 粉丝 2 关注私信	NightGuard 1 2013-12-16 13:28 25 楼 0 呃，能否指点一下？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复

gamehacker

发帖

334

回帖

RANK

关注

私信

他的文章

[原创]说说智能家居的那些事儿（1）-坎坤智能插座篇

[推荐]出一张ISC2014中国互联网安全大会门票

[求助]问题解决

[原创]说说无线路由器后门的那些事儿（1）-D-Link篇

[求助]好无聊

关于我们

联系我们

企业服务

看雪公众号

最新回复 (85) 1 2 3 4 ▶
LiXMX 雪币： 2155 活跃值： (29) 能力值： ( LV3，RANK：20 ) 在线值：发帖 28 回帖 339 粉丝 1 关注私信	LiXMX 2013-11-29 11:38 2 楼 0 收藏此帖，回家后用自己的路由器试一下，正好是DLink的。。。我去，这些人和我一个德行，都喜欢在自己东西里留后门。。。我们为了方便日后的程序升级和调试日志，有时候都是直接留一个小FTP服务在程序里的。。。哈哈哈
topofall 雪币： 124 活跃值： (344) 能力值： ( LV4，RANK：50 ) 在线值：发帖 17 回帖 195 粉丝 1 关注私信	topofall 2013-11-29 11:51 3 楼 0 居然没抢到一楼
sunnysab 雪币： 80 活跃值： (99) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 702 粉丝 0 关注私信	sunnysab 2013-11-29 12:50 4 楼 0 的确，如果官方没有固件就麻烦了。不过它留后门仅仅是为了调试？？不信。内网能控制路由还好说，毕竟大多数都是家里用。如果外网可以控制路由器的话……就麻烦了谢谢楼主！
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-29 13:01 5 楼 0 求大神写的后门哈，呵呵。确实有开启ftp或tftp的，莫非就是阁下留的？哈哈
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-29 13:02 6 楼 0 不知道没有在芯片上直接提取bin或者文件系统的方法。有些使用无线路由接入互联网的，没有配置管理地址限制，还是有可能被访问到的。
koflfy 雪币： 122 活跃值： (1455) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 392 粉丝 2 关注私信	koflfy 1 2013-11-29 14:51 7 楼 0 有写好的更改http发包数据的User-Agent值为“xmlset_roodkcableoj28840ybtide”值的DEMO么。。。我公司多DIINK的，我一个一个去试。。。
zzcc 雪币： 232 活跃值： (192) 能力值： ( LV2，RANK：10 ) 在线值：发帖 30 回帖 374 粉丝 0 关注私信	zzcc 2013-11-29 15:09 8 楼 0 哈哈，很多路由器，又改遭殃了
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-29 15:11 9 楼 0 这个用python可以实现批量扫描的哈。
doctrinist 雪币： 919 活跃值： (158) 能力值： ( LV2，RANK：10 ) 在线值：发帖 1 回帖 16 粉丝 0 关注私信	doctrinist 2013-11-29 15:11 10 楼 0 我也去试一下，
koflfy 雪币： 122 活跃值： (1455) 能力值： ( LV4，RANK：50 ) 在线值：发帖 7 回帖 392 粉丝 2 关注私信	koflfy 1 2013-11-29 15:22 11 楼 0 你的Demo发一个给我吧。。。我这没开发平台。 koflfy@qq.com Thks~
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 642 粉丝 0 关注私信	xiejienet 2013-11-29 15:36 12 楼 0 卧槽,求tplink的
xiejienet 雪币： 142 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 7 回帖 642 粉丝 0 关注私信	xiejienet 2013-11-29 15:40 13 楼 0 不过有个疑问,这要内网才能访问吧. 很多路由器默认是禁止外网访问的
stinby 雪币： 225 活跃值： (10) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 21 粉丝 0 关注私信	stinby 2013-11-29 15:40 14 楼 0 太牛了。。。。。。。。。。。。。。。。
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-29 16:12 15 楼 0 还真有tplink的，呵呵
lookzo 雪币： 6 活跃值： (980) 能力值： ( LV2，RANK：10 ) 在线值：发帖 2 回帖 538 粉丝 1 关注私信	lookzo 2013-11-29 16:21 16 楼 0 强帖，留名
AioliaSky 雪币： 257 活跃值： (67) 能力值： ( LV4，RANK：50 ) 在线值：发帖 11 回帖 670 粉丝 0 关注私信	AioliaSky 1 2013-11-29 20:28 17 楼 0 不错，这个要支持下
sunnysab 雪币： 80 活跃值： (99) 能力值： ( LV3，RANK：20 ) 在线值：发帖 19 回帖 702 粉丝 0 关注私信	sunnysab 2013-11-29 21:01 18 楼 0 刚才捣鼓了下，binwalk千辛万苦找到了。 TP-LINK TL-WR742N_V5_130417 的文件用binwalk找出了许多，控制台窗口装不下。。全是压缩的，lzma 至于IDA，有关ARM或MIPS所有CPU选项我都试了，只是——都是得到乱码求助。
zhuliang 雪币： 1098 活跃值： (193) 能力值： (RANK：210 ) 在线值：发帖 33 回帖 400 粉丝 15 关注私信	zhuliang 5 2013-11-30 10:17 19 楼 0 本人也将分享一些这方面的研究成果。敬请关注！http://bbs.pediy.com/showthread.php?t=181852
gamehacker 雪币： 131 活跃值： (98) 能力值： ( LV5，RANK：60 ) 在线值：发帖 12 回帖 334 粉丝 2 关注私信	gamehacker 1 2013-11-30 14:21 20 楼 0 [QUOTE=zhuliang;1243490]本人也将分享一些这方面的研究成果。敬请关注！http://bbs.pediy.com/showthread.php?t=181852[/QUOTE]关注哦！！！
电速极光雪币： 159 活跃值： (16) 能力值： ( LV2，RANK：10 ) 在线值：发帖 9 回帖 849 粉丝 0 关注私信	电速极光 2013-11-30 15:29 21 楼 0 无线路由也有后门？
ycmint 雪币： 1149 活跃值： (783) 能力值： ( LV13，RANK：260 ) 在线值：发帖 28 回帖 902 粉丝 10 关注私信	ycmint 5 2013-12-1 11:56 22 楼 0 在bootloader 里有处理的加密算法，可以自己解密和符号表还原....或者直接用 98 0c 这个标志区定位，用 linux 下解压缩模块解密即可
cnxxm 雪币： 478 活跃值： (50) 能力值： ( LV2，RANK：10 ) 在线值：发帖 54 回帖 479 粉丝 1 关注私信	cnxxm 2013-12-2 02:37 23 楼 0 关注啊卧槽太危险了
CRoot 雪币： 3295 活跃值： (1078) 能力值： ( LV4，RANK：40 ) 在线值：发帖 25 回帖 745 粉丝 6 关注私信	CRoot 2013-12-7 10:40 24 楼 0 记得貌似公司的路由是link的，有空去蹂躏吧，有版本限制吗？
NightGuard 雪币： 5855 活跃值： (438) 能力值： ( LV4，RANK：45 ) 在线值：发帖 12 回帖 307 粉丝 2 关注私信	NightGuard 1 2013-12-16 13:28 25 楼 0 呃，能否指点一下？
	游客登录 \| 注册方可回帖　回帖　表情雪币赚取及消费高级回复