通过qemu复现路由器漏洞

时间:2022-06-05 21:13:55

目录

  简介

  环境搭建

  固件解包

  复现漏洞,IDA调试

  参考资料


简介

  • qemu和vmware一样,一种虚拟机软件,只不过qemu能够虚拟的平台更加丰富一些。能够虚拟很多嵌入式平台的设备。
  • 工作上需要向着智能硬件方向探索,暂时用qemu模拟设备来积累经验。
  • 这次是简单分析一些路由器的漏洞,mips架构。
  • 当然,qemu对存储器和外设的虚拟是欠缺的,如果涉及到这些资源,可能漏洞就没法复现了
  • 本次主要侧重于使用,原理方面,因为自己才接触也不敢说很清楚。

环境搭建

  • 选取debian系统
  • 安装binwalk

-git clone https://github.com/devttys0/binwalk.git

-按照INSTALL.md说明安装依赖库

-安装binfmt-support(用来指定某种格式的二进制文件的解释器,目前似乎没有用到)

  • 安装qemu

-安装qume-user-static(用户态执行固件里面的程序,apt-get install qume-user-static)

-安装qemu、qemu-system(apt-get install qemu qemu-system,目前用到的是qemu-system)

  • 配置网络,搭建网桥

-apt-get install bridge-utils uml-utilities

-修改/etc/network/interfaces内容

-修改/etc/qemu-ifup内容

我的环境搭建是按照[参考资料一]的指导来进行的。


固件解包

  • 从各厂商官网提供的下载页面选取要分析的固件
  • 解包命令

-Binwalk –Me 固件路径

  固件解包一般比较简单。用现有的工具,能解出来就可以分析,如果解不出来,我的功力不够,没法手工提取文件系统了。


复现漏洞,IDA调试

下面两个例子是我根据[参考资料二、三]来复现的,毕竟没有实际的设备,一上来只能找一些公开的漏洞来学习。

用户模式

  这个例子是根据[参考资料二]进行的,用qemu单独运行一个程序,这个比较方便调试。

  • 示例:my_cgi.cgi
  • 运行脚本(见代码1)
  • qemu-mips-static参数,-E 指定环境参数

代码1 运行脚本

#!/bin/bash

INPUT="$1"
LEN=$(echo -n "$INPUT" | wc -c)
PORT="" if [ "$LEN" == "" ] || [ "$INPUT" == "-h" ] || [ "$UID" != "" ]
then
echo -e "\nUsage: sudo $0 \n"
exit
fi cp $(which qemu-mipsel-static) ./qemu echo "$INPUT" | chroot . ./qemu -E REQUEST_METHOD="POST" -E CONTENT_LENGTH=$LEN -E CONTENT_TYPE="application/x-www-form-urlencoded" -E REMOTE_ADDR="1.1.1.100" -g $PORT ./usr/bin/my_cgi.cgi >/dev/null

  运行运行指令

通过qemu复现路由器漏洞

图1 运行脚本等待调试

  结果

通过qemu复现路由器漏洞

图2 运行结果

这个例子运行起来还是比较简单的,把运行脚本复制到固件解开的文件系统根目录下就可以运行了。

系统模式

  这个例子是根据[参考资料三]来进行的。将整个固件包解开的文件系统制作为一块硬盘镜像,然后用qemu系统模式运行一个Malta平台的linux系统内核,这样内核就可以识别到这个硬盘镜像了。

  • 需要固件包解开后的整个文件系统
  • 运行qemu-system命令,加载操作系统和文件系统,将固件的文件系统通过一些方式添加到系统里面(诸如ftp、以磁盘镜像格式当做第二块磁盘附加到操作系统上)
  • 切换到固件根目录, 必须保证qemu模拟的系统和固件的系统架构一致

  一开始我把找了个大端的固件,解压出的文件系统挂载到qemu-system运行的linux系统上了,但是用chroot切换根目录的时候,一直提示我”/bin/sh”文件格式错误。我一直以为这个文件本身有问题,一直来回倒腾。后来组长找到一个小端的固件,按照同样的方法却成功了,我才明白是机器字节序列的问题,还是经验不足啊。

  按照[参考资料三]中的讲述,将解包后的文件系统制作为img格式的镜像,随后到https://downloads.openwrt.org/snapshots/trunk/malta/generic/这个网站去下载内核,最后用qemu-system指令启动。

  启动指令:

  qemu-system-mipsel -kernel openwrt-malta-le-vmlinux-initramfs.elf -M malta -net nic,vlan=0,macaddr=12:22:22:22:22:22 -net tap -nographic -drive file=./share.img

    -kernel参数指定了内核文件

  -M参数指定了需要qemu模拟的平台

  -net参数指定了网卡的mac地址

  -drive参数就是指定了我们的硬盘镜像文件

  -nographic告诉qemu不用另起一个界面视窗,就用当前的控制台

  启动后界面:

通过qemu复现路由器漏洞

图3 运行后命令行界面

  此时,我们可以用mount -t ext4 /dev/sda /overlay/来挂载我们的路由器文件系系统了。

通过qemu复现路由器漏洞

图4 挂载路由器镜像

  然后用chroot /overlay/squashfs-root /bin/sh来切换根目录到路由器文件系统。

通过qemu复现路由器漏洞

图5 切换根目录

  运行igdmptd

通过qemu复现路由器漏洞

图6 运行igdmptd

  另起一个控制台用来验证漏洞

通过qemu复现路由器漏洞

图7 验证漏洞


参考资料

[一]  详细的路由器漏洞分析环境搭建教程

http://bbs.pediy.com/showthread.php?t=212369

[二]  sql注入漏洞

http://xdxd.love/2016/09/20/%E9%80%86%E5%90%91%E8%B7%AF%E7%94%B1%E5%99%A8%E5%9B%BA%E4%BB%B6%E4%B9%8B%E5%8A%A8%E6%80%81%E8%B0%83%E8%AF%95/

