诚意干货：如何神不知鬼不觉破解你家路由器 | 硬创公开课

下面我来介绍一个非常简单的漏洞示例。

这是一个webserver的中解析参数的函数，通过简单的分析我们就可以看出参数长度并没有检查就被copy到了栈上，实在是再简单不过的栈溢出了。

虽然介绍的这个漏洞如此简单，但是在实际的分析过程中,由于binary一般都算是比较多比较大，还是比较占用时间的。

那么找到了漏洞以后，无非就是要继续想利用了，因为在这些智能设备上我们发现的漏洞都比较简单，所以用的利用技巧也相应比较简单。

遇到的小问题无非下面几个:

1.不能再栈上写0,但是如果我们要做rop(Return-oriented programming)的话，一般代码段起始的地址都是以0开头的。遇到这种问题我们可以对返回地址做部分改写，用一个“add sp,xxx”之类的gadget将栈迁移到高处。这样我们就可以在栈的高处继续做rop了；

2.如果开了地址随机化，我们不能直接做rop。可以先泄露一次函数的got地址，然后算出真正的代码段或是lib库的加载地址，然后在继续做rop；

3.遇到一些mips大端的架构，这样我们做部分覆盖的小trick也会失效，但是由于性能原因，我们发现大部分mips的路由都是没有开随机化的，所以我们可以干脆对lib基址进行爆破，就可以去用到lib里的gadget(一些指令片段)了。

在确定好写利用的思路以后，写的过程中我们也许需要debug，最通常的办法还是利用ftp或是tftp等工具传一个gdbserver到路由内部，然后用gdb进行远程调试。我们可以用一个非常好用的gdb辅助插件(https://github.com/kelwin/peda),使用效果如下。

之后我们用我们的exploit脚本(攻击脚本)发起远程攻击，就能远程获得路由器的最高权限，接管这台路由了。

Q5

小编：还有一个重要问题是，为什么朝路由器下手？

赵汉青：选择路由器作为主要研究对象的原因是：在去年的极棒上，我们重点研究了多款网络摄像头。而对于路由器我们只研究了一款，就发现了多个安全漏洞，这引发了我们的兴趣和担忧。

路由器作为家庭的上网入口，连接了许许多多的设备，不仅笔记本电脑、手机需要连网，还有越来越多的智能设备。例如，摄像头、网络电视、智能插座、智能烤箱等也同样接入了家庭网络。因此，路由器这个网络入口设备的安全性就显得尤其重要。一旦路由器存在安全漏洞被黑客攻破，家里的其他设备就会更容易被监听、劫持，甚至长期植入后门。

如今，路由器市场竞争激烈，很多传统大品牌大厂商都推出了自己的产品，主流的品牌非常多。我们希望能用自己的技术积累，对各大知名品牌路由器的安全性做一些分析和对比。尽可能多、尽可能早地去发现问题，从而来提醒消费者和厂商。一方面，想引起路由器厂商的重视，推动他们在安全方面投入更多的努力。另一方面，让消费者理解安全的重要性，提高对安全的诉求。

现如今在PC、浏览器等的漏洞挖掘都已经进入了“very-hard”模式时，想完成一次此类的攻击通常都需要几个精巧的漏洞的巧妙组合。然而现在的”IOT设备”基本是10年前PC的安全水平吧。更确切的话，我们有一位小伙伴曾经讲过一个非常精髓的话:”感觉现在做所谓的‘IOT设备’的还是处在设计的时候不考虑任何潜在的安全问题的状态,劝都劝不动”。所以现在市面上的各种智能硬件从设计上对安全的考虑还是要再学习一个。

Q6

小编：这些路由器被破解后，后续发生了什么？厂商有找你们吗？说说后续可能的“金钱诱惑”吧？

赵汉青：大部分厂家其实是非常友好的，例如华为、极路由等厂家都非常重视这些安全问题,其中大部分的厂家都积极的与我们取得联系,在我们向厂家披露后也进行了积极的修复工作，之后对我们表示了感谢。还有像华为还非常好心的帮我们申请了CVE编号，确实是良心厂商。

对于”金钱诱惑”是没有这种事情的，因为我们研究的初衷就是让厂商和大众能看到这些问题，一起联合起来去改善这个现状。所以我们从来都是只协助厂家修复漏洞，不做过分的披露。

Q7

小编：吃瓜群众最好奇的是，路由器破解了之后会有哪些后果？能否举例一些具体场景和案例？比如，要追一个妹子，可以通过破解她家的路由器了解她的各种喜好吗？

赵汉青：

上图是我们研究的一款我们可直接访问到的有安全问题的路由在2016年5月左右在全球的分布情况。这个数字大约接近5万，也就是说凭着一个路由的漏洞我们就可以构建一个规模如此巨大的僵尸网络，不说接管所有用户的流量使得用户的隐私受到侵犯。如果有不法分子利用其做DDOS之类的攻击，后果是非常之严重的。

其实当对一个路由发起远程攻击并获取最高权限以后,就完全接管了这个路由的一些，从这个路由中走的所有流量都会被接管，你不仅可以了解到一个平常都在看什么网站，用什么App，甚至一些敏感的私人信息，比如账号名、甚至有可能是密码都是有可能知道的。甚至可以让使用这个路由上网的人在访问正常网站时被导向钓鱼网站。所以如果大家有这种担心的话，平时还是要注意不要将自己的路由暴露在公网上。在公共场合也最好不要连入陌生的、免费wifi之类的上网，这都是同样不安全的。当然对于追一个女孩儿的话,建议大家不要去搞这种奇奇怪怪的东西，还是用心好好交流体会陪伴比较好。

Q8

小编：除了你们的破解路径，还有别的主流破解路径可以说说吗？

赵汉青：在这里我们总结了一个hack一台智能设备大约需要的过程。

1.当然是买一个

2.去搜寻它的固件(官网下载或者直接抓取更新链接)

3.最好能得到一个可以用的shell以便搜集信息

4.找寻攻击面

5.逆向分析或者像openwrt之类的会有一些脚本我们可以审计

6.写利用代码

那么还有其他的一些途径来入侵一台路由，比如，路由的加密采用的是WEP这种易于破解的，就可以通过一些暴力手段来加入一台wi-fi路由，之后再进一步做一些其他的事情。

Q9

小编：事实上，没有什么技术基础的吃瓜群众可以在听了你的讲座后破解一款路由器吗？有壁垒吗？

（编辑：PHP编程网 - 黄冈站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!