诚意干货：如何神不知鬼不觉破解你家路由器 | 硬创公开课

你见过“僵尸”来袭吗？

你自己也成为其中一个“僵尸”会是怎样的感受？

这次，可能要玩得更酷炫一点！

如果你家路由器被破解，那么就可能是5万僵尸网络中的一员！

带来此次讲座的是一个“别人家的小孩”，他目前还在读大三，却已经是长亭科技核心安全团队中的一员。2016年，他和团队在黑客盛会GeekPwn上破解了11款路由器，获得冠军，并拿下42万元奖金。

为什么要聊这个话题？

路由器是互联网络的枢纽——"交通警察"。目前路由器已经广泛应用于各行各业，各种不同档次的产品已成为实现各种骨干网内部连接、骨干网间互联和骨干网与互联网互联互通业务的主力军。

好，一本正经的介绍结束。我们来一个狂野版：现在的青年坐下来就找Wi-Fi，谁家还没有个把路由器啊！你家路由器要是被人破了，轻则只是被蹭个网，重则各种隐私信息，包括硬盘里珍藏的小片片都会被一洗而空！不甘心？！来，跟大神一起玩破解和反破解，只有知道是怎么被破的，才能预防被破！

赵汉青，长亭科技安全研究员，GeekPwn 名人堂成员。主要从事软件逆向工程、漏洞挖掘、exploit编写，熟悉智能设备漏洞挖掘与利用、Android本地权限提升漏洞挖掘与利用、浏览器漏洞挖掘与利用，2016年 GeekPwn 512，与杨坤一起以十一款路由器的漏洞挖掘与利用获得 GeekPwn 512 的冠军。中国海洋大学 Blue-Whale 安全研究团队队长，带领成员进行安全竞赛、漏洞挖掘。

Q1

之前其他媒体对你有报道，报道的题目是《八九点钟的太阳，照在他的身上》，看照片也确实很年轻，能否再做一个高难度的“图+文”的自我介绍？

赵汉青：我本科过来的三年和其他本科生有一点点不一样，教室、班级或是宿舍并不是我的主战场，我是在实验室度过的，就这样我算是半个研究生，也受到了安全学术圈的很多熏陶，了解到了很多学术圈一线大佬的研究方向等，了解了非常多前沿的系统安全方面的技术。

当时我的学长崔勤(现在也在长亭任职)在2012年左右依托着实验室创办了一个CTF战队,算是比较早的开始打国内外比赛的战队。但是非常不幸的是我刚去实验室，学长就毕业了。虽然没有了老司机带，但是自己对这方面又十分的感兴趣，所以当时就自己天天呆在实验室白天黑天的解题、打比赛，总之就是自己瞎折腾，虽然走了不少弯路，但是还是成了一个赛棍，整个几年算是学了一点皮毛知识。

大约是16年初，过来北京以后就从以前的疯狂比赛转到一些real-world的软件、设备进行研究了。

Q2

小编：请你介绍一下你所在的团队和长亭科技。

赵汉青：2011~2014年，几个年轻的创始人在兴趣的驱动下，最终孵化出了这个新兴的网络安全服务公司——长亭科技。

Q3

小编：今年5月，在安全极客大赛 GeekPwn2016 澳门站上，你所在的长亭科技团队一口气攻破了市面上销售10款主流品牌路由器和1款摄像头，获得了最高奖金，请给大家介绍下为什么选择这10款路由器和1款摄像头？花了多长时间研究破解？真正破解一款路由器需要多久？

赵汉青：之所以选了那10款路由器，其实没有什么特别的考虑，在确定了澳门站我们要来展示路由器后，就是去京东输入路由器关键词，把销量比较高的全买了一遍，尽量每个大品牌都买了，这样可以使我们的研究在面儿上更能体现路由器的一些安全性问题，也能更好的引起各大厂商以及消费者的重视。

整个研究过程其实有几个月吧，从二月底到5月中旬，我们小伙伴们都一直在研究这个事情。这期间我们经历了选方向、选设备、漏洞挖掘、漏洞利用、演示准备、撰写文档等等环节。真正破解一款路由器的话其实并不需要太久,其实我们完成一个设备的破解长则需要一周，短的话其实一晚上就够了。

Q4

小编：具体破解过程是怎样？介绍下酷炫吊炸天的技术吧！

赵汉青：首先，当然是去购买一个设备了。

在拿到一个设备时，第一件事情通常是去尽量收集一些关于固件、架构、端口等信息以方便我们分析攻击面，为我们之后对binary(可执行二进制文件)进行详细逆向分析提供便利。一般最容易想到的就是能拿到一个可以操作的shell进入路由器中查看，这样所有的信息对于我们来说就一览无余了。

如果可以给路由刷一个ssh或者路由本身就有telnet之类的shell，可以直接上去搜集信息。如果没有任何ssh之类的程序，我们可以拆掉路由器，观察焊点，因为有一大部分厂家在出厂时会好心的留下一个用于调试的串口，我们只要能找到这个串口然后连入一般就可以获得一个可以执行命令的shell。

（编者注：这是什么意思呢？就好一个特工想潜入一个家庭，先了解下家庭成员的情况，然后找一个最笨的成员给自己带路，而串口就是去了解这个家庭的一个手段。至于最笨的成员是哪一个？没有通用的寻找规律，每一个路由器都要经过一些攻击面分析、然后具体的逆向，才能找出程序员写出的漏洞，然后再利用。）

（编者注：SSH 为Secure Shell的缩写，由 IETF 的网络小组（Network Working Group）所制定；SSH 为建立在应用层基础上的安全协议。Telnet协议是TCP/IP协议族中的一员，是Internet远程登陆服务的标准协议和主要方式。Telnet是常用的远程控制Web服务器的方法。）

如果串口不太明显，我们可以用示波器去测试，在串口向外输出的时候，示波器上回显示出规则的方波，让我们可以更准确的找到调试的接口。之后我们可以用USB转TTL的设备接入电脑，就有一个shell可以用了。

在有了一个可以用的shell之后下一步就是去找寻攻击面了,最容易想到的就是去打它开放的端口。

例如，上图我们探测到了一个对外开放的webserver，非常简单，接下来我们要做的事情就是根据端口找到对应的binary，接下来我们就可以对其做逆向分析了。

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!