OpenWRT 安全研究与实践指南<\/h1>

1. OpenWRT 概述<\/h2>

OpenWRT 是一个嵌入式 Linux 发行版，是主流路由器固件之一（其他包括 dd-wrt、tomato、padavan）。与静态系统不同，OpenWRT 提供了：<\/p>

完全可写的文件系统<\/li>
灵活的包管理系统<\/li>

高度可定制性<\/li> <\/ul>

市场份额逐年增长，被小米等主流厂商用于家用路由设备二次开发。<\/p>

2. OpenWRT 环境搭建<\/h2>

2.1 获取源代码<\/h3>

git clone git:\/\/github.com\/openwrt\/openwrt.git
<\/span><\/span>cd openwrt
<\/span><\/span>.\/scripts\/feeds update -a
<\/span><\/span>.\/scripts\/feeds install -a
<\/span><\/span><\/code><\/pre>2.2 目录结构详解<\/h3>



目录<\/th>
内容描述<\/th>
<\/tr>
<\/thead>


include\/<\/code><\/td>
编译系统所需的Makefile文件<\/td>
<\/tr>

package\/<\/code><\/td>
软件包目录，包含各代码包的Makefile<\/td>
<\/tr>

scripts\/<\/code><\/td>
工具脚本（shell\/python）<\/td>
<\/tr>

staging_dir\/<\/code><\/td>
内核和工具的编译结果<\/td>
<\/tr>

target\/<\/code><\/td>
平台相关代码（不同芯片型号）<\/td>
<\/tr>

toolchain\/<\/code><\/td>
交叉编译工具链<\/td>
<\/tr>

tools\/<\/code><\/td>
工具集（压缩、加壳、文件系统构造等）<\/td>
<\/tr>

build_dir\/<\/code><\/td>
内核、工具、软件源码编译内容<\/td>
<\/tr>

bin\/<\/code><\/td>
编译输出的二进制文件（bin和ipk）<\/td>
<\/tr>
<\/tbody>
<\/table>
2.3 配置选项<\/h3>
执行配置命令：<\/p>
make menuconfig
<\/span><\/span><\/code><\/pre>主要配置项：<\/p>

Target System<\/strong>：设备架构<\/li>
Sub Target<\/strong>：子目标<\/li>
Target Profile<\/strong>：目标配置文件<\/li>
Target Images<\/strong>：选择vmdk等镜像格式<\/li>
Base System<\/strong>：基本系统组件（可定制busybox）<\/li>
Kernel Modules<\/strong>：内核驱动模块<\/li>
Network<\/strong>：网络相关程序<\/li>
Utilities<\/strong>：工具包<\/li>
<\/ul>
注：x86_64架构便于本地调试，其他架构需对应硬件<\/em><\/p>
2.4 编译与运行<\/h3>
编译命令：<\/p>
make V=<\/span>s
<\/span><\/span><\/code><\/pre>运行：<\/p>

编译生成openwrt-x86-64-combined-ext4.vmdk<\/code><\/li>
使用VMware加载运行<\/li>
开启dropbear服务进行连接<\/li>
<\/ul>
3. OpenWRT 安全研究要点<\/h2>
3.1 后端代码审计<\/h3>
3.1.1 Lua语言后台（如小米设备）<\/h4>
审计路径：<\/p>

\/www<\/code> 目录下的Web路由<\/li>
controller\/<\/code> 目录中的路由处理<\/li>
<\/ul>
常见漏洞类型：<\/p>

未授权访问<\/li>
命令注入<\/li>
权限越权<\/li>
XSS跨站脚本<\/li>
目录穿越<\/li>
<\/ul>
3.1.2 Boa HTTP服务器（如360设备）<\/h4>
分析要点：<\/p>

Boa配置文件<\/li>
CGI程序逆向分析<\/li>
HTTP请求处理流程<\/li>
<\/ul>
3.2 硬编码问题<\/h3>
检查点：<\/p>

\/etc\/passwd<\/code> 和 \/etc\/shadow<\/code> 中的初始密码<\/li>
Telnet\/SSH服务的默认凭证<\/li>
启动脚本中的硬编码凭证<\/li>
<\/ol>
示例漏洞代码：<\/p>
#!\/bin\/sh
<\/span><\/span><\/span><\/span># 某路由器启动脚本中的硬编码<\/span>
<\/span><\/span>telnetd -l \/usr\/sbin\/login -u Alphanetworks:$image_sign -i br0 &
<\/span><\/span><\/code><\/pre>3.3 后门与隐藏服务<\/h3>
审计要点：<\/p>

非常规开放端口（53、22、23等）<\/li>
隐藏服务程序（如磊科的igdmtpd监听53413端口）<\/li>
非常规认证机制<\/li>
<\/ol>
4. 安全研究建议<\/h2>

固件分析<\/strong>：解包分析文件系统，查找敏感信息<\/li>
服务枚举<\/strong>：全面扫描所有开放端口和服务<\/li>
逆向工程<\/strong>：对关键二进制进行逆向分析<\/li>
流量分析<\/strong>：监控设备网络通信行为<\/li>
认证机制<\/strong>：测试所有可能的认证绕过方式<\/li>
<\/ol>
5. 典型漏洞案例<\/h2>


