OK，又是周末晚上，没有约会，只有一大瓶Shasta汽水和全是快节奏的音乐…那就研究一下程序吧。 一时兴起，我下载了D-link无线路由器(型号：DIR-100 revA)的固件程序 v1.13。使用工具Binwalk，很快的就从中发现并提取出一个只读SquashFS文件系统，没用多大功夫我就将这个固件程序的web server(/bin/webs)加载到了IDA中： [img]http://files.jb51.net/file_images/article/201310/22075604_03YD.png[/img] /bin/webs中的字符信息 基于上面的字符信息可以看出，这个/bin/webs二进制程序是一个修改版的thttpd，提供路由器管理员界面操作功能。看起来是经过了台湾明泰科技(D-Link的一个子公司)的修改。他们甚至很有心计的将他们很多自定义的函数名都辅以“alpha”前缀： [img]http://files.jb51.net/file_images/article/201310/22075604_irrl.png[/img] 明泰科技的自定义函数 这个[b]alpha_auth_check[/b]函数看起来很有意思！ 这个函数被很多地方调用，最明显的一个是来自[b]alpha_httpd_parse_request[/b]函数： [img]http://files.jb51.net/file_images/article/201310/22075604_iHn7.png[/img] 调用alpha_auth_check函数 我们可以看到[b]alpha_auth_check[/b]函数接收一个参数(是存放在寄存器$s2里)；如果[b]alpha_auth_check[/b]返回-1(0xFFFFFFFF)，程序将会跳到[b]alpha_httpd_parse_request[/b]的结尾处，否则，它将继续处理请求。 寄存器$s2在被[b]alpha_auth_check[/b]函数使用前的一些操作代码显示，它是一个指向一个数据结构体的指针，里面有一个char*指针，会指向从HTTP请求里接收到的各种数据；比如HTTP头信息和请求地址URL： [img]http://files.jb51.net/file_images/article/201310/22075605_bgtG.png[/img] $s2是一个指向一个数据结构体的指针 我们现在可以模拟出[b]alpha_auth_check[/b]函数和数据结构体的大概样子：

struct http_request_t{ char unknown[0xB8]; char *url; // At offset 0xB8 into the data structure};int alpha_auth_check(struct http_request_t *request);

[b]alpha_auth_check[/b]本身是一个非常简单的函数。它会针对[b]http_request_t[/b]结构体里的一些指针进行字符串[b]strcmp[/b]比较操作，然后调用[b]check_login[/b]函数，实际上就是身份验证检查。如果一旦有字符串比较成功或[b]check_login[/b]成功，它会返回1；否者，它会重定向浏览器到登录页，返回-1; [img]http://files.jb51.net/file_images/article/201310/22075605_kSWw.png[/img] alpha_auth_check函数代码片段 这些字符串比较过程看起来非常有趣。它们提取请求的URL地址(在[b]http_request_t[/b]数据结构体的偏移量0xB8处)，检查它们是否含有字符串“graphic/” 或 “public/”。这些都是位于路由器的Web目录下的公开子目录，如果请求地址包含这样的字符串，这些请求就可以不经身份认证就能执行。 然而，这最后一个strcmp却是相当的吸引眼球： [img]http://files.jb51.net/file_images/article/201310/22075605_Sr2i.png[/img] alpha_auth_check函数中一个非常有趣的字符串比较 这个操作是将[b]http_request_t[/b]结构体中偏移量0xD0的字符串指针和字符串“xmlset_roodkcableoj28840ybtide”比较，如果字符匹配，就会跳过[b]check_login[/b]函数，[b]alpha_auth_check[/b]操作返回1(认证通过)。 我在谷歌上搜索了一下“xmlset_roodkcableoj28840ybtide”字符串，只发现在一个俄罗斯论坛里提到过它，说这是一个在/bin/webs里一个“非常有趣”的一行。我非常同意。 那么，这个神秘的字符串究竟是和什么东西进行比较？如果回顾一下调用路径，我们会发现[b]http_request_t[/b]结构体被传进了好几个函数： [img]http://files.jb51.net/file_images/article/201310/22075605_7d16.png[/img] 事实证明，[b]http_request_t[/b]结构体中处在偏移量 0xD0处的指针是由[b]httpd_parse_request[/b]函数赋值的： [img]http://files.jb51.net/file_images/article/201310/22075605_4OeD.png[/img] 检查HTTP头信息中的User-Agent值 [img]http://files.jb51.net/file_images/article/201310/22075605_LlHH.png[/img] 将http_request_t + 0xD0指针指向头信息User-Agent字符串 这代码实际上就是：

if(strstr(header, "User-Agent:") != NULL){ http_request_t->0xD0 = header + strlen("User-Agent:") + strspn(header, " \t");}

知道了[b]http_request_t[/b]偏移量0xD0处的指针指向User-Agent头信息，我们可以推测出[b]alpha_auth_check[/b]函数的结构：

#define AUTH_OK 1#define AUTH_FAIL -1int alpha_auth_check(struct http_request_t *request){ if(strstr(request->url, "graphic/") || strstr(request->url, "public/") || strcmp(request->user_agent, "xmlset_roodkcableoj28840ybtide") == 0) { return AUTH_OK; } else { // These arguments are probably user/pass or session info if(check_login(request->0xC, request->0xE0) != 0) { return AUTH_OK; } } return AUTH_FAIL;}

换句话说，如果浏览器的User-Agent值是 “xmlset_roodkcableoj28840ybtide”(不带引号)，你就可以不经任何认证而能访问web控制界面，能够查看/修改路由器的 设置(下面是D-Link路由器(DI-524UP)的截图，我没有 DIR-100型号的，但DI-524UP型号使用的是相同的固件)： [img]http://files.jb51.net/file_images/article/201310/22075605_W9Op.png[/img] 访问型号DI-524UP路由器的主界面 基于HTML页上的源代码信息和Shodan搜索结果，差不多可以得出这样的结论：下面的这些型号的D-Link路由器将会受到影响： [list] [*]DIR-100 [/*][*]DI-524 [/*][*]DI-524UP [/*][*]DI-604S [/*][*]DI-604UP [/*][*]DI-604+ [/*][*]TM-G5240 [/*][/list] 除此之外，几款Planex路由器显然也是用的同样的固件程序： [list] [*]BRL-04UR [/*][*]BRL-04CW [/*][/list] 你很酷呀，D-Link。 [b]脚注：[/b]万 能的网友指出，字符串“xmlset_roodkcableoj28840ybtide”是一个倒序文，反过来读就是 “editby04882joelbackdoor_teslmx”——edit by 04882joel backdoor _teslmx，这个后门的作者真是位天才！