IoT安全透视:D-Link DWR-932B固件全面逆向分析
字数 3177 2025-08-29 08:29:59

D-Link DWR-932B路由器固件安全分析教学文档

一、引言

1.1 IoT设备安全的重要性

随着物联网(IoT)设备的快速增长,智能家居设备、路由器和摄像头等设备已成为日常生活的一部分。研究表明,这些设备的安全性直接关系到用户隐私和网络安全,因为固件是设备的核心软件,包含了操作系统的配置和功能。如果固件存在漏洞,攻击者可能远程控制设备,窃取数据或发起网络攻击。

1.2 D-Link DWR-932B路由器简介

D-Link DWR-932B是一款支持4G LTE的便携式路由器,广泛用于家庭网络、小型办公室和移动场景。它通过提供无线网络连接,支持多个设备同时联网,是IoT生态系统中的重要节点。它的固件管理了网络配置、Wi-Fi连接和远程管理功能,因此成为安全研究的重要目标。

二、固件分析基础知识

2.1 什么是固件及其作用

固件(Firmware)是存储在设备硬件中的软件,控制嵌入式设备的基本功能,如路由器的Wi-Fi连接和网络设置。固件安全直接影响IoT设备的安全性,如果存在漏洞,攻击者可能远程控制设备或窃取数据。

2.2 常见的固件格式及解包工具

常见固件格式:

  • ZIP:用于分发
  • YAFFS2:用于闪存文件系统
  • SquashFS:压缩只读文件系统

解包工具:

  • binwalk:识别和提取文件系统 
    binwalk -e firmware.bin
  • unyaffs:解包YAFFS2文件系统 
    unyaffs image.yaffs2
  • unsquashfs:用于SquashFS文件系统

2.3 固件分析基本流程

  1. 获取固件:从官方网站下载
  2. 解包固件:使用上述工具提取文件系统
  3. 静态分析:检查敏感文件如.conf/etc/shadow,逆向分析危险二进制程序
  4. 动态分析:在模拟环境中运行固件,观察行为

2.4 常用工具介绍

  • IDA Pro:逆向工程二进制文件
  • Firmwalker:扫描固件中的敏感文件和漏洞
  • Ghidra:开源逆向工程工具
  • QEMU:固件模拟运行环境

三、网络安全协议与IoT设备

3.1 UPnP(通用即插即用)

  • 简介:用于设备自动发现和配置网络服务
  • 作用:允许设备快速加入网络并与其他设备交互
  • 风险:可能允许未经授权的端口转发

3.2 FOTA(固件空中升级)

  • 简介:通过网络远程更新设备固件的技术
  • 作用:允许制造商推送补丁或功能改进
  • 风险:不安全更新机制可能导致固件被篡改

3.3 SSH(安全外壳协议)

  • 简介:加密协议,提供安全的远程登录和文件传输
  • 作用:为远程管理和调试提供安全途径
  • 风险:弱密码或默认凭据可能导致未授权访问

3.4 SSL/TLS(安全套接层/传输层安全)

  • 简介:用于加密网络通信的协议
  • 作用:保护数据传输的安全性
  • 风险:过时协议或错误配置可能导致中间人攻击

四、固件获取与初始访问

4.1 固件下载

DWR-932B固件下载地址:

https://ftp.dlink.de/dwr/dwr-932/archive/driver_software/DWR-932_fw_revb_202eu_ALL_multi_20150119.zip

4.2 固件解压缩

  1. 尝试解压发现需要密码
  2. 使用工具爆破压缩包密码
  3. 成功获取密码:beUT9Z
  4. 解压后得到2K-mdm-image-mdm9625.yaffs2根文件系统

4.3 文件系统提取

使用unyaffs解压YAFFS2文件系统:

unyaffs 2K-mdm-image-mdm9625.yaffs2

五、敏感配置文件分析

5.1 查找配置文件

搜索所有.conf文件:

find . -name "*.conf"

5.2 发现的安全风险

  1. Wi-Fi SSID和密码泄露

    • 风险:未授权访问Wi-Fi网络
    • 建议:立即更改Wi-Fi密码,避免明文存储

  2. 设备管理密码硬编码

    • 示例: 
      username = admin
password = admin123
    • 风险:攻击者可控制设备
    • 建议:更改密码,使用加密存储

