iot安全入门:固件仿真操作(Sapido RB-1732路由器漏洞为例)

最新推荐文章于 2025-02-20 11:57:52 发布
最新推荐文章于 2025-02-20 11:57:52 发布
阅读量1.5k 收藏 32
点赞数 18
文章标签: 物联网 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73575406/article/details/141975775
版权

前言

文章关于iot安全入门实操,选取例子是Sapido RB-1732路由器命令执行漏洞,漏洞原理很简单,重点是熟悉工具使用以及漏洞复现流程

固件下载地址:

https://pan.baidu.com/s/1Gj9RDlAQdCDiaLdLzQ2Aag?pwd=8381

工具:

IOT-research虚拟机(也可以attifyos,但是用到一半发现太难用了)

提取码nqy3
https://pan.baidu.com/s/1ke6gvJ9sFlnpPE17O9nMuQ 
 

参考资料:

《物联网设备固件分析指南-SecureNexusLab》《物联网安全漏洞挖掘实战_》

以及如下文章

操作:

一、提取文件系统

Binwalk看看信息,squashfs文件系统,小端

用Me参数提取

进入到文件系统目录

二、漏洞分析

find命令找syscmd.asp。(为什么要找这个?因为这是复现漏洞,按常规找洞的方法应该是去二进制文件找system函数地址)

用前端打开一下可以看出大概是干嘛,能猜出是很明显的命令执行洞

打开源码,定位提交表单处,发现处理后端在/goform/formSysCmd

用grep命令找一下/goform/formSysCmd,后端一般是二进制程序,所以就在bin/webs文件中

用file查看信息,是mipsel-32架构

把webs拖进ida分析

Shift+f12来到string框,然后ctrl+f搜索关键词formSysCmd,双击其中一个定位到它的位置

这里保存着函数名称,再双击定位到函数具体位置

定位到函数位置后,F5反编译出c代码(这里我ida不能反编译mips架构,暂时先用ghidra反编译了,ghidra在虚拟机内/tools/reverse目录下有提供)

这里分享能反编译mips的ida:

​​​​​​ https://bbs.kanxue.com/thread-264323-1.htm

代码还是很简单的,很明显的命令执行了,传参sysCmd为任意命令就行了。可以搜一搜这个websGetVar是啥函数

  • firmware-analysis-plus仿真(仿真成功)

