IoT安全实战：从固件分析到漏洞挖掘

一、固件获取与分析

1.1 固件获取途径

官方渠道：
- 从路由器厂商网站下载
- 通过Web管理界面获取升级包
硬件提取：
- 从Flash芯片直接提取
- 使用编程器读取芯片内容
其他渠道：
- 云市场（淘宝、闲鱼等）
- 第三方固件仓库

1.2 文件系统基础

路由器文件系统特点：

通常使用压缩格式以节省空间
常见文件系统类型：Squashfs（高压缩率只读文件系统）
压缩算法：GZIP、LZMA、LZO、XZ等

二、文件系统提取技术

2.1 手工提取方法

文件类型识别：
```
file firmware.bin
```

Magic签名搜索：

strings firmware.bin | grep 'hsqs'
hexdump -C firmware.bin | grep 'hsqs'

精确提取：

dd if=firmware.bin bs=1 count=1024 skip=256 of=out.squashfs
file out.squashfs

2.2 自动提取工具Binwalk

基本扫描：
```
binwalk firmware.bin
```
深度扫描：
```
binwalk -I firmware.bin
```
自动提取：
```
binwalk -Me firmware.bin --run-as=root
```
指令集分析：
```
binwalk -A elf
```

2.3 自定义Binwalk规则

添加新的magic签名到$HOME/.binwalk/magic/binwalk
在配置文件中添加新的文件类型提取方式

三、路由器漏洞分析实战

3.1 常见漏洞类型

栈溢出漏洞：
- 未校验输入长度
- 危险函数：sprintf, strcpy等
认证绕过：
- Basic认证仅使用base64编码
- 缺乏CSRF防护
命令注入：
- 未过滤特殊字符（如换行符）
- 通过环境变量或参数注入

3.2 漏洞分析流程

信息收集：
- 获取厂商、型号、固件版本
- 查找公开漏洞信息（ExploitDB等）
固件解包：
- 使用binwalk提取文件系统
- 定位关键组件（如CGI程序）
静态分析：
- 查找危险函数调用
- 分析输入处理逻辑
动态调试：
- 搭建仿真环境
- 使用gdbserver远程调试

3.3 典型漏洞案例

D-Link DIR-815：
- 通过HTTP_COOKIE环境变量触发溢出
- 关键点：未校验uid长度
D-Link DIR-645：
- POST参数长度未校验导致溢出
D-Link DIR-505：
- CONTENT_LENGTH完全可控导致溢出
锐捷CVE-2023-34644：
- Lua接口未过滤参数
- 通过merge函数实现命令注入

四、硬件层分析技术

4.1 Flash存储结构

主要分区：
- Bootloader（如U-Boot）
- Kernel（操作系统内核）
- Root Filesystem（根文件系统）
- NVRAM（配置文件）

4.2 硬件提取方法

串口调试：
- 识别UART接口（VCC、GND、TXD、RXD）
- 使用串口工具读取数据
Flash芯片读取：
- 直接取下芯片使用编程器读取
- 使用芯片夹避免物理损伤

五、漏洞挖掘方法论

5.1 分析流程

服务识别：
- 检查开放端口（80,443,53,21,22等）
- 分析网络服务进程
协议分析：
- 抓包分析网络流量
- 识别关键交互程序
目标定位：
- 查找消息路由和处理逻辑
- 定位核心业务组件

5.2 静态代码审计技巧

关键函数查找：
- 网络通信：socket, bind, listen, accept
- 数据传输：sendmsg, recvmsg, read, write
- 危险操作：system, popen, execve
数据流分析：
- 输入来源：argv, getenv, 文件, 网络
- 数据处理：字符串操作, 格式化输出
字符串分析：
- 错误信息、日志输出
- 选项参数（option xxx）

5.3 模糊测试技术

Fuzzing流程：
- 确定输入变量
- 生成测试数据
- 执行并监控异常
- 验证潜在漏洞
常用工具：
- AFL++
- Boofuzz
关键考虑：
- 目标平台和语言
- 变异策略
- 状态管理和性能

