路由器固件安全分析与漏洞挖掘实战指南

1. 项目背景与核心价值

在物联网设备普及的今天，路由器作为家庭网络入口，其固件安全性直接影响数百万用户的隐私和数据安全。2.4GHz频段路由器因其广泛兼容性，至今仍占据市场主要份额，这也使其成为攻击者的重点目标。去年某知名厂商爆出的远程代码执行漏洞，导致全球超过200万台设备面临风险，正是由于固件更新机制存在缺陷。

固件安全分析不同于常规软件审计，它需要处理专有文件格式、受限的硬件资源以及厂商自定义的安全机制。我曾参与多个路由器厂商的漏洞奖励计划，发现约70%的中高危漏洞都存在于固件更新和Web管理模块中。本指南将系统性地展示从固件提取到漏洞挖掘的全流程，包含多个实战中验证有效的技巧。

2. 固件获取与逆向准备

2.1 固件来源的四种途径

1. 官方渠道下载：

   • 厂商支持网站通常提供最新固件（如TP-Link的.bin文件）
   • 示例：wget http://dl.tp-link.com/firmware/ArcherC7_v5_210123.bin
   • 注意校验SHA256值防止下载被篡改的固件

2. 物理提取技术：

   • 使用CH341A编程器读取SPI Flash芯片（常见于16MB NOR Flash）
   • 需拆焊芯片或使用SOIC8测试夹，电压通常设为3.3V
   • 输出文件建议用flashrom -r firmware.bin -c MX25L12835F

3. OTA流量抓取：

   • 在设备升级时通过tcpdump捕获HTTP/FTP请求
   • 关键命令：tcpdump -i eth0 -w ota.pcap 'port 80 or port 21'

4. 第三方固件仓库：

   • OpenWRT的固件存档库（需注意法律风险）
   • 私有云备份的旧版本固件（常见于企业网络）

2.2 必备工具链配置

重要提示：建议在Ubuntu 22.04 LTS环境下搭建工具链，避免库版本冲突。遇到动态链接问题时，可使用patchelf修改二进制文件的interpreter路径。

3. 固件解包与结构解析

3.1 文件头特征识别

通过hexdump分析文件起始字节可以快速判断固件类型：

• TP-Link：头部16字节为TP-LINK Technologies
• D-Link：起始4字节魔数HDR0
• OpenWRT：包含squashfs标记
• 定制格式：可能需要逆向分析头部校验算法

典型分析流程：

bash复制binwalk -B firmware.bin  # 识别签名
dd if=firmware.bin bs=1 skip=$(binwalk -l firmware.bin | grep squashfs | awk '{print $1}') | unsquashfs -d rootfs -  # 提取文件系统

3.2 文件系统逆向实战

以常见的squashfs为例，解包后重点关注以下目录：

1. /bin/：BusyBox组件版本（busybox --help查看编译选项）
2. /etc/init.d/：启动脚本中的硬编码凭证（grep -r "password"）
3. /www/：Web管理界面代码（检查CGI脚本的权限设置）
4. /lib/：动态库的符号表残留（nm -D libcrypto.so）

我曾在一个D-Link固件中发现，/etc/shadow文件虽然被删除，但/etc/passwd仍保留着admin:x:0:0:root:/:/bin/sh的条目，这为提权提供了可能。

4. 漏洞挖掘关键技术

4.1 自动化扫描方案

使用以下工具组合进行初步筛查：

bash复制# 检查危险函数调用
radare2 -AAA -d /bin/httpd -- /a sym.imp.strcpy
# 网络服务分析
nmap -sV -p- 192.168.1.1 -oA router_scan
# 固件成分分析
firmwalker ./rootfs | tee report.txt

4.2 手动审计重点目标

1. Web管理界面：

   • 检查未过滤的system()调用（常见于诊断页面）
   • 测试lang=、filename=等参数的目录遍历漏洞
   • 案例：某型号在/cgi-bin/luci/api/auth的JSON解析存在栈溢出

