原文标题翻译:[1-day] 静态分析
原文链接:[1-day] 정적 분석
原博主地址:goldenGlow_21
博主文章质量很高,有pwn基础并想要入手IOT可以追一下他的博客!
在搬运前已在github上取得博主的许可
我会用块注释加上一些我个人添加的注释在文章中辅助理解
前半段是对固件的分析
漏洞挖掘部分是对该固件的一个1day漏洞的复现
如果有翻译错误,请及时联系我指出!
希望这篇文章可以帮到你!

初步分析

文件系统提取

binwalk -e TOTOLINK-A3002R-He-V1.1.1-B20200824.0128.web

原博主用的固件地址:TOTOLINK

确认 squashfs 文件系统

文件系统分析

• 架构：MIPS little endian

主要目录总结

• /bin：存放可执行的二进制文件
• /etc：存放配置文件
• /lib：包含共享库文件
• /usr：包含一些额外的可执行文件和配置文件
• /var：用于存放日志和其他数据
• /web：与 Web 管理页面相关的文件
• /dev, /proc, /sys：与虚拟文件系统相关的目录

异常点分析

硬编码密码分析

• password

• admin

• root

分析发现的内容

1. 默认管理员账户

文件路径：

• squashfs-root/web/login.htm
• squashfs-root/web/mobile/login.asp
• squashfs-root/web/mobile/forgot.asp

发现的值：

管理员账号（admin）已被硬编码，并且很可能默认密码也为 admin。

2. root 账户及相关配置

文件路径：

• squashfs-root/etc/passwd
• squashfs-root/etc/shadow
• squashfs-root/etc/boa.org/boa.conf

发现的值：

• 系统中存在 root 账户，并且密码以哈希形式保存在 shadow.sample 文件中。
• boa.conf 配置显示网页服务器以 root 用户身份运行。
  • 网页服务器可能以 root 权限运行。
• 一旦攻击者获取 root 账户，即可能获得系统的完全控制权。

3. 管理员密码的存储方式

文件路径：

• squashfs-root/web/password.htm
• squashfs-root/web/tr069config.htm
• squashfs-root/web/gateway_mode.htm
• squashfs-root/web/util_gw.js

发现的值：

• HTML 代码中存在以模板形式嵌入的密码值，
  • <% getInfo("pppPassword"); %>
• DDNS、PPPoE、VPN（PPTP、L2TP）等密码可通过前端源码直接查看。
• JavaScript 中还包含与密码错误相关的提示，当攻击者分析 Web 界面时,很容易理解密码策略

4. Samba 与其他服务的认证信息

文件路径：

• squashfs-root/etc/samba/smb.conf
• squashfs-root/etc/vsftpd.conf
• squashfs-root/etc/minidlna.conf

发现的值：

Samba 与 FTP 配置文件中可能未启用加密密码功能。

• local_root=/var/tmp/usb 表明系统可能会将本地 USB 存储挂载于该路径，存在认证信息被泄露的风险。

Web 界面分析

文件路径：
/squashfs-root/web/cgi-bin/cstecgi.cgi

• 处理环境变量输入（getenv()）

  • 获取并利用 stationIp、CONTENT_LENGTH、REMOTE_ADDR、QUERY_STRING、http_host 等环境变量
  • 利用 QUERY_STRING 的值（如 action=login）来触发特定行为

• CGI 请求解析与 JSON 处理（cJSON_Parse()）

  • 使用 cJSON_Parse(v13) 解析 JSON 格式的 CGI 请求数据

• 命令执行逻辑（包含 system() 调用，例如 getCrpcConfig）

  • 执行：ping -c 1 8.8.8.8 > /dev/null
  • 在某些条件满足时会调用 system(v41)

• 存在缓冲区溢出风险（fgets()、strcpy()、sprintf()）

  • 代码中存在处理 JSON 数据时未进行长度校验的情况

漏洞判断

• 基于环境变量的攻击

  • getenv("stationIp"), getenv("CONTENT_LENGTH") → 攻击者可以注入被篡改的环境变量值
  • strtol(v5, 0, 10); → 在将 CONTENT_LENGTH 值转换为数字的过程中存在溢出的可能性
  • QUERY_STRING 的值（如 action=login, CSAuth=login 等）可能因操作而异

• 存在旁路认证绕过的可能性（action=login）

  • 登录请求通过字符串 "action=login" 进行识别
  • 没有实际的用户身份认证（密码验证）
  • 仅基于 HTTP Host 生成登录 URL 的方式

