Tenda AC15路由器仿真——IDA+QEMU

已于 2024-04-16 15:31:15 修改
阅读量1.2k 收藏 4
点赞数 1
分类专栏: 路由器漏洞复现 文章标签: 智能路由器
于 2023-03-07 15:50:23 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/The54No1/article/details/129370364
版权

环境
• 虚拟机:AttifyOS3.0(Ubuntu18)
• 固件版本:US_AC15V1.0BR_V15.03.1.16_multi_TD01.bin
• 工具:IDA、binwalk、Firmadyne

仿真过程

  1. 工具准备
  2. 提取固件文件系统
  3. 尝试开启网络服务
  4. IDA调试程序并修改代码
  5. 开启服务并验证

工具准备

百度云盘AttifyOS下载地址:https://pan.baidu.com/s/1Vracsnlt5uNbdmfYK4dp8Q
密码:tvoh
固件(文章顶部)
链接:https://download.csdn.net/download/The54No1/87539787?spm=1001.2101.3001.9500
Linux内核和硬盘映像
下载地址:https://people.debian.org/~aurel32/qemu/mips/

提取固件

进入固件所在位置,使用binwalk提取固件文件系统。可发现该文件系统为小端存储。

binwalk -Me US_AC15V1.0BR_V15.03.1.16_multi_TD01.bin

在这里插入图片描述

尝试开启网络服务

QEMU仿真

进入提取的文件系统中的squashfs-root目录下,使用qemu-arm-static进行模拟Tenda路由器的网络服务一般是名称为/bin/httpd,开启命令如下:

cp (which qemu-arm-static) .#保证已经安装QEMU的前提下执行
sudo chroot ./ ./qemu-arm-static  ./bin/httpd

此时界面停在了welcome。
在这里插入图片描述

IDA调试httpd

在本机中打开ida,在ida中打开httpd,定位到sub_2CEA8函数即为main函数。

在这里插入图片描述
选择sub_2CEA8函数后在代码出按F5可展示伪代码。在代码32行设置断点。

在这里插入图片描述
在虚拟机中使用qemu-arm-static开启httpd服务,并-g 指定调试接口,命令如下:

sudo chroot ./ ./qemu-arm-static -g 23946 ./bin/httpd

使用ida开始远程调试,按F9选择Remote gdb debugger,输入虚拟机ip,httpd在虚拟机中位置和服务端口。

在这里插入图片描述

分析后发现httpd服务开启有两个检测条件:
1.check_network()<=0时则会陷入sleep
2.ConnectCFM() 不符合条件则会提示”connect cfm failed”
开启调试后发现程序会停留在以下界面。

在这里插入图片描述
使用keypatch对httpd进行修改并保存为httpdpatch,将httpdpatch放入虚拟机中httpd相同文件夹中(需配合root身份对文件进行移动),并执行httpdpatch发现运行出现变化。
在这里插入图片描述

在这里插入图片描述

mv httpdpatch /home/oit/tools/firmadyne/_US_AC15V1.0BR_V15.03.1.16_multi_TD01.bin.extracted/squashfs-root/bin/httpdpatch

在这里插入图片描述
在这里插入图片描述
此时发现httpd listen ip后ip有问题,查阅资料可知httpd 想要获取的网卡名称是 “br0”。直接在宿主机上新建一个名为 “br0” 的网卡,再执行。

sudo brctl addbr br0
sudo ifconfig br0 192.168.254.139/24

在这里插入图片描述
将webroot_ro中的文件复制到web_root目录下,最后就可以在本机中访问模拟出的路由器网站。

cp -r /home/oit/tools/firmadyne/_US_AC15V1.0BR_V15.03.1.16_multi_TD01.bin.extracted/squashfs-root/webroot_ro/* /home/oit/tools/firmadyne/_US_AC15V1.0BR_V15.03.1.16_multi_TD01.bin.extracted/squashfs-root/webroot

