网安
  • Develop
    • JAVA学习
      • 字节码
      • API开发
      • Web开发
      • 工程结构推荐
      • 创建第一个项目
      • 权限管控
      • 配置文件
      • 日志管理
      • 数据访问
      • 性能监控
      • IoC容器
      • Spring
      • Filter与Listener
      • jsp
      • MVC
      • servlet-1
      • servlet-2
      • servlet-3
      • servlet-4
      • FreeMarker
      • Thymeleaf
      • EL
      • SpEL
      • JSTL
      • 部署
      • JDBC
      • 数据库连接池
      • fastjson
      • jackson
      • XML
      • JSON
      • 序列化
      • Maven
      • 安装与使用
      • 工具
      • 爬虫
    • GO学习
      • GO
        • flag 包
        • goland 远程调试
        • GoReleaser
        • OS 包
        • time 包
        • 格式化输出
    • Lua学习
      • Lua
      • 基础语法
      • LuaJIT
      • 与系统交互
    • Pyhon
      • 基础
      • Django
      • CLI
      • miniforge
      • MockingBird
      • pdb
      • pyc
      • 装的我脑血栓要犯了
      • Python101
      • 反序列化
      • 爬虫
      • Pillow
      • 图像识别
      • flask
    • Speed-Ruby
      • 入门1
      • 入门2 对象
      • 入门3 创建命令
      • Encoding类
      • File类与Dir类
      • IO
      • Proc类
      • Time类与Date类
      • 正则
      • 错误处理与异常
      • 对象、变量和常量
      • 方法
      • 数值
      • 数组
      • 条件判断
      • 循环
      • 运算符
      • Socket编程
      • 字符串
      • 并发与线程
      • 块
      • 类和模块
      • 散列
    • Web
      • HTTP
        • Connection
        • HTTP 报文
        • Vary
      • 笔记
        • 跳转
        • 认证 & 授权
        • 同源策略(SOP)
        • 文件
    • Git 学习笔记
    • JSON
      • JSON 学习笔记
    • HTML
      • Speed-HTML
      • 语法学习
      • HTML字符实体
    • XML
      • XML 学习笔记
    • 计算机基础
      • 操作系统
      • 计算机组成
      • 算法
      • 内存
      • 字符编码
    • gnuplot 学习笔记
    • regex
  • Integrated
    • Linux
      • God-Linux
      • Secure-Linux
      • Power-Linux
      • IO模型
      • Speed-Linux
      • 发行版
      • 工具
      • 启动过程
      • 进程
      • 认证
      • 日志
      • 守护进程
      • 文件
      • 信息
      • VSFTP 配置案例
      • auditd
      • containerd
      • DNS 配置案例
      • Docker
      • Docker-Compose
      • firewalld 实验
      • gpg
      • Iptables
      • httpd
      • LAMP
      • mysql
      • nfs 配置案例
      • openssl
      • PAM
      • samba 配置案例
      • terraform
      • ufw
      • VSFTP 配置案例
    • Network
      • Speed-Net
      • Power-Net
      • SDN 笔记
      • DNS
      • TLS
    • Windows
      • Secure-Win
      • Speed-Win
      • ACL
      • LDAP
      • IPC$(Internet Process Connection)
      • PDB符号文件
      • 工作组
      • WinRM
      • 角色权限
      • 凭据
      • 签名
      • 日志
      • 认证
      • 协议
      • 信息
      • 应用
      • 组策略
      • 域
      • asp站点搭建
      • Exchange 搭建
      • Windows 故障转移集群
      • Windows 基础服务搭建
      • Windows 域搭建
      • 本地抓包
      • PowerShell 笔记
    • 容器
      • Docker
    • 数据库
      • Speed-SQL
      • Power-SQL
      • MSSQL
      • MySQL
      • Postgresql
      • Redis
      • MySQL大小写问题
      • 主键和外键
      • MySQL快速入门
      • 虚拟化
        • ESXi
        • vCenter
  • Plan
    • Mac-Plan
    • Misc-Plan
    • Team-Plan
    • Thinking-Plan
    • VM-Plan
  • Sercurity
    • Power-PenTest
    • BlueTeam
      • 安全建设
      • 分析
      • 加固
      • 取证
      • 应急
      • USB取证
      • 磁盘取证
      • 内存取证
      • ClamAV 部署
      • yara 实验
      • 安防设施搭建使用
      • ZIP明文攻击
      • 流量分析
    • Crypto
      • Crypto
        • 2020 9 G60攻防大赛
        • CTF
        • 2020 9 中能融合杯工控CTF
        • 2020 10 全国工业互联网安全技术技能大赛江苏省选拔赛
        • 2020 10 全国网络与信息安全管理职业技能大赛江苏场
        • 2020 11 I²S峰会暨工业互联网安全大赛
        • 2021 6 第二届I²S峰会暨工业互联网安全大赛
        • 2021-9-第七届工控信息安全攻防竞赛
        • 2021 9 第七届全国职工职业技能大赛某市县选拔赛
        • 2021 9 全国网络与信息安全管理职业技能大赛江苏场
        • 2021-10-G60攻防大赛
    • CTF
      • CTF
      • writeup
        • 2020 9 中能融合杯工控CTF
        • 2020 9 G60攻防大赛
        • 2020 10 全国工业互联网安全技术技能大赛江苏省选拔赛
        • 2020 10 全国网络与信息安全管理职业技能大赛江苏场
        • 2020 11 I²S峰会暨工业互联网安全大赛
        • 2021 6 第二届I²S峰会暨工业互联网安全大赛
        • 2021-9-第七届工控信息安全攻防竞赛
        • 2021 9 第七届全国职工职业技能大赛某市县选拔赛
        • 2021 9 全国网络与信息安全管理职业技能大赛江苏场
        • 2021-10-G60攻防大赛
    • ICS
      • PLC攻击
      • S7comm 相关
      • 工控协议
      • 上位机安全
      • Modbus 仿真环境搭建
      • siemens 仿真搭建实验
      • S7-300 启停实验
