固件是D-link无线路由器(型号：DIR-100 revA)的固件程序 v1.13。使用工具Binwalk，很快的就从中发现并提取出一个只读SquashFS文件系统，没用多大功夫我就将这个固件程序的web server(/bin/webs)加载到了IDA中：

/bin/webs中的字符信息

基于上面的字符信息可以看出，这个/bin/webs二进制程序是一个修改版的thttpd，提供路由器管理员界面操作功能。看起来是经过了*明泰科技(D-Link的一个子公司)的修改。他们甚至很有心计的将他们很多自定义的函数名都辅以“alpha”前缀：

明泰科技的自定义函数

这个alpha_auth_check函数看起来很有意思！

这个函数被很多地方调用，最明显的一个是来自alpha_httpd_parse_request函数：

调用alpha_auth_check函数

我们可以看到alpha_auth_check函数接收一个参数(是存放在寄存器$s2里)；如果alpha_auth_check返回-1(0xFFFFFFFF)，程序将会跳到alpha_httpd_parse_request的结尾处，否则，它将继续处理请求。

寄存器$s2在被alpha_auth_check函数使用前的一些操作代码显示，它是一个指向一个数据结构体的指针，里面有一个char*指针，会指向从HTTP请求里接收到的各种数据；比如HTTP头信息和请求地址URL：

$s2是一个指向一个数据结构体的指针

我们现在可以模拟出alpha_auth_check函数和数据结构体的大概样子：

struct http_request_t

{

    char unknown[0xB8];

    char *url; // At offset 0xB8 into the data structure

};

int alpha_auth_check(struct http_request_t *request);

alpha_auth_check本身是一个非常简单的函数。它会针对http_request_t结构体里的一些指针进行字符串strcmp比较操作，然后调用check_login函数，实际上就是身份验证检查。如果一旦有字符串比较成功或check_login成功，它会返回1；否者，它会重定向浏览器到登录页，返回-1;

alpha_auth_check函数代码片段

这些字符串比较过程看起来非常有趣。它们提取请求的URL地址(在http_request_t数据结构体的偏移量0xB8处)，检查它们是否含有字符串“graphic/” 或 “public/”。这些都是位于路由器的Web目录下的公开子目录，如果请求地址包含这样的字符串，这些请求就可以不经身份认证就能执行。

然而，这最后一个strcmp却是相当的吸引眼球：

alpha_auth_check函数中一个非常有趣的字符串比较

这个操作是将http_request_t结构体中偏移量0xD0的字符串指针和字符串“xmlset_roodkcableoj28840ybtide”比较，如果字符匹配，就会跳过check_login函数，alpha_auth_check操作返回1(认证通过)。

我在谷歌上搜索了一下“xmlset_roodkcableoj28840ybtide”字符串，只发现在一个俄罗斯论坛里提到过它，说这是一个在/bin/webs里一个“非常有趣”的一行。我非常同意。

那么，这个神秘的字符串究竟是和什么东西进行比较？如果回顾一下调用路径，我们会发现http_request_t结构体被传进了好几个函数：

事实证明，http_request_t结构体中处在偏移量 0xD0处的指针是由httpd_parse_request函数赋值的：

检查HTTP头信息中的User-Agent值

将http_request_t + 0xD0指针指向头信息User-Agent字符串

这代码实际上就是：

if(strstr(header, "User-Agent:") != NULL)

{

    http_request_t->0xD0 = header + strlen("User-Agent:") + strspn(header, " \t");

}

知道了http_request_t偏移量0xD0处的指针指向User-Agent头信息，我们可以推测出alpha_auth_check函数的结构：

#define AUTH_OK 1

#define AUTH_FAIL -1

int alpha_auth_check(struct http_request_t *request)

{

    if(strstr(request->url, "graphic/") ||

       strstr(request->url, "public/") ||

       strcmp(request->user_agent, "xmlset_roodkcableoj28840ybtide") == 0)

    {

        return AUTH_OK;

    }

    else

    {

        // These arguments are probably user/pass or session info

        if(check_login(request->0xC, request->0xE0) != 0)

        {

            return AUTH_OK;

        }

    }

    return AUTH_FAIL;

}

换句话说，如果浏览器的User-Agent值是 “xmlset_roodkcableoj28840ybtide”(不带引号)，你就可以不经任何认证而能访问web控制界面，能够查看/修改路由器的 设置(下面是D-Link路由器(DI-524UP)的截图，我没有 DIR-100型号的，但DI-524UP型号使用的是相同的固件)：

访问型号DI-524UP路由器的主界面

基于HTML页上的源代码信息和Shodan搜索结果，差不多可以得出这样的结论：下面的这些型号的D-Link路由器将会受到影响：

• DIR-100
• DI-524
• DI-524UP
• DI-604S
• DI-604UP
• DI-604+
• TM-G5240

除此之外，几款Planex路由器显然也是用的同样的固件程序：

• BRL-04UR
• BRL-04CW

你很酷呀，D-Link。

脚注：万 能的网友指出，字符串“xmlset_roodkcableoj28840ybtide”是一个倒序文，反过来读就是 “editby04882joelbackdoor_teslmx”——edit by 04882joel backdoor _teslmx，这个后门的作者真是位天才！

【转】反编译D-Link路由器固件程序并发现后门的更多相关文章

1. 我是如何反编译D-Link路由器固件程序并发现它的后门的

   OK,又是周末晚上,没有约会,只有一大瓶Shasta汽水和全是快节奏的音乐…那就研究一下程序吧. 一时兴起,我下载了D-link无线路由器(型号:DIR-100 revA)的固件程序 v1.13.使用 ...