  • IOT-Research里面没有这玩意,需要去官网下载一下

  • https://github.com/liyansong2018/firmware-analysis-plus

    然后运行如下命令就仿真成功了

  • 来到web页面,admin口令登录

  • 来到syscmd.asp目录下,可以抓包看看详细信息,就是直接命令执行了

CLan_nad_
关注
物联网漏洞挖掘入门--DLINK-DIR-645路由器栈溢出漏洞分析复现
墨痕诉清风的博客
09-11 3953
https://www.rapid7.de/db/modules/exploit/linux/http/dlink_hedwig_cgi_bof 这个栈溢出的原因是由于cookie的值过长导致的栈溢出。服务端取得客户端请求的HTTP头中Cookie字段中uid的值,格式化到栈上导致溢出。通过对漏洞点进行分析,搭建模拟环境并完成整个漏洞利用过程。 (文章中有不足之处,还请各位......
路由器固件模拟环境搭建(超详细)
01-06
路由器固件模拟环境搭建 0X01 想说的话
Sapido路由器命令执行漏洞
chaojixiaojingang
04-19 1491
1.漏洞描述 Sapido路由器存在命令执行漏洞,攻击者可通过未授权进入命令执行页面,进而可以root权限执行任意命令。 2.影响版本 BR270n-v2.1.03 BRC76n-v2.1.03 GR297-v2.1.3 RB1732-v2.0.43 3.网络资产查找 Fofa:app="Sapido-路由器" 4.POC http://xxx.xxx.xxx.xxx/syscmd.asp http://xxx.xxx.xxx.xxx/syscmd.htm 5.漏洞复现 ...
路由器固件安全漏洞分析——开端入坑_固件漏洞
最新发布
小司机的奥拓
02-20 1078
今日我们开一个新坑,——路由器固件的分析与漏洞挖掘。尽管网上文章分析不少,但我还是感觉缺少点什么…虽然本人实力有限,比不上那些逆向大佬。我还是喜欢把自己的思路分享给大家。固件的分析不同与常规的web网站。我们没有这款固件开发的原始的.c代码,只能利用工具提取固件的文件系统,使用逆向软件分析固件的可执行程序。如ida pro 在逆向界面中我们只能看到的是一条条指令操作着寄存器,栈空间地址。使用软件的反汇编功能F5查看程序的伪代码,这种代码在功能上与源码无差,但实际上代码阅读性上可谓是差了大节。
IOT固件模拟-dir605L_FW_113(函数劫持)
qq_43390703的博客
10-24 8926
复现基本操作 固件提取 首先需要进行下载并且进行固件解压。 在进行固件解压的时候,前面由于环境问题一直解压失败,与路由器相关的文件夹是空的在squashfs-root下没有任何东西,自习查看报错提示,需要注意相关binwalk插件或者是依赖的安装,本人环境需要进行sasquatch 安装,完成安装后,binwalk的解压结果多了:squashfs-root-0,进入就是正常的目录结构了。 # 安装依赖库文件 $ sudo apt-get install build-essential liblzma-dev
qemu网络配置-桥接-IOT固件模拟
qq_43390703的博客
10-26 7876
QEMU网络策略 在进行IOT固件模拟的过程中,我们需要进行poc的验证需要能够启动系统级的qemu模拟,这时候需要将固件文件系统传到qemu虚拟机中,我们需要通过qemu网络通信的方法去串通本机和qemu虚拟机。 qemu的网络通信方法 user mode stack 用户协议栈方式,这种方式相当于在qemu进程中实现一个协议栈,这个协议栈被视为一个主机与虚拟机之间的NAT服务器,负责将qemu所模拟的系统网络请求转发到外部网卡上,从而实现网络通信,但是不能将外面的请求转发至虚拟机内部,并且虚拟机vlan
QEMU仿真路由器
CZ010822的博客
09-05 1570
由此可知,该固件的内核是32位大端序(mips),因此下载其中的内核以及镜像文件,都放到新建的文件夹(mips)中在mips文件夹中新建qemu启动脚本,命名为 start.shvim /opt/tools/mipsel/start.sh,写入以下配置启动qemu,运行start.sh脚本(./start.sh)默认的登录名和密码都是root。
Tenda AC15路由器仿真——IDA+QEMU
The54No1的博客
03-07 2090
使用IDA对tenda AC15路由器进行仿真
IoT-vulhub:物联网固件防御复现环境
03-20
受项目的启发,希望做一个IoT版的固件突破复现环境。 安装 在ubuntu16.04下安装docker和docker-compose: # 安装 pip $ curl -s https://bootstrap.pypa.io/get-pip.py | python3 # 安装最新版 docker $ curl -s ...
物联网IoT安全教程(四)-- 解密路由器固件
安全杂货铺
02-28 1773
本次我们要研究的是路由器Dlink-882的固件,下载地址在ftp://ftp2.dlink.com/PRODUCTS/DIR-882/REVA/,其中的zip文件就是各版本的固件。 解压出来的固件版本从旧到新依次为:FW100B07 --> FW101B02 --> FW104B02 --> FW110B02 --> FW111B01 --> FW120B06 -...
信息安全_3IOT安全之.浅谈路由器安全.pptx
08-14
本议题从路由器分布现状,默认服务和固件安全出发,分析路由器固件所存在的安全隐患,如:路由器后门,硬编码,安全漏洞。 分析路由器固件代码,从漏洞挖掘到补丁分析到绕过补丁的方式,全面讲解路由器固件的攻击与...
attifyos:Attify OS-用于物联网设备渗透测试的发行版
02-05
attifyos:Attify OS-用于物联网设备渗透测试的发行版
IOT安全-浅谈路由器安全.pdf
08-21
IOT安全-浅谈路由器安全 信息安全研究 安全实践 安全风险 风险分析 安全设计
D-link路由器仿真——fat.py
The54No1的博客
03-06 965
下载实验所需虚拟机及固件。安装AttifyOS虚拟机并将固件放置在虚拟机内。执行fat.py进行仿真。验证仿真结果。
Sapido多款路由器命令执行漏洞
总有人间一两风,填我十万八千梦
03-09 7535
影响版本 BR270n-v2.1.03 BRC76n-v2.1.03 GR297-v2.1.3 RB1732-v2.0.43 漏洞 fofa搜索 app="Sapido-路由器" poc:ip/syscmd.htm 即可以输入命令执行
FirmAE 模拟固件
无痕的博客
08-08 4085
介绍了面向物联网固件的大规模仿真动态分析工具--FirmAE
Markovdecisionprocesses_Discretestochasticdynamicprogramming下载
luoganttcc的博客
09-09 735
链接 提取码 rnnw 大家下载吧,我花钱买的,方便大家
IoT上的缓冲区溢出漏洞
我相信......
09-18 1841
在过去N年里,缓冲区溢出一直是网络攻击中最常被利用的漏洞。 看一下缓冲区是如何创建的,就能知道原因所在。 下面是C语言的一个: 第一步,程序员使用 malloc 函数并定义缓冲区内存的数量(如32位) 第二步,返回指针,指示内存中缓冲区的开始位置 第三步,当程序员需要读取或写入该缓冲区时,程序员都会使用该指针 有了指针,程序员很容易忘记分配给指定缓冲区的实际内存量。编译器在程序中使...
IOT漏洞
总有人间一两风,填我十万八千梦
03-08 4138
IOT安全问题
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值