2. UPnP服务：

   • 使用gupnp-discovery工具枚举服务
   • 特别关注AddPortMapping动作的命令注入

3. 固件更新机制：

   • 伪造签名测试（修改版本号后重新打包）
   • 差分分析新旧固件的补丁情况

4.3 动态调试技巧

在QEMU中运行MIPS架构固件的典型命令：

bash复制qemu-system-mips -M malta -kernel vmlinux-3.2.0-4-4kc-malta \
-hda debian_wheezy_mips_standard.qcow2 -append "root=/dev/sda1 console=tty0" \
-nographic -net nic -net tap,ifname=tap0,script=no

调试关键步骤：

1. 用gdbserver :1234 /usr/sbin/httpd附加进程
2. IDA Pro远程连接后下断点在recvfrom等关键函数
3. 观察堆栈布局（MIPS架构的$sp寄存器变化）

5. 典型漏洞案例分析

5.1 命令注入漏洞

在某品牌路由器固件中发现：

c复制// web.cgi 片段
sprintf(cmd, "ping -c 4 %s", ipaddr);
system(cmd);

利用方式：

http复制GET /ping.cgi?ip=127.0.0.1;cat+/etc/passwd HTTP/1.1

修复建议：

• 使用execve()替代system()
• 对输入进行严格白名单过滤（仅允许数字和点）

5.2 缓冲区溢出实例

调试发现某HTTP头处理函数存在栈溢出：

c复制char client_ip[16];
strcpy(client_ip, getenv("HTTP_CLIENT_IP")); // 无长度检查

利用步骤：

1. 确定偏移量（pattern_create/offset）
2. 覆盖返回地址跳转到libc的system()
3. 布置ROP链绕过NX保护

6. 防御措施与报告撰写

6.1 安全加固建议

1. 编译选项：

   • 启用-fstack-protector-strong
   • 设置-Wl,-z,now防止GOT覆写

2. 运行时防护：

   bash复制echo 2 > /proc/sys/kernel/randomize_va_space  # 开启ASLR
   chattr +i /etc/passwd  # 防止敏感文件修改
   

3. 网络隔离：

   iptables复制iptables -A INPUT -p tcp --dport 7547 -j DROP  # 关闭TR-069端口
   

6.2 漏洞报告要点

优质报告应包含：

• 受影响版本精确信息（MD5校验值）
• 漏洞触发条件的可复现POC
• 危害评估（CVSS评分计算过程）
• 临时缓解措施建议

我曾向ZDI提交的一个报告模板：

code复制Title: Pre-auth RCE in /cgi-bin/diagnostic via cmd parameter
Affected: FW_VER <= 1.02b (hash: a1b2...)
Steps:
  1. curl 'http://target/cgi-bin/diagnostic?cmd=id'
  2. Observe 'uid=0(root)' in response
CVSS:3.0/AV:N/AC:L/PR:N/UI:N/S:C/C:H/I:H/A:H (10.0)

7. 进阶技巧与资源

7.1 固件修改与重打包

以squashfs为例的重打包流程：

bash复制mksquashfs rootfs/ newfs.squashfs -comp xz -b 256K
dd if=original.bin of=header.bin bs=1 count=$(OFFSET)
cat header.bin newfs.squashfs > modified.bin

需要特别注意：

• 修改后需重新计算CRC32校验值
• 某些厂商使用自定义的LZMA压缩参数

7.2 推荐学习资源

• 书籍：《The IoT Hacker's Handbook》
• 在线课程：PentesterAcademy的IoT安全模块
• 靶机设备：Netgear R7000（社区支持好）
• 法律边界：仅测试自有设备或获得书面授权

在最近一次渗透测试中，通过分析固件中的残留调试符号，发现了一个未文档化的后门账户。这提醒我们，即使是最基础的字符串搜索也可能带来意外收获。建议在分析时保持耐心，对每个异常字符串都进行深入追踪。