ChaMd5安全团队《物联网漏洞挖掘与利用》来了！

Contents目　　录

本书赞誉

前言

第1章　IoT测试环境搭建1

1.1　硬件测试工具1

1.1.1　万用表1

1.1.2　逻辑分析仪2

1.1.3　热风枪2

1.1.4　USB-TTL2

1.1.5　Jlink2

1.1.6　FipperZero3

1.2　测试软件的安装3

1.2.1　VMware3

1.2.2　Ubuntu6

1.2.3　Binwalk9

1.2.4　QEMU11

1.2.5　Ghidra12

第2章　硬件协议介绍15

2.1　UART协议15

2.2　SPI协议17

2.3　I2C协议18

2.4　JTAG协议20

2.5　CAN协议20

第3章　常见的IoT协议及漏洞

　　　　实例22

3.1　常见的IoT协议22

3.1.1　HTTP22

3.1.2　UPnP和SSDP 23

3.1.3　SNMP23

3.1.4　RTSP 24

3.1.5　MQTT协议24

3.2　协议漏洞实例24

3.2.1　Vivotek摄像头HTTP缓冲

　　　区溢出漏洞24

3.2.2　NETGEAR路由器SSDP

　　　缓冲区溢出漏洞32

第4章　固件获取37

4.1　固件的概念37

4.2　固件获取方式38

4.2.1　从互联网上获取固件38

4.2.2　从升级接口中获取固件39

4.2.3　从历史漏洞中获取固件41

4.2.4　使用编程器读取固件42

4.2.5　从串口中获取固件44

4.3　固件模拟47

4.3.1　使用QEMU进行固件模拟47

4.3.2　使用EMUX进行固件模拟55

4.3.3　使用官方自带的虚拟机进行

　　　固件模拟57

4.3.4　使用Firmae工具进行固件

　　　模拟58

4.3.5　使用FAP工具进行固件模拟60

第5章　固件加解密62

5.1　固件加密发布模式62

5.1.1　情况一62

5.1.2　情况二62

5.1.3　情况三63

5.2　利用过渡版本解密固件64

5.2.1　官网分析固件发布说明64

5.2.2　利用过渡版本解密固件64

5.2.3　提取解密后的固件68

5.3　解密弱加密固件70

5.3.1　分析固件70

5.3.2　猜测加密算法并解密72

5.3.3　提取解密后的固件72

第6章　常见的固件文件系统74

6.1　常见的文件系统类型74

6.1.1　YAFFS类型的文件系统76

6.1.2　UBIFS类型的文件系统76

6.1.3　JFFS类型的文件系统77

6.1.4　SquashFS类型的文件系统77

6.1.5　基于块设备的文件系统78

6.2　文件系统的特征79

6.2.1　分析文件系统79

6.2.2　提取固件中的文件系统91

6.3　固件重打包101

6.3.1　固件分析、校验与打包102

6.3.2　后门植入109

6.3.3　嵌入式设备重打包111

第7章　常见的中间件112

7.1　常见的Web服务器   112

7.1.1　GoAhead 112

7.1.2　mini_httpd 118

7.1.3　Boa 123

7.2　基址恢复129

7.2.1　分析头部初始化代码恢复

　　　固件加载基址129

7.2.2　根据绝对地址恢复固件加

　　　载基址131

7.2.3　根据字符串偏移恢复固件

　　　加载基址133

7.3　符号恢复135

7.3.1　基于符号表的符号恢复136

7.3.2　基于签名文件或比对的

　　　符号恢复139

7.3.3　基于LLM的符号恢复140

第8章　常见的漏洞类型及利用

　　　　方式141

8.1　环境初始化搭建141

8.1.1　DrayTek Vigor 2960服务

　　　模拟141

8.1.2　FortiGate VM 7.2.1固件

　　　提取及环境仿真150

8.2　逻辑漏洞157

8.2.1　CLI认证绕过漏洞157

8.2.2　路径穿越导致的任意文件

　　　读取漏洞162

8.3　命令注入漏洞166

8.3.1　TOTOLink NR1800X命令

　　　注入漏洞167

8.3.2　OpModeCfg命令注入漏洞172

8.3.3　UploadFirmwareFile命令

　　　注入漏洞174

8.4　缓冲区溢出漏洞175

8.4.1　堆溢出漏洞175

8.4.2　栈溢出漏洞181

8.5　格式化字符串漏洞184

第9章　自动化漏洞挖掘186

9.1　模糊测试186

9.1.1　技术原理介绍187

9.1.2　HTTP报文种子获取189

9.1.3　多种类型的漏洞触发监控

　　　方案191

9.1.4　实战应用192

9.2　污点分析193

9.2.1　技术原理介绍194

9.2.2　实战应用195

9.3　基于图查询的静态漏洞挖掘198

9.3.1　技术原理介绍198

9.3.2　实战应用198

第10章　网络设备漏洞挖掘实例202

10.1　Cisco RV340路由器命令执行

　　　漏洞分析202

10.2　Netgear R8300路由器栈溢出

　　　漏洞分析214

10.3　TPLink WPA8630命令注入

　　　漏洞分析222

10.4　华硕AC3200路由器固件结

　　　构研究229

第11章　车联网235

11.1　电子电气架构设计235

11.2　车联网电子控制单元237

11.3　车联网攻击面239

第12章　固件中的信息收集242

12.1　固件信息收集工具242

12.1.1　Firmware-mod-kit 242

12.1.2　Firmwalker 243

12.1.3　FwAnalyzer243

12.1.4　EMBA244

12.1.5　FACT245

12.1.6　Linux系统工具245

12.1.7　逆向分析工具247

12.1.8　文件系统操作工具248

12.2　固件信息收集方法248

12.2.1　芯片信息收集和调试接口249

12.2.2　固件获取的常用方式257

12.2.3　文件系统264

12.2.4　HTTP服务266

12.3　固件中的关键信息268

第13章　维持272

13.1　使用MSF反弹shell272

13.1.1　paylaod生成272

13.1.2　获取shell274

13.2　制作稳定后门275

13.2.1　使用Go语言进行反弹shell275

13.2.2　使用Go语言进行代理转发282

13.2.3　使用Go语言进行shell维持287

13.2.4　端口复用288

13.2.5　预埋后门与固件重打包291

第14章　藏匿300

14.1　进程隐藏300

14.1.1　Linux进程查询原理300

14.1.2　基础级进程隐藏303

14.1.3　应用级进程隐藏305

14.1.4　内核级进程隐藏308

14.2　权限控制312

14.2.1　Webshell313

14.2.2　用户级权限控制314

14.3　实例讲解315

14.3.1　Cisco IOS XE Webshell

　　  　后门315

14.3.2　高隐蔽级Rootkit实现319

第15章　物联网工控安全——攻击

　　　  　事件模拟322

15.1　摄像头引起的工控攻击事件322

15.1.1　物联网设备资产扫描及

　　 　分析322

15.1.2　摄像头漏洞利用与钓鱼

　　 　攻击324

15.1.3　内网代理与横向扫描330

15.1.4　漏洞利用与权限提升332

15.1.5　PLC系统攻击337

15.2　防火墙漏洞与敏感数据泄露342

15.2.1　防火墙漏洞的发现与

　　　  利用342

15.2.2　内网扫描与路由器漏洞

　　 　利用347

15.2.3　内网添加路由350

15.2.4　敏感数据窃取352