揭秘家用路由器0day漏洞挖掘技術

《揭秘家用路由器0day漏洞挖掘技術》理論與實踐結合，全面、深入地分析了家用路由器的安全漏洞，包括Web套用漏洞、棧溢出漏洞等，並輔以大量案例進行了翔實的分析。《揭秘家用路由器0day漏洞挖掘技術》針對家用路由器這一新領域進行漏洞的挖掘與分析，其原理和方法同樣適用於智慧型設備、物聯網等。

《揭秘家用路由器0day漏洞挖掘技術》適合安全從業人員，以及從事物聯網、智慧型硬體安全相關工作的讀者閱讀。

《揭秘家用路由器0day漏洞挖掘技術》理論與實踐結合，全面、深入地分析了家用路由器的安全漏洞，包括Web套用漏洞、棧溢出漏洞等，並輔以大量案例進行了翔實的分析。《揭秘家用路由器0day漏洞挖掘技術》針對家用路由器這一新領域進行漏洞的挖掘與分析，其原理和方法同樣適用於智慧型設備、物聯網等。

《揭秘家用路由器0day漏洞挖掘技術》適合安全從業人員，以及從事物聯網、智慧型硬體安全相關工作的讀者閱讀。

第 1 篇　路由器漏洞基礎知識

第 1 章　基礎準備與工具 2

1.1　路由器漏洞的分類 2

1.1.1　路由器密碼破解漏洞 3

1.1.2　路由器Web漏洞 4

1.1.3　路由器後門漏洞 5

1.1.4　路由器溢出漏洞 6

1.2　路由器系統的基礎知識和工具 6

1.2.1　MIPS Linux 7

1.2.2　BusyBox命令 7

1.2.3　文本編輯器 18

1.2.4　編譯工具GCC 24

1.2.5　調試工具GDB 26

1.3　MIPS彙編語言基礎 28

1.3.1　暫存器 28

1.3.2　位元組序 30

1.3.3　MIPS定址方式 31

1.3.4　MIPS指令集 32

1.4　HTTP協定 38

1.4.1　HTTP協定請求行 38

1.4.2　HTTP協定訊息報頭 40

1.4.3　HTTP協定請求正文 42

第 2 章　必備軟體和環境 43

2.1　路由器漏洞分析必備軟體 43

2.1.1　VMware的安裝和使用 43

2.1.2　Python的安裝 48

2.1.3　在Linux下安裝IDA Pro 50

2.1.4　IDA的MIPS外掛程式和腳本 52

2.2　路由器漏洞分析環境 55

2.2.1　固件分析利器Binwalk的安裝 55

2.2.2　Binwalk的基本命令 56

2.2.3　QEMU和MIPS 59

第 3 章　路由器漏洞分析高級技能 71

3.1　修復路由器程式運行環境 71

3.1.1　固件分析 71

3.1.2　編寫劫持函式動態庫 72

3.1.3　運行測試 74

3.2　Linux下IDA的反彙編與調試 78

3.2.1　靜態反彙編 78

3.2.2　動態調試 80

3.3　IDA腳本基礎 87

3.3.1　執行腳本 87

3.3.2　IDC語言 88

3.3.3　IDAPython 104

3.4　Python編程基礎 106

3.4.1　第一個Python程式 107

3.4.2　Python網路編程 107

第 2 篇　路由器漏洞原理與利用

第 4 章　路由器 Web 漏洞 112

4.1　XSS漏洞 112

4.1.1　XSS簡介 112

4.1.2　路由器XSS漏洞 112

4.2　CSRF漏洞 113

4.2.1　CSRF簡介 113

4.2.2　路由器CSRF漏洞 113

4.3　基礎認證漏洞 114

4.3.1　基礎認證漏洞簡介 114

4.3.2　路由器基礎認證漏洞 115

第 5 章　路由器後門漏洞 116

5.1　關於路由器後門 116

5.2　路由器後門事件 116

5.2.1　D-Link路由器後門漏洞 117

5.2.2　Linksys TheMoon蠕蟲 117

5.2.3　NETGEAR路由器後門漏洞 117

5.2.4　Cisco路由器遠程特權提升漏洞 118

5.2.5　Tenda路由器後門漏洞 118

5.2.6　磊科全系列路由器後門 118

第 6 章　路由器溢出漏洞 119

6.1　MIPS堆疊的原理 119

6.1.1　MIPS32架構堆疊 119

6.1.2　函式調用的棧布局 120

6.1.3　利用緩衝區溢出的可行性 124

6.2　MIPS緩衝區溢出 128

6.2.1　Crash 128

6.2.2　劫持執行流程 130

6.3　MIPS緩衝區溢出利用實踐 134

6.3.1　漏洞攻擊組成部分 134

6.3.2　漏洞利用開發過程 139

第 7 章　基於 MIPS 的 Shellcode開發 147

7.1　MIPS Linux系統調用 147

7.1.1　write系統調用 149

7.1.2　execve系統調用 153

7.2　Shellcode編碼最佳化 156

7.2.1　指令最佳化 156

7.2.2　Shellcode編碼 158

7.3　通用Shellcode開發 164

7.3.1　reboot Shellcode 164

7.3.2　reverse_tcp Shellcode 166

7.4　Shellcode套用實例 173

7.4.1　劫持PC和確定偏移 173

7.4.2　確定攻擊途徑 173

