如何反編譯D-Link路由器固件程序_安全測試

如何反編譯D-Link路由器固件程序

發表于：2013-12-09來源：外刊IT評論作者：不詳點擊數：標簽：路由器

OK，又是周末晚上，沒有約會，只有一大瓶Shasta汽水和全是快節奏的音樂…那就研究一下程序吧。

　　一時興起，我下載了D-link無線路由器(型號：DIR-100 revA)的固件程序 v1.13。使用工具Binwalk，很快的就從中發現并提取出一個只讀SquashFS文件系統，沒用多大功夫我就將這個固件程序的web server(/bin/webs)加載到了IDA中：

　　/bin/webs中的字符信息

　　基于上面的字符信息可以看出，這個/bin/webs二進制程序是一個修改版的thttpd，提供路由器管理員界面操作功能?？雌饋硎墙涍^了臺灣明泰科技(D-Link的一個子公司)的修改。他們甚至很有心計的將他們很多自定義的函數名都輔以“alpha”前綴：

　　明泰科技的自定義函數

　　這個alpha_auth_check函數看起來很有意思!

　　這個函數被很多地方調用，最明顯的一個是來自alpha_httpd_parse_request函數：

　　調用alpha_auth_check函數

　　我們可以看到alpha_auth_check函數接收一個參數(是存放在寄存器$s2里);如果alpha_auth_check返回-1(0xFFFFFFFF)，程序將會跳到alpha_httpd_parse_request的結尾處，否則，它將繼續處理請求。

　　寄存器$s2在被alpha_auth_check函數使用前的一些操作代碼顯示，它是一個指向一個數據結構體的指針，里面有一個char*指針，會指向從HTTP請求里接收到的各種數據;比如HTTP頭信息和請求地址URL：

　　$s2是一個指向一個數據結構體的指針

　　我們現在可以模擬出alpha_auth_check函數和數據結構體的大概樣子：

　　struct http_request_t

　　{

　　char unknown[0xB8];

　　char *url; // At offset 0xB8 into the data structure

　　};

　　int alpha_auth_check(struct http_request_t *request);

　　alpha_auth_check本身是一個非常簡單的函數。它會針對http_request_t結構體里的一些指針進行字符串strcmp比較操作，然后調用check_login函數，實際上就是身份驗證檢查。如果一旦有字符串比較成功或check_login成功，它會返回1;否者，它會重定向瀏覽器到登錄頁，返回-1;

　　alpha_auth_check函數代碼片段

　　這些字符串比較過程看起來非常有趣。它們提取請求的URL地址(在http_request_t數據結構體的偏移量0xB8處)，檢查它們是否含有字符串“graphic/” 或 “public/”。這些都是位于路由器的Web目錄下的公開子目錄，如果請求地址包含這樣的字符串，這些請求就可以不經身份認證就能執行。

　　然而，這最后一個strcmp卻是相當的吸引眼球：

An interesting string comparison in alpha_auth_check

　　alpha_auth_check函數中一個非常有趣的字符串比較

　　這個操作是將http_request_t結構體中偏移量0xD0的字符串指針和字符串“xmlset_roodkcableoj28840ybtide”比較，如果字符匹配，就會跳過check_login函數，alpha_auth_check操作返回1(認證通過)。

　　我在谷歌上搜索了一下“xmlset_roodkcableoj28840ybtide”字符串，只發現在一個俄羅斯論壇里提到過它，說這是一個在/bin/webs里一個“非常有趣”的一行。我非常同意。

　　那么，這個神秘的字符串究竟是和什么東西進行比較?如果回顧一下調用路徑，我們會發現http_request_t結構體被傳進了好幾個函數：

　　事實證明，http_request_t結構體中處在偏移量 0xD0處的指針是由httpd_parse_request函數賦值的：

檢查HTTP頭信息中的User-Agent值 Populates http_request_t + 0xD0 with a pointer to the User-Agent header string

　　將http_request_t + 0xD0指針指向頭信息User-Agent字符串

　　這代碼實際上就是：

　　if(strstr(header, "User-Agent:") != NULL)

　　{

　　http_request_t->0xD0 = header + strlen("User-Agent:") + strspn(header, " \t");

　　}

　　知道了http_request_t偏移量0xD0處的指針指向User-Agent頭信息，我們可以推測出alpha_auth_check函數的結構：

　　#define AUTH_OK 1

　　#define AUTH_FAIL -1

　　int alpha_auth_check(struct http_request_t *request)

　　{

　　if(strstr(request->url, "graphic/") ||

　　strstr(request->url, "public/") ||

　　strcmp(request->user_agent, "xmlset_roodkcableoj28840ybtide") == 0)

原文轉自：http://www.aqee.net/reverse-engineering-a-d-link-backdoor/

軟件測試 > 測試技術 > 安全測試 >