[三]  磊科igdmptd漏洞

http://m.77169.net/HTML/226392.html

通过qemu复现路由器漏洞的更多相关文章

  1. kvm qemu ,ubuntu debian rootfs 通过qemu复现路由器漏洞

    KVM https://www.toutiao.com/i6264303973256135170/?tt_from=weixin&utm_campaign=client_share&t ...

  2. 路由器漏洞复现分析第三弹:DVRF INTRO题目分析

    这个项目的目的是来帮助人们学习X86_64之外其他架构环境,同时还帮助人们探索路由器固件里面的奥秘. 本文通过练习DVRF 中INTRO 部分的题目来学习下MIPS 结构下的各种内存攻击. DVRF: ...

  3. 通过CVE-2017-17215学习路由器漏洞分析,从入坑到放弃

    1.基本信息: 2017/11/27,Check Point 软件技术部门报告了一个华为 HG532 产品的远程命令执行漏洞(CVE-2017-17215),Mirai的升级版变种中已经使用该漏洞.看 ...

  4. 路由器漏洞利用工具RouterSploit

     路由器漏洞利用工具RouterSploit 网络中存在大量的嵌入式设备,如路由器.智能摄像头.这类设备安全防护程度较低.由于这些设备更新不方便,一旦发现漏洞,往往不能及时修复.所以,在网络渗透测试中 ...

  5. 每天复现一个漏洞--vulhub

    phpmyadmin scripts/setup.php 反序列化漏洞(WooYun-2016-199433) 漏洞原理:http://www.polaris-lab.com/index.php/ar ...

  6. D-Link系列路由器漏洞挖掘入门

    D-Link系列路由器漏洞挖掘入门 前言 前几天去上海参加了geekpwn,看着大神们一个个破解成功各种硬件,我只能在下面喊 6666,特别羡慕那些大神们.所以回来就决定好好研究一下路由器,争取跟上大 ...

  7. 路由器漏洞复现分析第二弹:CNVD-2018-01084

    1月17日,CNVD公开了D-LinkDIR 615/645/815 service.cgi远程命令执行漏洞(CNVD-2018-01084),freebuf上有前辈写了一篇漏洞复现和poc的文章(h ...

  8. 关于路由器漏洞利用,qemu环境搭建,网络配置的总结

    FAT 搭建的坑 1 先按照官方步骤进行,完成后进行如下步骤 2 修改 move /firmadyne into /firmware-analysis-toolkit navigate to the ...

  9. D-Link系列路由器漏洞挖掘

    参考 http://www.freebuf.com/articles/terminal/153176.html https://paper.seebug.org/429/ http://www.s3c ...

随机推荐

  1. DevExpress GridControl 选择整行被选单元格不变色的设置

    设置GridControl 里面的 gridview 属性, 找到OptionSelection 将EnableAppearanceFocusedCell 属性设置False 就可以了 此方式同样适用 ...

  2. Spring.Net 配置文件

    方法一. 直接在程序配置文件中配置 <configuration> <configSections> <sectionGroup name="spring&qu ...

  3. AC日记——信息传递 洛谷 P2661 (tarjan求环)

    题目描述 有n个同学(编号为1到n)正在玩一个信息传递的游戏.在游戏里每人都有一个固定的信息传递对象,其中,编号为i的同学的信息传递对象是编号为Ti同学. 游戏开始时,每人都只知道自己的生日.之后每一 ...

  4. bzoj2154

    #include<cstdio> #include<cstdlib> #include<iostream> #include<fstream> #inc ...

  5. HTML meta viewport属性

    什么是Viewport 手机浏览器是把页面放在一个虚拟的“窗口”(viewport)中,通常这个虚拟的“窗口”(viewport)比屏幕宽,这样就不用把每个网页挤到很小的窗口中(这样会破坏没有针对手机 ...

  6. java优雅的使用elasticsearch api

    本文给出一种优雅的拼装elasticsearch查询的方式,可能会使得使用elasticsearch的方式变得优雅起来,使得代码结构很清晰易读. 建立elasticsearch连接部分请参看另一篇博客 ...

  7. 软件工程实践小项目之模拟wc&period;exe的小程序

    github源码和工程文件地址:https://github.com/Jackchenyu/Word_counts/tree/smart 基本要求:要实现wc的基本功能即文件中字符数.单词数.行数的统 ...

  8. boost库的安装

    1.网上下载boost_1_67_0.zip,解压 2.双击boost_1_67_0/bootstrap.bat文件,生成bjam.exe,b2.exe. 3.打开命令行运行 bjam stage - ...

  9. MySQL操作mysqldump命令详解

    --all-databases , -A导出全部数据库. --all-tablespaces , -Y导出全部表空间. --no-tablespaces , -y不导出任何表空间信息. --add-d ...

  10. odoo 默认显示字段

    @api.multi def generate_customs_declaration(self): # if len(self.mapped('cus_goods_list_ids')) != 1: ...