• 命令注入

  • 如果运行一个命令,其中包括环境变量或用户输入,攻击者可能会注入 shell 命令
  • system(v41)运行前确保没有输入的过滤。

• 栈溢出

  • 在 sprintf(v45, "...", v46) 中，对输入值 v46 的长度没有限制
  • 攻击者注入过长的输入值时可能导致栈溢出

准备EXP

在此之前,我个人建议先自行模拟运行一遍固件,简单看一下功能点,并自行逆向分析一下其中的boa和cgi文件
顺带一提,里面的符号表如果ida未能识别可以参考我的这篇文章! [分享]使用ida脚本 恢复/提取 ida未能识别的ELF文件符号表

1. 认证绕过
   curl -X GET "260K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0m8Q4x3X3f1I4i4K6u0r3j5$3N6A6i4K6u0V1j5X3W2F1i4K6u0r3j5%4y4@1k6h3y4Y4K9g2)9J5k6h3y4Y4K9g2)9K6c8X3q4U0N6r3W2G2L8W2)9K6c8r3I4G2k6$3W2F1"
2. 命令注入
   curl -X GET "d57K9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0m8Q4x3X3f1I4i4K6u0r3j5$3N6A6i4K6u0V1j5X3W2F1i4K6u0r3j5%4y4@1k6h3y4Y4K9g2)9J5k6h3y4Y4K9g2)9K6c8X3q4U0N6r3W2G2L8W2)9K6c8r3N6W2N6p5y4J5M7r3y4o6L8$3&6X3K9h3M7`." -H "User-Agent: ; id"
3. 栈溢出
   curl -X GET "b1dK9s2c8@1M7q4)9K6b7g2)9J5c8W2)9J5c8U0p5&6x3W2)9J5k6e0p5$3z5q4)9J5k6e0m8Q4x3X3f1I4i4K6u0r3j5$3N6A6i4K6u0V1j5X3W2F1i4K6u0r3j5%4y4@1k6h3y4Y4K9g2)9J5k6h3y4Y4K9g2)9K6c8V1y4e0b7i4g2@1K9q4g2J5L8q4)9K6c8q4)9J5y4q4)9J5z5s2m8&6N6r3S2G2L8U0x3`. -c 'print("A"*5000)')"

确认网页服务器配置（boa.conf）中管理员访问限制

以 root 权限运行

• 网页服务器进程以 root 权限运行
• 如果攻击者利用了 RCE（远程代码执行）漏洞，可能立即获取 root 权限
• 通常出于安全考虑，网页服务器应以受限权限（如 nobody、www-data）运行

CGI执行路径

• 设置为允许执行 /cgi-bin/ 目录下的所有文件
• 如果攻击者找到可以上传 .cgi 文件的路径，可能实现任意代码执行（RCE）

确认 /var/web/cgi-bin/ 目录中存在哪些 CGI 文件
检查是否存在如 cstecgi.cgi 之类的 CGI 可执行文件是否位于该目录中

MIME 类型设置

AddType application/x-httpd-cgi php

• 可能会导致 .php 文件被执行
• 虽然 boa 网页服务器通常不直接执行 PHP，但若存在额外的解释器，仍可能被执行

确认网页服务器内有哪些文件
如果存在如 /var/web/admin/ 的目录，可能存在管理员页面访问的可能性

DirectoryIndex 设置

DirectoryIndex index.html

• index.html 被设定为默认页面
• 未阻止自动目录列表
• 即，如果 boa.conf 中未设置 DirectoryMaker，则目录索引功能可能被启用

HTTP 响应头缺乏安全设置

• boa.conf 中未设置与安全相关的 HTTP 头（如 X-Frame-Options、Content-Security-Policy 等）
• 可能容易受到 XSS（跨站脚本）等攻击

如果缺少安全头（X-Frame-Options、Content-Security-Policy），则存在 XSS 攻击的可能性。

登录页面（login.htm）源码分析

通过 formLogin 发起登录请求：

• 表单的 action 为 /boafrm/formLogin
  • 登录请求将发送至 /boafrm/formLogin CGI 端点
• <input type="hidden" id="username" name="username" value="admin">
  • 管理员账号（admin）被硬编码
  • 需要确认攻击者是否能篡改该输入字段
• 密码输入字段（maxlength="15"）
  • 仅在客户端限制：需确认服务器端是否也进行验证

• 客户端仅确认是否输入了密码？
• 需确认服务器是否真正进行了认证检查

登录按钮点击后的行为需要进一步确认

• 登录请求被转换为 JSON 格式后，通过 POST 方式发送到 /boafrm/formLogin
• 如果登录响应为空，则自动重定向到 home.htm 或 wizardset.htm
• 使用 window\.eval(Data);
  • 可能直接执行服务器响应内容（存在 XSS 或代码执行漏洞的可能性）

window.eval(Data);