    • IOT
      • 无线电安全
        • RFID复制卡
        • RFID基础知识
        • WiFikiller
      • 硬件安全
        • DIY键盘嵌入指纹识别模块实验记录
        • Device-Exploits
        • HID-Digispark
        • HID-KeyboardLogger
        • HID-USBHarpoon
        • HID-USBKeyLogger
      • 固件安全
        • 固件安全
        • Dlink_DWR-932B 路由器固件分析
    • Mobile sec
      • 小程序安全
      • Android安全
    • PWN
      • SLMail溢出案例
      • PWN
    • Red Team
      • OS安全
        • Linux 安全
        • Exploits
        • NTLM中继
        • Windows 安全
        • Responder欺骗
        • Windows-LOL
      • Web_Generic
        • Top 10
          • RCE
          • Fileread
          • SQLi
          • SSRF
          • SSTI
          • Web Generic
          • XSS
          • XXE
      • Web_Tricks
        • JWT 安全
        • HTTP_request_smuggling
        • OOB
        • 绕过访问
      • 靶场
        • Hello-Java-Sec 学习
        • DVWA-WalkThrough
        • pikachu-WalkThrough
        • upload-labs-WalkThrough
        • XVWA-WalkThrough
        • XSS挑战-WalkThrough
      • 实验
        • flask
        • fastjson
        • Log4j
        • nodejs
        • Shiro
        • Spring
        • Weblogic
      • 前端攻防
      • IDOR
    • 安防设备
      • Exploits
      • Bypass 技巧
    • 后渗透
      • 权限提升
      • 后渗透
      • 权限维持
      • 实验
        • C2 实验
        • Exchange
        • 端口转发实验
        • 代理实验
        • 免杀实验
        • 隧道实验
    • 软件服务安全
      • Exploits
      • CS Exploits
      • 实验
        • Docker
        • Kubernetes
        • Mysql
        • Oracle
        • PostgreSQL
        • Redis
        • vCenter
    • 协议安全
      • Exploits
    • 信息收集
      • 端口安全
      • 空间测绘
      • 信息收集
    • 语言安全
      • 语言安全
        • 语言安全
      • GO安全
        • GO安全
        • Go代码审计
      • JAVA安全
        • JAVA安全
        • JAVA代码审计
        • JAVA反序列化
        • SpEL 注入
      • PHP安全
        • PHP安全
        • bypass_disable_function
        • bypass_open_basedir
        • phpinfo
        • PHP代码审计
        • PHP反序列化
        • PHP回调函数
        • 变量覆盖
        • POP
        • 弱类型
        • 伪协议
        • 无字母数字Webshell
      • Python安全
        • pyc反编译
        • Python安全
        • Python 代码审计
        • 沙箱逃逸
      • dotnet安全
      • JS安全
    • 云安全
      • 公有云安全
    • Reverse
      • Reverse
      • FILE
        • ELF
        • BMP
        • JPG
        • PE
        • PNG
        • ZIP
        • 文件头
      • 实验
        • PYAble
          • 2-逆运算
          • 1-基本分析
          • 3-异或
          • 4-Base64
          • 5-Base64换表
          • 6-动态调试
        • Windows
          • condrv.sys 内存损坏漏洞
    • 工具
      • Aircrack
      • BloodHound
      • Burp Suite
      • frp
      • CobaltStrike
      • Ghidra
      • fscan
      • Hashcat
      • IDA
      • merlin
      • Kali
      • Metasploit
      • Mimikatz
      • ModSecurity
      • Nmap
      • nps
      • nuclei
      • pupy
      • RedGuard
      • SET
      • sliver
      • Snort
      • Sqlmap
      • Suricata
      • Sysmon
      • uncover
      • Volatility
      • Wfuzz
      • Wireshark
      • xray
    • 安全资源
      • 靶机
        • VulnHub
          • DC
            • DC2 WalkThrough
            • DC1 WalkThrough
            • DC3 WalkThrough
            • DC4 WalkThrough
            • DC5 WalkThrough
            • DC6 WalkThrough
            • DC9 WalkThrough
            • DC8 WalkThrough
          • It's_October
            • It’s_October1 WalkThrough
          • Kioptrix
            • Kioptrix2 WalkThrough
            • Kioptrix3 WalkThrough
            • Kioptrix4 WalkThrough
            • Kioptrix5 WalkThrough
          • Mission-Pumpkin
            • PumpkinGarden-WalkThrough
            • PumpkinFestival WalkThrough
            • PumpkinRaising WalkThrough
          • Symfonos
            • symfonos1 WalkThrough
            • symfonos2 WalkThrough
            • symfonos3 WalkThrough
            • symfonos5 WalkThrough
        • Wargames
          • Bandit
            • Bandit-WalkThrough
      • 面试问题
        • 面试问题
Powered by GitBook
On this page
  • 免责声明
  • 获得固件
  • 提取固件
  • 信息挖掘
  • 查看启动项
  • appmgr 分析
  • fotad 分析
  • UPnP 安全问题
  • Source & Reference
  1. Sercurity
  2. IOT
  3. 固件安全