  3. 内部网络信息暴露

    • 包含内网IP地址
    • 风险:构建攻击路径
    • 建议:限制访问,避免暴露内部IP

  4. D-Bus配置泄露

    • 风险:未授权访问系统总线
    • 建议:限制D-Bus访问权限

  5. UPnP安全问题

    • 配置:secure_mode=no
    • 风险:外部设备可修改路由规则
    • 建议:关闭UPnP或启用安全模式

  6. SSH配置问题

    • 风险:未授权访问控制台
    • 建议:检查SSH配置,限制访问

六、弱密码破解

6.1 /etc/shadow文件分析

shadow文件格式:

用户名:加密密码:上次修改密码时间:密码最小间隔:密码最大有效期:警告期:不活动期:失效日期:保留字段

加密方式标识:

  • 1:MD5
  • 5:SHA-256
  • 6:SHA-512

6.2 使用John the Ripper爆破

  1. 安装工具:

    sudo apt install john

  2. 准备字典:

    crunch 4 4 1234567890 -o dict.txt

  3. 开始爆破:

    john --wordlist=dict.txt shadow

  4. 结果:root密码为1234

七、使用Firmwalker进行信息搜集

7.1 Firmwalker简介

Firmwalker是一个脚本,用于扫描解包后的文件系统,查找敏感信息和潜在安全隐患。

7.2 关键搜索类别

  • binaries:重要二进制文件
  • dbfiles:数据库相关文件
  • files:通用敏感文件
  • passfiles:密码文件
  • patterns:敏感信息模式
  • sshfiles:SSH相关文件
  • sslfiles:SSL/TLS相关文件
  • webservers:Web服务器文件

7.3 执行扫描

./firmwalker.sh /path/to/extracted/firmware

7.4 分析结果

发现的关键安全问题:

  1. 敏感账户和密码文件泄露
  2. SSL/SSH密钥未妥善保护
  3. 配置文件中硬编码敏感信息
  4. 内部网络信息暴露
  5. 服务和二进制文件未加固

八、逆向分析风险二进制程序

8.1 定位关键二进制文件

常见需要分析的二进制文件:

  • 远程访问:ssh, sshd, dropbear
  • 多功能工具:busybox
  • 远程终端:telnet, telnetd
  • 加密通信:openssl
  • Web服务器:httpd, lighttpd

8.2 检查自启动脚本

分析/etc/init.d/目录:

cat /etc/init.d/* > init_scripts.txt

发现关键程序:

  • /bin/appmgr:主管理守护进程
  • /sbin/fotad:FOTA更新守护进程

8.3 /bin/appmgr分析

8.3.1 未授权远程命令执行漏洞

发现:

  • 监听UDP端口39889
  • 接受HELODBG命令
  • 可执行/sbin/telnetd -l /bin/sh开启root shell

风险:

  • 攻击者可远程获取root权限

8.3.2 默认凭证漏洞

代码逻辑:

  • 如果没有配置管理员,创建默认账户
  • 默认账号:admin
  • 默认密码:admin

风险:

  • 攻击者可使用默认凭据登录

8.3.3 硬编码WPS PIN码

发现:

  • 默认WPS PIN:28296607
  • 硬编码在程序中

风险:

  • 攻击者可轻易破解Wi-Fi网络

8.3.4 UPnP安全问题

配置文件/var/miniupnpd.conf

secure_mode=no

风险:

  • 允许未经授权的UPnP请求
  • 可能导致端口转发被滥用

8.4 /sbin/fotad分析

8.4.1 FOTA更新流程

状态机分析:

  1. 状态0:初始状态
  2. 状态1:空闲/等待
  3. 状态2:检查固件信息
  4. 状态3:下载固件
  5. 状态4:正在升级
  6. 状态5:升级完成
  7. 状态6:中止/失败
  8. 状态8-10:等待网络、确认等

8.4.2 硬编码凭证漏洞

发现:

  • 使用Base64编码的硬编码凭证
  • 认证信息直接嵌入程序

风险:

  • 攻击者可伪造合法设备
  • 可能劫持固件更新过程
  • 中间人攻击风险

九、总结与建议

9.1 发现的主要漏洞

  1. 未授权远程命令执行
  2. 默认和硬编码凭据
  3. UPnP安全配置不当
  4. FOTA更新机制不安全
  5. 敏感信息泄露

9.2 安全建议

  1. 固件更新

    • 禁用不必要服务
    • 修改所有默认凭据
    • 关闭UPnP或启用安全模式

  2. 网络配置

    • 更改Wi-Fi密码和SSID
    • 禁用WPS或使用随机PIN
    • 限制远程管理访问

  3. 开发建议

    • 避免硬编码敏感信息
    • 实现安全的固件更新机制
    • 使用强加密和认证

  4. 持续监控

    • 定期检查设备日志
    • 关注厂商安全公告
    • 及时应用安全补丁

十、参考资料

  1. PLC_1earn固件安全实验
  2. 从0到1:固件分析
  3. Binwalk GitHub
  4. Unyaffs GitHub
  5. IDA Pro官网
D-Link DWR-932B路由器固件安全分析教学文档 一、引言 1.1 IoT设备安全的重要性 随着物联网(IoT)设备的快速增长,智能家居设备、路由器和摄像头等设备已成为日常生活的一部分。研究表明,这些设备的安全性直接关系到用户隐私和网络安全,因为固件是设备的核心软件,包含了操作系统的配置和功能。如果固件存在漏洞,攻击者可能远程控制设备,窃取数据或发起网络攻击。 1.2 D-Link DWR-932B路由器简介 D-Link DWR-932B是一款支持4G LTE的便携式路由器,广泛用于家庭网络、小型办公室和移动场景。它通过提供无线网络连接,支持多个设备同时联网,是IoT生态系统中的重要节点。它的固件管理了网络配置、Wi-Fi连接和远程管理功能,因此成为安全研究的重要目标。 二、固件分析基础知识 2.1 什么是固件及其作用 固件(Firmware)是存储在设备硬件中的软件,控制嵌入式设备的基本功能,如路由器的Wi-Fi连接和网络设置。固件安全直接影响IoT设备的安全性,如果存在漏洞,攻击者可能远程控制设备或窃取数据。 2.2 常见的固件格式及解包工具 常见固件格式: ZIP:用于分发 YAFFS2:用于闪存文件系统 SquashFS:压缩只读文件系统 解包工具: binwalk :识别和提取文件系统 unyaffs :解包YAFFS2文件系统 unsquashfs :用于SquashFS文件系统 2.3 固件分析基本流程 获取固件 :从官方网站下载 解包固件 :使用上述工具提取文件系统 静态分析 :检查敏感文件如 .conf 和 /etc/shadow ,逆向分析危险二进制程序 动态分析 :在模拟环境中运行固件,观察行为 2.4 常用工具介绍 IDA Pro :逆向工程二进制文件 Firmwalker :扫描固件中的敏感文件和漏洞 Ghidra :开源逆向工程工具 QEMU :固件模拟运行环境 三、网络安全协议与IoT设备 3.1 UPnP(通用即插即用) 简介 :用于设备自动发现和配置网络服务 作用 :允许设备快速加入网络并与其他设备交互 风险 :可能允许未经授权的端口转发 3.2 FOTA(固件空中升级) 简介 :通过网络远程更新设备固件的技术 作用 :允许制造商推送补丁或功能改进 风险 :不安全更新机制可能导致固件被篡改 3.3 SSH(安全外壳协议) 简介 :加密协议,提供安全的远程登录和文件传输 作用 :为远程管理和调试提供安全途径 风险 :弱密码或默认凭据可能导致未授权访问 3.4 SSL/TLS(安全套接层/传输层安全) 简介 :用于加密网络通信的协议 作用 :保护数据传输的安全性 风险 :过时协议或错误配置可能导致中间人攻击 四、固件获取与初始访问 4.1 固件下载 DWR-932B固件下载地址: 4.2 固件解压缩 尝试解压发现需要密码 使用工具爆破压缩包密码 成功获取密码: beUT9Z 解压后得到 2K-mdm-image-mdm9625.yaffs2 根文件系统 4.3 文件系统提取 使用unyaffs解压YAFFS2文件系统: 五、敏感配置文件分析 5.1 查找配置文件 搜索所有 .conf 