2. 【转】反编译获取任何微信小程序源码(完)

   一.前言最近在学习微信小程序开发,半个月学习下来,很想实战一下踩踩坑,于是就仿写了一个阿里妈妈淘宝客小程序的前端实现,过程一言难尽,差不多两周时间过去了,发现小程序的坑远比想象的要多的多!!在实际练手 ...

3. 【ILSpy反编译】C# 写的程序反编译查看是不是也太容易了点吧，太恐怖了。。。

   最近由于要写一些界面的东西,写了几个月c#(之前一直做c/c++项目),发现c#写界面很方便,效果也不错,在这个过程中也听说c#程序可以很容易被反编译到,但一直也没时间去自己反编译去试着看看,心想就算 ...

4. 教你如何一键反编译获取任何微信小程序源代码（图形化界面，傻瓜式操作）

   一键获取微信小程序源代码 Tips: 一键获取微信小程序源码, 使用了C#加nodejs制作 直接解压在D盘根目录下后就可以使用 将小程序文件放到 wxapkg目录下3 这个目录下有一些demo 可以 ...

5. 反编译.net下的exe程序

   1. 什么叫.net平台 .NET框架是一个多语言组件开发和执行环境,它提供了一个跨语言的统一编程环境..NET框架的目的是便于开发人员更容易地建立Web应用程序和Web服务,使得Internet上的 ...

6. 如何保护java程序不被反编译

   Java是一种 跨平台的.解释型语言 Java 源代码编译中间“字节码”存储于class文件中.Class文件是一种字节码形式的中间代码,该字节码中包括了很多源代码的信息,例如变量名.方法名 等.因此 ...

7. 如何找回微信小程序源码？2020年微信小程序反编译最新教程 小宇子李

   前言:在网上看了找回微信小程序源码很多教程,都没法正常使用.微信版本升级后,会遇到各种报错, 以及无法获取到wxss的问题.查阅各种资料,最终解决,于是贴上完整的微信小程序反编译方案与教程. 本文章仅 ...

8. Android安全攻防战，反编译与混淆技术完全解析（下）

   在上一篇文章当中,我们学习了Android程序反编译方面的知识,包括反编译代码.反编译资源.以及重新打包等内容.通过这些内容我们也能看出来,其实我们的程序并没有那么的安全.可能资源被反编译影响还不是很 ...

9. C#防止反编译

   http://blog.csdn.net/wangpei421/article/details/42393095 http://www.cnblogs.com/tianguook/archive/20 ...

随机推荐

1. ASP.NET Core 1.0 中的依赖项管理

   var appInsights=window.appInsights||function(config){ function r(config){t[config]=function(){var i= ...

2. shell 面试题

     1. 用sed修改test.txt的23行test为tset:     sed –i ‘23s/test/tset/g’ test.txt 2. 查看/web.log第25行第三列的内容.     ...

3. webstorm添加vue插件支持

   现在已经有vue.js的插件啦,setting --> plugins 就可以咯 ------------------------------------------------ Mac端Web ...

4. iOS app的破解原理，就是去除已付费的账户信息的原理是什么？

   正规的应用程序(IPA 格式,官方软件店发布)在被 iTunes 同步到 iPhone 的时候会调用系统进程 INSTALLD 对应用程序进行证书校验(GPLv3 授权)而这个证书本身是由官方捆绑在应 ...

5. jquery.min.map详见

   温故而知新,翻出来阮前辈的文章记录一下 日期:2013年1月23日 上周,jQuery 1.9发布. 这是2.0版之前的最后一个新版本,有很多新功能,其中一个就是支持Source Map. 访问 ht ...

6. 前端基本知识（一）：W3C标准&&冒泡事件，捕获事件，W3C DOM对象模型，对比分析

   W3C标准是万维网联盟, 其他的可以参考万维网版本的更新内容 一.W3C标准 二.W3C DOM事件 三.冒泡事件 四.捕获事件 一.W3C标准 其实网页是由三分部组成:1.结构(structure) ...

7. 设计模式——模板模式（C++实现）

   模板模式:定义一个操作中的算法的骨架,而将一些步骤延迟到子类中.模板方法使得子类可以不改变一个算法的结构即可重定义该算法的某些特定步骤.   模板模式通过把不变的行为搬移到超类,去除子类中的重复代码来 ...

8. mysql迁移到data下

   http://www.jb51.net/article/47897.htm 由于yum安装mysql的时候,数据库的data目录默认是在/var/lib下,出于数据安全性的考虑需要把它挪到/data分 ...

9. QACT 在线调试 Android O

   使用QACT调试Android O的音频时,不能在线调试,但是使用Android N却可以在线调试. 解决方法 1. adb root 2. adb remount 3. adb shell 4. c ...

10. java学习笔记—标准连接池的实现（27）

    javax.sql.DataSource. Java.sql.* DataSource 接口由驱动程序供应商实现.共有三种类型的实现: 基本实现 - 生成标准的 Connection 对象 – 一个D ...