Dlink_DWR-932B 路由器固件分析

Previous固件安全NextMobile sec

免责声明

本文档仅供学习和研究使用,请勿使用文中的技术源码用于非法用途,任何人造成的任何负面影响,与本人无关.

获得固件

访问 Dlink 的 ftp 服务器

  • ftp://ftp.dlink.eu/

这里下载 DWR-932_fw_revB_2_02_eu_en_20150709.zip 文件

  • ftp://ftp.dlink.eu/Products/dwr/dwr-932/driver_software/

提取固件

解压,得到 DWR-932_B1_FW v.02.02EU.zip , 无法直接解压缩,会发现该固件被加了密,这是厂商对该固件做了保护,防止逆向分析固件。

可以用爆破工具爆破密码,这里省略这一步,解压密码是 beUT9Z

解压完毕,查看固件文件

有一些 yaffs2 格式的文件,这个需要用 工具来提取,下载 unyaffs,配置权限,解压,查看解压的文件

mkdir test1
mv unyaffs test1
mv 2K-mdm-image-mdm9625.yaffs2 test1
cd test1
chmod +x unyaffs
./unyaffs 2K-mdm-image-mdm9625.yaffs2

信息挖掘

接下来,在提取的文件中挖掘一些有用的信息

find . -name "*.conf"
find . -name "shadow"
find . -name "passwd"
find . -name "*config*"
find . -name "*history*"
find . -name "*ssh*_config*"
find . -name "*ssh_host*"