仿真验证

打开浏览器输入192.168.254.139:81即可访问。

iot_vegetable_bird
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
第一个iot漏洞分析d-link 850L路由器漏洞分析
九层台
03-26 2880
ftp://ftp2.dlink.com/PRODUCTS/DIR-850L/REVA/DIR-850L_REVA_FIRMWARE_1.14.B07_WW.ZIP固件下载地址 分析工具 1.attifyOs虚拟机(里面的~/tools/firmware-analysis-toolkit工具) 2.binwalk binwalk -eM xxx.bin解压查看bin文件系统 3.Ghidra...
IDA+Pro权威指南.rar
10-29
ida============认真拜读============加油 希望可以方便学习逆向d
小米路由器固件仿真模拟方案
jmm18363027827的博客
06-14 1103
由于我们学校实验室里正好用的是小米AX9000这款路由器,因此当时我就选了这款设备挖,也就没有对固件仿真了。既有女朋友又努力上进的ZIKH26师傅与我这个摆烂人不同,在复现我这个洞的时候,想要研究一下小米路由器仿真模拟。正好最近我也没啥事,于是也就一起看了看。恰巧前几天也有师傅私信我关于小米路由器该如何仿真的问题,并且网上目前似乎还没有师傅分析过小米固件的仿真,因此我就写了此文放了出来(所以,我说FirmAE是对某些固件特制的学术玩具会不会被打,逃)。
IDA+Pro权威指南
05-01
交互式反汇编器专业版(Interactive Disassembler Professional),人们常称其为IDA Pro,或简称为IDA。是目前最棒的一个静态反编译软件,为众多0day世界的成员和ShellCode安全分析人士不可缺少的利器!IDA Pro是一...
15 puzzle C语言IDA* 求解算法
10-23
《15 Puzzle与IDA*算法在C语言中的实现》 15 Puzzle,又称15数字谜题,是一种经典的智力游戏,玩家需要通过滑动15个数字方块,使得它们最终按照1到15的顺序排列,空白方块通常位于右下角。这个游戏的挑战在于寻找...
威联通启用SFTP并安装内网穿透工具实现远程管理家中NAS中的资源
邓富民的博客
07-25 1037
本次教程主要介绍如何在QNAP威联通NAS上搭建SFTP服务,并通过cpolar内网穿透将其映射到公网上,实现在公网环境下也可以远程访问连接家里内网的威联通SFTP服务,无需公网IP,也不用设置路由器那么麻烦。
路由表与IP数据报的转发
小李学不完的博客
07-25 1351
直接交付和间接交付。目的 IP 地址属于直接连接的网络时,IP 数据报直接交付给目的主机,否则转发给下一跳路由器进行间接交付静态路由表由网络管理员在路由器中手动配置,能对路由的行为进行精确的控制, 但不能对网络的变化做出反应路由聚合和默认路由能减少路由表项,以及减少查找路由时间。
【ESP32S3学习笔记】与有人AP520X路由器连接失败的问题
lunzilx的博客
07-24 361
项目上新换了个路由器,结果发现ESP32模组连接不上,其他的路由器都正常。
计算机网络基础:3.DNS服务器、域名分类
qq_53529450的博客
07-23 1344
以餐厅运营的比喻来解释DNS服务器的概念与原理、解析流程以及分类,接着介绍了域名的分类。
通信原理-思科实验五:家庭终端以太网接入Internet实验
sinat_39522506的博客
07-24 469
实验五 家庭终端以太网接入Internet实验。接着配置IP地址池和虚拟模板 开启宽带拨号。1.按照上图选择对应的设备,并连接起来。5.为路由器R1配置静态路由项。7.完成终端PC2 IP配置。
华为ICT大赛之ensp软件BGP原理与配置
2302_77397775的博客
07-24 594
建立成功后,发送receive correct open 报文,之后进入openconfirm证实状态,然后发送keepalive报文,之后进入established标志邻居建立成功;BGP取代EGP(exterior gateway protocol)外部网关协议,BGP在其发布路由信息基础上可以进行路由优选,高效处理路由信息;EBGP(external BGP):不同自治系统的BGP路由器之前的BGP对等体关系;两个建立BGP的路由器互为对等体,交换信息为路由表,BGP同城被称为路径矢量协议,
如何改桥接模式
S_ZaiJiangHu的博客
07-25 332
