秘密：谈论有关无线路由器后门的事情（1）-D-Link文章

[原始]谈论有关无线路由器后门的那些事情（1）-D-Link文章

作者：gamehacker

时间：2013-11-29,11：29：19

链接：

谈论有关无线路由器后门的事情（1）-D-Link文章

不久前，devttys0在其网站上错过了D-Link和Tenda无线路由器的后门。这是合理的，有充分的根据。技术内容仍然值得学习。由于它在读取之前没有关注固件分析技术，因此在迷雾中，除了崇拜之外没有其他。从那以后，经过几天的搜索，我获得了一些见识和经验，并与您分享，并向大神寻求指导。

思路和步骤：

按照devttys0文章中的步骤进行分析，首先去dlink下载相应类中不可用的固件，地址如下：

ftp://ftp.dlink.eu/Products/dir/dir-100/driver_software/DIR-100_fw_reva_113_ALL_zh_20110915.zip

下载后，解压缩并获取固件文件DIR100_v5.0.0EUb3_patch02.bix。使用固件分析工件Binwalk提取其文件系统。

正如devttys0所说，我看到了一个SquashFS文件系统，可以使用Binwalk导出该文件系统。导出后，将获得以下文件系统，该文件系统似乎是某些系统文件。

继续查看/ bin / webs文件。这是无线路由器的Web服务程序。你在等什么？上IDA，开始吧！ ～～～

注意，当使用IDA打开它时，需要选择CPU。打开它之后，您无需多说。 IDA比我强。但是我们得到的不是x86的反汇编代码，而是mips，这并不困难，只需看一下手册即可。实际上，根据x86的经验，这不是问题，毕竟汇编指令并不多。

查看字符串信息和函数信息：

果然，我找到了传说中的“后门密码”和alpha_auth_check函数。

输入alpha_auth_check进行分析：

看看这里，一目了然。确定后门密码，如果为true，则将其检测为已登录状态。

遵循devttys0给出的反向恢复代码会更直观：

从上面的代码可以清楚地看到赤裸的后门。让我们在下面进行验证。我购买了中文版本的DLINKDIR-100，可以通过将http数据包数据中的User-Agent值更改为“ xmlset_roodkcableoj28840ybtide”来进行访问。因此，无需输入用户名和密码。

涉及的工具：

Binwalk

IDA

仍有问题：

1、如何从没有官方固件文件的设备中提取固件或文件？

2、如何进行动态调试，您可以找到无线路由器模拟器和动态调试工具，请指导！ *请注明转载自Kanxue论坛@

本文来自电脑杂谈，转载请注明本文网址：
http://www.pc-fly.com/a/tongxingongju/article-332987-1.html