六、实战技巧总结

固件解密：
- 识别加密模式（如单字节异或）
- 逆向分析解密程序
环境搭建：
- QEMU仿真
- 网络配置（网桥、tap设备）
```
sudo brctl addif br0 eth0
sudo brctl addif br0 tap0
```
调试技巧：
- 使用gdbserver远程调试
- 交叉引用分析函数调用链
PoC开发：
- 基于漏洞原理构造利用代码
- 考虑各种边界条件

通过系统性地应用这些技术和方法，安全研究人员可以有效地对IoT设备进行安全评估，发现潜在漏洞并验证其可利用性。

IoT安全实战：从固件分析到漏洞挖掘一、固件获取与分析 1.1 固件获取途径官方渠道：从路由器厂商网站下载通过Web管理界面获取升级包硬件提取：从Flash芯片直接提取使用编程器读取芯片内容其他渠道：云市场（淘宝、闲鱼等）第三方固件仓库 1.2 文件系统基础路由器文件系统特点：通常使用压缩格式以节省空间常见文件系统类型：Squashfs（高压缩率只读文件系统）压缩算法：GZIP、LZMA、LZO、XZ等二、文件系统提取技术 2.1 手工提取方法文件类型识别： Magic签名搜索：精确提取： 2.2 自动提取工具Binwalk 基本扫描：深度扫描：自动提取：指令集分析： 2.3 自定义Binwalk规则添加新的magic签名到 $HOME/.binwalk/magic/binwalk 在配置文件中添加新的文件类型提取方式三、路由器漏洞分析实战 3.1 常见漏洞类型栈溢出漏洞：未校验输入长度危险函数：sprintf, strcpy等认证绕过： Basic认证仅使用base64编码缺乏CSRF防护命令注入：未过滤特殊字符（如换行符）通过环境变量或参数注入 3.2 漏洞分析流程信息收集：获取厂商、型号、固件版本查找公开漏洞信息（ExploitDB等）固件解包：使用binwalk提取文件系统定位关键组件（如CGI程序）静态分析：查找危险函数调用分析输入处理逻辑动态调试：搭建仿真环境使用gdbserver远程调试 3.3 典型漏洞案例 D-Link DIR-815 ：通过HTTP_ COOKIE环境变量触发溢出关键点：未校验uid长度 D-Link DIR-645 ： POST参数长度未校验导致溢出 D-Link DIR-505 ： CONTENT_ LENGTH完全可控导致溢出锐捷CVE-2023-34644 ： Lua接口未过滤参数通过merge函数实现命令注入四、硬件层分析技术 4.1 Flash存储结构主要分区： Bootloader（如U-Boot） Kernel（操作系统内核） Root Filesystem（根文件系统） NVRAM（配置文件） 4.2 硬件提取方法串口调试：识别UART接口（VCC、GND、TXD、RXD）使用串口工具读取数据 Flash芯片读取：直接取下芯片使用编程器读取使用芯片夹避免物理损伤五、漏洞挖掘方法论 5.1 分析流程服务识别：检查开放端口（80,443,53,21,22等）分析网络服务进程协议分析：抓包分析网络流量识别关键交互程序目标定位：查找消息路由和处理逻辑定位核心业务组件 5.2 静态代码审计技巧关键函数查找：网络通信：socket, bind, listen, accept 数据传输：sendmsg, recvmsg, read, write 危险操作：system, popen, execve 数据流分析：输入来源：argv, getenv, 文件, 网络数据处理：字符串操作, 格式化输出字符串分析：错误信息、日志输出选项参数（option xxx） 5.3 模糊测试技术 Fuzzing流程：确定输入变量生成测试数据执行并监控异常验证潜在漏洞常用工具： AFL++ Boofuzz 关键考虑：目标平台和语言变异策略状态管理和性能六、实战技巧总结固件解密：识别加密模式（如单字节异或）逆向分析解密程序环境搭建： QEMU仿真网络配置（网桥、tap设备）调试技巧：使用gdbserver远程调试交叉引用分析函数调用链 PoC开发：基于漏洞原理构造利用代码考虑各种边界条件通过系统性地应用这些技术和方法，安全研究人员可以有效地对IoT设备进行安全评估，发现潜在漏洞并验证其可利用性。