文件: 5.2 发现的安全风险 Wi-Fi SSID和密码泄露 风险:未授权访问Wi-Fi网络 建议:立即更改Wi-Fi密码,避免明文存储 设备管理密码硬编码 示例: 风险:攻击者可控制设备 建议:更改密码,使用加密存储 内部网络信息暴露 包含内网IP地址 风险:构建攻击路径 建议:限制访问,避免暴露内部IP D-Bus配置泄露 风险:未授权访问系统总线 建议:限制D-Bus访问权限 UPnP安全问题 配置: secure_mode=no 风险:外部设备可修改路由规则 建议:关闭UPnP或启用安全模式 SSH配置问题 风险:未授权访问控制台 建议:检查SSH配置,限制访问 六、弱密码破解 6.1 /etc/shadow文件分析 shadow文件格式: 加密方式标识: 1:MD5 5:SHA-256 6:SHA-512 6.2 使用John the Ripper爆破 安装工具: 准备字典: 开始爆破: 结果:root密码为 1234 七、使用Firmwalker进行信息搜集 7.1 Firmwalker简介 Firmwalker是一个脚本,用于扫描解包后的文件系统,查找敏感信息和潜在安全隐患。 7.2 关键搜索类别 binaries :重要二进制文件 dbfiles :数据库相关文件 files :通用敏感文件 passfiles :密码文件 patterns :敏感信息模式 sshfiles :SSH相关文件 sslfiles :SSL/TLS相关文件 webservers :Web服务器文件 7.3 执行扫描 7.4 分析结果 发现的关键安全问题: 敏感账户和密码文件泄露 SSL/SSH密钥未妥善保护 配置文件中硬编码敏感信息 内部网络信息暴露 服务和二进制文件未加固 八、逆向分析风险二进制程序 8.1 定位关键二进制文件 常见需要分析的二进制文件: 远程访问: ssh , sshd , dropbear 多功能工具: busybox 远程终端: telnet , telnetd 加密通信: openssl Web服务器: httpd , lighttpd 8.2 检查自启动脚本 分析 /etc/init.d/ 目录: 发现关键程序: /bin/appmgr :主管理守护进程 /sbin/fotad :FOTA更新守护进程 8.3 /bin/appmgr分析 8.3.1 未授权远程命令执行漏洞 发现: 监听UDP端口39889 接受 HELODBG 命令 可执行 /sbin/telnetd -l /bin/sh 开启root shell 风险: 攻击者可远程获取root权限 8.3.2 默认凭证漏洞 代码逻辑: 如果没有配置管理员,创建默认账户 默认账号: admin 默认密码: admin 风险: 攻击者可使用默认凭据登录 8.3.3 硬编码WPS PIN码 发现: 默认WPS PIN: 28296607 硬编码在程序中 风险: 攻击者可轻易破解Wi-Fi网络 8.3.4 UPnP安全问题 配置文件 /var/miniupnpd.conf : 风险: 允许未经授权的UPnP请求 可能导致端口转发被滥用 8.4 /sbin/fotad分析 8.4.1 FOTA更新流程 状态机分析: 状态0:初始状态 状态1:空闲/等待 状态2:检查固件信息 状态3:下载固件 状态4:正在升级 状态5:升级完成 状态6:中止/失败 状态8-10:等待网络、确认等 8.4.2 硬编码凭证漏洞 发现: 使用Base64编码的硬编码凭证 认证信息直接嵌入程序 风险: 攻击者可伪造合法设备 可能劫持固件更新过程 中间人攻击风险 九、总结与建议 9.1 发现的主要漏洞 未授权远程命令执行 默认和硬编码凭据 UPnP安全配置不当 FOTA更新机制不安全 敏感信息泄露 9.2 安全建议 固件更新 : 禁用不必要服务 修改所有默认凭据 关闭UPnP或启用安全模式 网络配置 : 更改Wi-Fi密码和SSID 禁用WPS或使用随机PIN 限制远程管理访问 开发建议 : 避免硬编码敏感信息 实现安全的固件更新机制 使用强加密和认证 持续监控 : 定期检查设备日志 关注厂商安全公告 及时应用安全补丁 十、参考资料 PLC_ 1earn固件安全实验 从0到1:固件分析 Binwalk GitHub Unyaffs GitHub IDA Pro官网