• 使用 eval() 执行服务器响应的数据
• 如果攻击者诱导服务器返回包含恶意 JavaScript 的响应，则存在 XSS 或代码执行的可能性。

• 若 XSS 被执行，攻击者可能劫持管理员会话

CSRF（跨站请求伪造）漏洞

• 登录表单中缺少 CSRF 防护机制

<form action=/boafrm/formLogin method=POST>

• 用户访问该 HTML 页面时会自动登录 → CSRF 攻击成功

网络设置及加密检查

网络服务及相关配置文件整理

各服务可能存在的漏洞及影响

dnsmasq.conf
秘钥配置分析

• domain-needed → 阻止本地名称请求（安全）

• bogus-priv → 阻止私有 IP 的 DNS 请求（安全）

• resolv-file=/etc/resolv.conf

  • 从上游 DNS 服务器 /etc/resolv.conf 获取

• DHCP 相关配置被注释 →（无 dhcp-range、dhcp-host）

  • 目前 DHCP 功能可能被禁用？

• log-queries 被禁用 → DNS 查询日志关闭（保护隐私）

• 缺少 no-resolv 配置 → 存在攻击者修改 /etc/resolv.conf 以使用恶意 DNS 的风险

漏洞分析

• no-resolv 选项被注释

• dnsmasq 配置从 /etc/resolv.conf 获取上游 DNS 服务器

• 但 no-resolv 被注释，意味着攻击者若能修改 /etc/resolv.conf，能将流量重定向到恶意 DNS 服务器

  • 存在中间人攻击风险

• log-queries 选项被注释

• 不记录 DNS 请求日志 → 难以进行入侵检测（IDS/IPS）及故障排查

• 攻击者可能利用 dnsmasq 进行 DNS 解析器信息收集

• 缺少 expand-hosts 选项

• 未启用 expand-hosts，内部域名不会自动扩展

• 攻击者可通过修改 hosts 文件，扫描和探测内部网络设备

udhcpd.conf

• 系统中存在 udhcpd 服务，但未发现配置文件
• 后续将在 Linux 环境中进行进一步确认

漏洞挖掘

目标文件位置

A3002R-V1.1.1-B20200824/_TOTOLINK-A3002R-He-V1.1.1-B20200824.0128.web.extracted/squashfs-root/bin/boa

在分析管理网页访问权限等设置的阶段，通过分析负责整体网页服务器配置的 boa 文件发现相关内容

• boa：用于嵌入式设备的轻量级网页服务器
• 在 DIR-882 设备中可视为类似 lighttpd 的实现
• 可进一步关联分析 /squashfs-root/web/cgi-bin/cstecgi.cgi 等文件

• No RELRO：未应用内存保护
• No Stack Canary：未应用栈保护机制
• No PIE：ASLR(内存随机化)未应用

脚本分析

• 已加载至 IDA，开始进行分析

sub_440C2C

• 该函数用于添加 WLAN SSID
• 是 boa 网页服务器中 CGI 处理函数 formWlEncrypt 的一个子函数

漏洞分析

• 在 boa 网页服务器中，wlan_ssid 的值在后端被 strcpy() 复制时未做长度限制，导致漏洞产生
• 具体来说，wlan_ssid 的值未经过长度验证便被传入 strcpy()，可能导致栈溢出
• strcpy(v9, a3);→ 未验证输入长度直接复制 → BOF(Buffer Over Flow)

sub_442C28

• 可以确认漏洞触发条件是 vwlan_idx 值必须大于等于 5。

漏洞验证,EXP

sub_407424

• 只需触发 CGI 函数 formWlanRedirect 即可将 vwlan_idx 设置为 5 以上

具体来说，可以准备如下请求：

漏洞验证准备

git clone 63fK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6H3M7U0m8$3x3%4u0T1M7#2)9J5c8V1k6A6M7X3#2m8c8b7`.`.

apt-get install gdb-multiarch

git clone c2bK9s2c8@1M7s2y4Q4x3@1q4Q4x3V1k6Q4x3V1k6Y4K9i4c8Z5N6h3u0Q4x3X3g2U0L8$3#2Q4x3V1k6e0N6$3W2F1k6o6q4W2M7W2)9J5c8V1c8G2N6$3&6D9L8$3q4V1i4K6u0r3

sudo apt-get install netcat

漏洞验证 — 模拟环境测试

• 使用 FirmAE 进行模拟环境测试
• 以 admin 身份访问初始页面

漏洞验证 - 溢出测试

• 实际环境中，ASLR 默认是关闭状态

• 可通过以下命令关闭 ASLR：

  1	echo 0 > /proc/sys/kernel/randomize_va_space

• 之后执行下面的 exploit 测试代码

python ./exp.py

传播安全知识、拓宽行业人脉——看雪讲师团队等你加入！