小米路由器固件仿真模拟方案教学文档<\/h1>

前言<\/h2>
IoT固件仿真是漏洞挖掘的重要环节，本文详细介绍了小米路由器AX9000固件的仿真模拟方法。该方案同样适用于其他型号的小米路由器，最后将通过CVE-2023-26315漏洞验证来展示仿真环境的有效性。<\/p>

环境准备<\/h2>

1. 获取内核与文件系统<\/h3>

小米AX9000采用AArch64el架构，需要自行提取内核与磁盘镜像：<\/p>

安装AArch64虚拟机<\/li>

从中提取内核与磁盘镜像<\/li> <\/ul>

2. 网络配置<\/h3>

QEMU启动后网络配置步骤：<\/p>

ip add add 192.168.192.132\/24 dev enp0s1
ip link set enp0s1 up
<\/code><\/pre>
验证宿主机与QEMU虚拟机间的网络连通性<\/p>
基础仿真步骤<\/h2>
1. 文件系统挂载<\/h3>
将解压后的固件文件系统传入QEMU虚拟机后执行：<\/p>
mount --bind \/proc proc
mount --bind \/dev dev
chroot . \/bin\/sh
<\/code><\/pre>
2. 启动关键服务<\/h3>
启动进程管理器：<\/p>
\/sbin\/procd &
<\/code><\/pre>
HTTP服务启动与调试<\/h2>
1. 识别HTTP服务<\/h3>
小米路由器包含多个HTTP服务：<\/p>

uhttpd<\/li>
mihttpd（监听8198端口）<\/li>
sysapihttpd（基于nginx，监听80端口）<\/li>
<\/ul>
2. 启动sysapihttpd<\/h3>
执行：<\/p>
\/etc\/init.d\/sysapihttpd start
<\/code><\/pre>
3. 解决依赖问题<\/h3>
常见报错及解决方案：<\/p>


缺失\/var\/lock\/procd_sysapihttpd.lock<\/code><\/p>

创建对应目录和文件<\/li>
<\/ul>
<\/li>

"Failed to connect to ubus"<\/p>

启动ubus服务：\/sbin\/ubusd &<\/code><\/li>
<\/ul>
<\/li>

"usock: No such file or directory"<\/p>

创建\/var\/run\/ubus.sock<\/code>文件<\/li>
<\/ul>
<\/li>
<\/ol>
4. 崩溃排查<\/h3>
使用strace跟踪进程：<\/p>
strace -p <pid>
<\/code><\/pre>
常见崩溃原因：<\/p>

缺失\/etc\/TZ<\/code>文件

解决方案：echo "WAUST-8WAUDT" > \/etc\/TZ<\/code><\/li>
<\/ul>
<\/li>
getsockopt错误导致重定向崩溃

修改\/usr\/sbin\/sysapihttpd<\/code>二进制文件<\/li>
将CBZ指令patch为CBNZ<\/li>
<\/ul>
<\/li>
<\/ul>
系统配置绕过<\/h2>
1. 跳过初始化配置<\/h3>
方法一（不推荐）：<\/p>

修改\/usr\/lib\/lua\/luci\/view\/web\/sysauth.htm<\/code><\/li>
注释掉重定向代码<\/li>
<\/ul>
方法二（推荐）：<\/p>
uci set xiaoqiang.common.INITTED=1
uci commit
<\/code><\/pre>
2. 设置登录密码<\/h3>
密码存储机制：<\/p>

密码存储在account.common.<用户名><\/code>配置项<\/li>
存储值为sha1(密码明文 + "a2ffa5c9be07488bbb04a3a47d3c5f6a")<\/code><\/li>
<\/ol>
设置密码示例（密码为"winmt"）：<\/p>
uci set account.common.admin=b264db0fca361ef8eca919fa28e70d7a57d4c2db
uci commit
<\/code><\/pre>
API访问权限问题<\/h2>
1. 503错误分析<\/h3>
\/api\/xqdatacenter\/request<\/code>访问报错原因：<\/p>

_noinitAccessAllowed<\/code>函数校验失败<\/li>
需要满足以下条件之一：

xqsys.getInitInfo()<\/code>返回true（即xiaoqiang.common.INITTED=1<\/code>）<\/li>
entry flag包含0x08<\/li>
<\/ul>
<\/li>
<\/ul>
2. 解决方案<\/h3>
推荐方案：<\/p>
uci set xiaoqiang.common.INITTED=1
uci commit
<\/code><\/pre>
替代方案：<\/p>

修改xqdatacenter.lua<\/code>源码<\/li>
在对应entry添加flag位0x08<\/li>
使用固件自带的luac<\/code>重新编译<\/li>
<\/ul>
漏洞验证环境<\/h2>
1. 启动额外服务<\/h3>
\/usr\/sbin\/datacenter &
\/usr\/sbin\/plugincenter &
<\/code><\/pre>
验证9090和9091端口是否正常监听<\/p>
2. 验证CVE-2023-26315<\/h3>
使用相应exp验证漏洞，获取shell<\/p>
关键知识点总结<\/h2>


固件仿真核心原则<\/strong>：不断解决报错，只要问题不涉及外设硬件，通常都有解决方案<\/p>
<\/li>

小米路由器特有机制<\/strong>：<\/p>

多HTTP服务并存（uhttpd\/mihttpd\/sysapihttpd）<\/li>
UBUS总线通信机制<\/li>
Lua实现的Web管理界面<\/li>
UCI配置系统存储关键参数<\/li>
<\/ul>
<\/li>

调试技巧<\/strong>：<\/p>

使用strace跟踪进程崩溃原因<\/li>
分析二进制文件定位关键报错点<\/li>
修改二进制指令绕过问题代码<\/li>
<\/ul>
<\/li>

权限系统<\/strong>：<\/p>

初始化状态检查（INITTED标志）<\/li>
API访问flag位控制（0x08表示允许未初始化访问）<\/li>
<\/ul>
<\/li>

认证机制<\/strong>：<\/p>

双重SHA1哈希的密码存储方式<\/li>
固定key值参与哈希计算<\/li>
Token认证机制<\/li>
<\/ul>
<\/li>
<\/ol>
本方案为小米路由器固件仿真提供了完整指导，通过解决各类报错和系统限制，最终构建出可用于漏洞分析和验证的仿真环境。<\/p>

小米路由器固件仿真模拟方案教学文档<\/h1>

前言<\/h2> IoT固件仿真是漏洞挖掘的重要环节，本文详细介绍了小米路由器AX9000固件的仿真模拟方法。该方案同样适用于其他型号的小米路由器，最后将通过CVE-2023-26315漏洞验证来展示仿真环境的有效性。<\/p>

环境准备<\/h2>

基础仿真步骤<\/h2>

HTTP服务启动与调试<\/h2>

系统配置绕过<\/h2>

API访问权限问题<\/h2>

漏洞验证环境<\/h2>

2. 验证CVE-2023-26315<\/h3> 使用相应exp验证漏洞，获取shell<\/p>

前言<\/h2>
IoT固件仿真是漏洞挖掘的重要环节，本文详细介绍了小米路由器AX9000固件的仿真模拟方法。该方案同样适用于其他型号的小米路由器，最后将通过CVE-2023-26315漏洞验证来展示仿真环境的有效性。<\/p>

2. 验证CVE-2023-26315<\/h3>
使用相应exp验证漏洞，获取shell<\/p>