在 inadyn-mt.conf 这个文件中找到 no-ip 应用的配置

查看 shadow 文件

这里可以使用 hashcat 或 John the Ripper 爆破 root 账号的密码

root:aRDiHrJ0OkehM:16270:0:99999:7:::

可以看到 root 密码是 1234

使用 firmwalker 工具来自动化遍历该固件系统中的所有可疑文件

git clone https://github.com/craigz28/firmwalker.git
./firmwalker.sh test1

查看启动项

cd etc/init.d
ls -l
total 252
-rwxr-xr-x 1 root root  2482 Sep 17 03:55 adbd
-rwxr-xr-x 1 root root   250 Sep 17 03:55 alignment.sh
-rwxr-xr-x 1 root root  4735 Sep 17 03:55 avahi-daemon
-rwxr-xr-x 1 root root  4490 Sep 17 03:55 avahi-dnsconfd
-rwxr-xr-x 1 root root   492 Sep 17 03:55 banner.sh
-rwxr-xr-x 1 root root  1529 Sep 17 03:55 bootlogd
-rwxr-xr-x 1 root root  1680 Sep 17 03:55 bootmisc.sh
-rwxr-xr-x 1 root root   681 Sep 17 03:55 busybox-cron
-rwxr-xr-x 1 root root  3229 Sep 17 03:55 checkroot.sh
-rwxr-xr-x 1 root root   151 Sep 17 03:55 chgrp-diag
-rwxr-xr-x 1 root root  1591 Sep 17 03:55 data-init
-rwxr-xr-x 1 root root  2781 Sep 17 03:55 dbus-1
-rwxr-xr-x 1 root root   526 Sep 17 03:55 devpts.sh
-rwxr-xr-x 1 root root   408 Sep 17 03:55 diagrebootapp
-rwxr-xr-x 1 root root  2674 Sep 17 03:55 dropbear
-rw-r--r-- 1 root root  1123 Sep 17 03:55 functions
-rwxr-xr-x 1 root root   510 Sep 17 03:55 halt
-rwxr-xr-x 1 root root   270 Sep 17 03:55 hostname.sh
-rwxr-xr-x 1 root root  2402 Sep 17 03:55 hwclock.sh
-rwxr-xr-x 1 root root   348 Sep 17 03:55 keymap.sh
-rwxr-xr-x 1 root root   169 Sep 17 03:55 mdev
-rwxr-xr-x 1 root root   168 Sep 17 03:55 modem-shutdown
-rwxr-xr-x 1 root root   878 Sep 17 03:55 modutils.sh
-rwxr-xr-x 1 root root   859 Sep 17 03:55 mountall.sh
-rwxr-xr-x 1 root root  1399 Sep 17 03:55 mountnfs.sh
-rwxr-xr-x 1 root root   783 Sep 17 03:55 netmgrd
-rwxr-xr-x 1 root root  1463 Sep 17 03:55 networking
-rwxr-xr-x 1 root root  5114 Sep 17 03:55 populate-volatile.sh
-rwxr-xr-x 1 root root 10835 Sep 17 03:55 power_config
-rwxr-xr-x 1 root root  1136 Sep 17 03:55 qmi_shutdown_modemd
-rwxr-xr-x 1 root root   610 Sep 17 03:55 qmuxd
-rwxr-xr-x 1 root root   368 Sep 17 03:55 qrngd
-rwxr-xr-x 1 root root  4346 Sep 17 03:55 rc
-rwxr-xr-x 1 root root   525 Sep 17 03:55 rcS
-rwxr-xr-x 1 root root  2015 Sep 17 03:55 reboot
-rwxr-xr-x 1 root root   159 Sep 17 03:55 reset_reboot_cookie
-rwxr-xr-x 1 root root   585 Sep 17 03:55 rmnologin.sh
-rwxr-xr-x 1 root root   609 Sep 17 03:55 run-postinsts
-rwxr-xr-x 1 root root   321 Sep 17 03:55 save-rtc.sh
-rwxr-xr-x 1 root root   438 Sep 17 03:55 sendsigs
-rwxr-xr-x 1 root root   978 Sep 17 03:55 set-hwver.sh
-rwxr-xr-x 1 root root  1836 Sep 17 03:55 shutdown
-rwxr-xr-x 1 root root   578 Sep 17 03:55 single
-rwxr-xr-x 1 root root  2178 Sep 17 03:55 start_appmgr
-rwxr-xr-x 1 root root  2138 Sep 17 03:55 start_ipacm_le
-rwxr-xr-x 1 root root   764 Sep 17 03:55 start_QCMAP_ConnectionManager_le
-rwxr-xr-x 1 root root  1001 Sep 17 03:55 start_qti_le
lrwxrwxrwx 1 root root     8 Sep 17 03:55 stop-bootlogd -> bootlogd
-rwxr-xr-x 1 root root   540 Sep 17 03:55 sysfs.sh
lrwxrwxrwx 1 root root    14 Sep 17 03:55 syslog -> syslog.busybox
-rwxr-xr-x 1 root root  1559 Sep 17 03:55 syslog.busybox
-rwxr-xr-x 1 root root   659 Sep 17 03:55 thermal-engine
-rwxr-xr-x 1 root root   516 Sep 17 03:55 umountfs
-rwxr-xr-x 1 root root   686 Sep 17 03:55 umountnfs.sh
-rwxr-xr-x 1 root root  1349 Sep 17 03:55 urandom
-rwxr-xr-x 1 root root  5005 Sep 17 03:55 usb
-rwxr-xr-x 1 root root  8116 Sep 17 03:55 wlan