首先获取超级密码 可以网上花钱找人买进去后 几个参数最关键 lot sn mac地址然后宽带的账号密码还有vlan区域id现在最新的光猫已经看不了宽带密码了 都是**** 这个应该是后端写了 然后前端发送***** 会是之前默认的密码所以你尝试的时候 可以修改下之前的连接vlanid 然后新建一个去尝试能不能拨号成功 如果不对 再把之前连接的vlanid改回去 避免出问题如何删除远程管理的 就是那个连接删掉或者改下就行 不是进telnet删。
OSPF综合实验
2301_79783133的博客
07-25 460
3、进行OSPF配置,之后设置R1为DR,R2为BDR,且R1和R2的环回接口可以宣告到OSPF网络。4、R1、R2、R5上各自配置一个环回接口。3、R3与R4之间使用密文认证,密码为Admin@huawei.com。5、设备的RID为每台设备的名称编号(AR1==1.1.1.1)1、整个网络使用192.168.1.0/24,进行地址分配。2、手工配置每个接口的网关和R1、R2、R5的环回接口。4、Area 1区域中,R3与R4之间使用密文认证。2、Area 0区域中,R1为DR,R2为BDR。
内网穿透详解
m0_74288773的博客
07-21 2947
巴比达内网穿透简单易用。它的操作界面简洁直观,配置过程轻松易懂。即使我没有深厚的网络技术知识,也能够按照清晰的指引迅速完成设置,让内网穿透变得不再神秘和复杂。
GRE VPN和MGRE VPN综合练习
最新发布
2301_79767652的博客
07-25 669
2、R1和R5间使用PPP的PAP认证,R5为主认证方 R5上配置aaa服务创建用户及密码R1在接口上选择身份验证模式PAP。3、R2与R5之间使用ppp的CHAP认证,R5为主认证方 R5上配置aaa R2在接口上选择身份验证模式CHAP。3、R1、R2、R3构建一个MGRE环境,R1为中心站点,R1、R4间为点到点的GRE;6、R1、R2、R3构建一个MGRE环境,R1为中心站点,2、R1和R5间使用PPP的PAP认证,R5为主认证方;2、R1和R5间使用PPP的PAP认证,R5为主认证方。
通信原理-实验六:实验测验
sinat_39522506的博客
07-24 419
5.路由器无线局域网端口配置命令。
BGP路由反射器
txs1269928052的博客
07-25 863
R8只接收到了关于10.0.1.1/32的路由信息,而没有接收到关于AS 100内部其他路由器的Loopback 0 的路由信息,这是因为AS 100内部OSPF路由协议的优先级要高于BGP路由协议的优先级,于是R1就不会将除了本地起源(即下一跳为0.0.0.0)的路由之外的其他路由信息传递给R8。可以看到,R1 从 EBGP对等体R8接收到关于10.0.8.8/32的路由之后,将这条路由传递给了R2、R3、R4,说明路由反射器会把从EBGP对等体接收到的路由传递给它的客户端和非客户端。
DNS劫持
XHgga_的博客
07-23 1049
DNS劫持:一种网络安全威胁的深入分析在当今网络日益发达的时代,互联网已经成为了人们日常生活中不可或缺的一部分。然而,随着网络技术的进步,网络安全问题也愈发突出。其中,DNS劫持作为一种常见的网络攻击方式,越来越引起了人们的关注。本文将对DNS劫持的工作原理、常见形式、影响及防范措施进行深入探讨,以帮助读者更好地理解这一网络安全威胁。
虚拟局域网络(VLAN)详解
qq_74940664的博客
07-25 585
VLAN(Virtual Local Area Network,虚拟局域网络)技术是一种将物理局域网在逻辑上划分为多个虚拟网络的技术。VLAN技术的出现,打破了传统物理网络的限制,使得网络管理更加灵活、高效。VLAN技术广泛应用于企业网络、数据中心、云计算环境等各个领域,为网络的可靠性、安全性和可扩展性提供了有力支持。
如果不提供源码,只提供编译好的软件,除 IDA + F5 之外,还能想到其他方式获得正确的密码吗?
06-11
如果不提供源码,只提供编译好的软件,除了使用 IDA + F5 进行反汇编、调试之外,还有以下几种方式尝试获取正确的密码: 1. 使用逆向工程工具如 Ghidra 进行反编译 2. 使用动态调试工具如 OllyDbg 进行调试 3. 使用内存查找工具如 Cheat Engine 查找程序运行时在内存中存储密码的位置 4. 使用密码爆破工具如 John the Ripper 进行暴力破解 需要注意的是,这些方式都需要一定的技术水平和时间成本,并且违反了软件的使用协议和版权法规。在未经授权的情况下,这些行为都是非法的。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值