7.4.3　構建漏洞攻擊數據 175

7.4.4　漏洞測試 177

第 3 篇　路由器漏洞實例分析與利用——軟體篇

第 8 章　路由器檔案系統與提取 180

8.1　路由器檔案系統 180

8.1.1　路由器固件 180

8.1.2　檔案系統 181

8.2　手動提取檔案系統 182

8.2.1　查看檔案類型 182

8.2.2　手動判斷檔案類型 184

8.2.3　手動提取檔案系統 186

8.3　自動提取檔案系統 189

8.3.1　Binwalk智慧型固件掃描 189

8.3.2　Binwalk的提取與分析 191

8.4　Binwalk用法進階 194

8.4.1　基於magic簽名檔案自動提取 194

8.4.2　基於Binwalk的配置檔案提取 199

第 9 章　漏洞分析簡介 201

9.1　漏洞分析概述 201

9.2　漏洞分析方法 201

第 10 章　D-Link DIR-815 路由器多次溢出漏洞分析 203

10.1　漏洞介紹 203

10.2　漏洞分析 204

10.2.1　固件分析 204

10.2.2　漏洞成因分析 205

10.3　漏洞利用 216

10.3.1　漏洞利用方式：System/Exec 216

10.3.2　繞過0構造ROP Chain 218

10.3.3　生成POC 221

10.4　漏洞測試 225

第 11章 　D-Link DIR-645 路由器溢出漏洞分析 227

11.1　漏洞介紹 227

11.2　漏洞分析 229

11.2.1　固件分析 229

11.2.2　漏洞成因分析 229

11.3　漏洞利用 238

11.3.1　漏洞利用方式：System/Exec 239

11.3.2　生成POC 240

11.4　漏洞測試 243

第 12 章　D-Link DIR-505 便攜路由器越界漏洞分析 244

12.1　漏洞介紹 244

12.2　漏洞分析 246

12.2.1　固件分析 246

12.2.2　漏洞成因分析 247

12.3　漏洞利用 251

12.3.1　漏洞利用方式：System/Exec 251

12.3.2　構造ROP Chain 252

12.3.3　生成POC 253

12.4　漏洞測試 255

第 13 章　Linksys WRT54G 路由器溢出漏洞分析—運行環境修復 257

13.1　漏洞介紹 257

13.2　漏洞分析 258

13.2.1　固件分析 258

13.2.2　修復運行環境 259

13.2.3　漏洞成因分析 265

13.3　漏洞利用 267

13.3.1　漏洞利用方式：執行Shellcode 267

13.3.2　生成POC 269

13.4　漏洞測試 271

第 14 章　磊科全系列路由器後門漏洞分析 273

14.1　漏洞介紹 273

14.2　漏洞分析 274

14.2.1　固件分析 274

14.2.2　漏洞成因分析 275

14.3　漏洞利用 281

14.4　漏洞測試 283

第 15 章　D-Link DIR-600M 路由器Web漏洞分析 286

15.1　漏洞介紹 286

15.2　漏洞分析 286

15.2.1　許可權認證分析 287

15.2.2　數據提交分析 288

15.3　漏洞利用 288

15.4　漏洞統計分析 290

15.4.1　ZoomEye簡介 291

15.4.2　ZoomEye套用實例 291

15.4.3　小結 295

第 4 篇　路由器漏洞實例分析與利用——硬體篇

第 16 章　路由器硬體的提取 298

16.1　硬體基礎知識 298

16.1.1　路由器FLASH 298

16.1.2　硬體提取數據的思路 299

16.2　路由器串口 299

16.2.1　探測串口 300

16.2.2　連線串口 305

16.2.3　在Linux下讀取路由器串口數據 306

16.2.4　在Windows下讀取路由器

串口數據 310

16.3　JTAG提取數據 311

16.3.1　JTAG連線 311

16.3.2　brjtag的使用 315

16.3.3　提取FLASH 316

16.3.4　提取CFE 319

16.3.5　提取NVRAM 320

第 5 篇　路由器漏洞挖掘

第 17 章　路由器漏洞挖掘技術 324

17.1　漏洞挖掘技術簡介 324

17.2　靜態代碼審計 325

17.2.1　人工代碼審計 325

17.2.2　二進制自動化漏洞審計 329

17.2.3　定製審計工具R-BugScam 330

17.3　模糊測試Fuzzing 338

17.3.1　模糊測試簡介 338

17.3.2　SPIKE 340

17.3.3　Sulley 341

17.3.4　Burp Suite 344

17.4　路由器漏洞挖掘實戰—D-Link

DIR-605L路由器漏洞挖掘 347

17.4.1　模糊測試環境描述 347

17.4.2　運行環境搭建 348

17.4.3　協定分析 350

17.4.4　數據輸入點分析 350

17.4.5　HTTP協定模糊測試 353

17.4.6　漏洞重現和驗證 357