这里可以看一下 start_appmgr 脚本,mgr 一般就是主控程序的意思

less start_appmgr

该脚本会在开机的时候以服务的形式运行 /bin/appmgr 程序。

同时该脚本还会开启 telnet 服务

appmgr 分析

用 IDA 打开 /bin/appmgr 程序看看

main 函数下 F5,可以发现有一个线程会持续监听 0.0.0.0:39889(UDP),并等待传入控制命令,如果某个用户向目标路由器发送了一个 HELODBG 字符串,那么路由器将会执行 /sbin/telnetd -l /bin/sh ,并允许这名用户在未经身份验证的情况下以 root 用户的身份登录路由器。

默认 admin 账号

搜索 mod_sysadm_config_passwd 函数

路由器的管理员账号。设备的管理员账号默认为“admin”,而密码同样也是“admin”。

默认 WPS PIN 码

搜索 wifi_get_default_wps_pin 函数

默认配置下,该路由器 WPS 系统的 PIN 码永远都是 28296607 因为这个 PIN 码是硬编码在 /bin/appmgr 程序中

fotad 分析

路由器与 FOTA 服务器进行通信时的凭证数据硬编码在 /sbin/fotad 代码中,我们用 IDA 进行分析

搜索 sub_CAAC 函数,可以发现被 base64 过的凭证

用户/密码如下

cWRwYzpxZHBj        qdpc:qdpc
cWRwZTpxZHBl        qdpe:qdpe
cWRwOnFkcA==        qdp:qdp

UPnP 安全问题

UPnP 允许用户动态添加防火墙规则。因为这种做法会带来一定的安全风险,因此设备通常都会对这种操作进行限制,以避免不受信任的客户端添加不安全的防火墙规则。

UPnP 的不安全性早在2006年就已经是众所周知的事情了。而该路由器中 UPnP 程序的安全等级仍然非常的低,处于局域网内的攻击者可以随意修改路由器的端口转发规则。

文件 /var/miniupnpd.conf 是由 /bin/appmgr 程序生成的:

搜索 sub_2AE0C 函数

该程序会生成 /var/miniupnpd.conf:

ext_ifname=rmnet0
listening_ip=bridge0
port=2869
enable_natpmp=yes
enable_upnp=yes
bitrate_up=14000000
bitrate_down=14000000
secure_mode=no      # "secure" mode : when enabled, UPnP client are allowed to add mappings only to their IP.
presentation_url=http://192.168.1.1
system_uptime=yes
notify_interval=30
upnp_forward_chain=MINIUPNPD
upnp_nat_chain=MINIUPNPD

Source & Reference

unyaffs
【技术分享】Dlink DWR-932B路由器被爆多个安全漏洞
IoT_Sec_Tutorial/02-静态分析IoT固件/README.md
Rooting Dlink DWR-932 (4G router) | LinkedIn
Multiple vulnerabilities found in the Dlink DWR-932B (backdoor, backdoor accounts, weak WPS, RCE ...)