NetCore全系列路由器后门<\/strong>：<\/p>

服务：igdmtpd<\/li>
端口：53413<\/li>
影响：允许未授权访问<\/li>
<\/ul>
<\/li>

硬编码Telnet凭证<\/strong>：<\/p>

厂商：多个<\/li>
位置：启动脚本<\/li>
影响：固定凭证导致设备暴露<\/li>
<\/ul>
<\/li>
<\/ol>
通过系统化的环境搭建和安全审计方法，可以有效发现OpenWRT及基于其开发的设备中的安全隐患。<\/p>

目录<\/th>	内容描述<\/th> <\/tr> <\/thead>
`include\/<\/code><\/td>`	编译系统所需的Makefile文件<\/td> <\/tr>
`package\/<\/code><\/td>`	软件包目录，包含各代码包的Makefile<\/td> <\/tr>
`scripts\/<\/code><\/td>`	工具脚本（shell\/python）<\/td> <\/tr>
`staging_dir\/<\/code><\/td>`	内核和工具的编译结果<\/td> <\/tr>
`target\/<\/code><\/td>`	平台相关代码（不同芯片型号）<\/td> <\/tr>
`toolchain\/<\/code><\/td>`	交叉编译工具链<\/td> <\/tr>
`tools\/<\/code><\/td>`	工具集（压缩、加壳、文件系统构造等）<\/td> <\/tr>
`build_dir\/<\/code><\/td>`	内核、工具、软件源码编译内容<\/td> <\/tr>
`bin\/<\/code><\/td>`	编译输出的二进制文件（bin和ipk）<\/td> <\/tr> <\/tbody> <\/table> 2.3 配置选项<\/h3> 执行配置命令：<\/p> make menuconfig <\/span><\/span><\/code><\/pre>主要配置项：<\/p> Target System<\/strong>：设备架构<\/li> Sub Target<\/strong>：子目标<\/li> Target Profile<\/strong>：目标配置文件<\/li> Target Images<\/strong>：选择vmdk等镜像格式<\/li> Base System<\/strong>：基本系统组件（可定制busybox）<\/li> Kernel Modules<\/strong>：内核驱动模块<\/li> Network<\/strong>：网络相关程序<\/li> Utilities<\/strong>：工具包<\/li> <\/ul> 注：x86_64架构便于本地调试，其他架构需对应硬件<\/em><\/p> 2.4 编译与运行<\/h3> 编译命令：<\/p> make V=<\/span>s <\/span><\/span><\/code><\/pre>运行：<\/p> 编译生成openwrt-x86-64-combined-ext4.vmdk<\/code><\/li> 使用VMware加载运行<\/li> 开启dropbear服务进行连接<\/li> <\/ul> 3. OpenWRT 安全研究要点<\/h2> 3.1 后端代码审计<\/h3> 3.1.1 Lua语言后台（如小米设备）<\/h4> 审计路径：<\/p> \/www<\/code> 目录下的Web路由<\/li> controller\/<\/code> 目录中的路由处理<\/li> <\/ul> 常见漏洞类型：<\/p> 未授权访问<\/li> 命令注入<\/li> 权限越权<\/li> XSS跨站脚本<\/li> 目录穿越<\/li> <\/ul> 3.1.2 Boa HTTP服务器（如360设备）<\/h4> 分析要点：<\/p> Boa配置文件<\/li> CGI程序逆向分析<\/li> HTTP请求处理流程<\/li> <\/ul> 3.2 硬编码问题<\/h3> 检查点：<\/p> \/etc\/passwd<\/code> 和 \/etc\/shadow<\/code> 中的初始密码<\/li> Telnet\/SSH服务的默认凭证<\/li> 启动脚本中的硬编码凭证<\/li> <\/ol> 示例漏洞代码：<\/p> #!\/bin\/sh <\/span><\/span><\/span><\/span># 某路由器启动脚本中的硬编码<\/span> <\/span><\/span>telnetd -l \/usr\/sbin\/login -u Alphanetworks:$image_sign -i br0 & <\/span><\/span><\/code><\/pre>3.3 后门与隐藏服务<\/h3> 审计要点：<\/p> 非常规开放端口（53、22、23等）<\/li> 隐藏服务程序（如磊科的igdmtpd监听53413端口）<\/li> 非常规认证机制<\/li> <\/ol> 4. 安全研究建议<\/h2> 固件分析<\/strong>：解包分析文件系统，查找敏感信息<\/li> 服务枚举<\/strong>：全面扫描所有开放端口和服务<\/li> 逆向工程<\/strong>：对关键二进制进行逆向分析<\/li> 流量分析<\/strong>：监控设备网络通信行为<\/li> 认证机制<\/strong>：测试所有可能的认证绕过方式<\/li> <\/ol> 5. 典型漏洞案例<\/h2> NetCore全系列路由器后门<\/strong>：<\/p> 服务：igdmtpd<\/li> 端口：53413<\/li> 影响：允许未授权访问<\/li> <\/ul> <\/li> 硬编码Telnet凭证<\/strong>：<\/p> 厂商：多个<\/li> 位置：启动脚本<\/li> 影响：固定凭证导致设备暴露<\/li> <\/ul> <\/li> <\/ol> 通过系统化的环境搭建和安全审计方法，可以有效发现OpenWRT及基于其开发的设备中的安全隐患。<\/p>