磊科(NetCore)全系列路由器中的“疑似后门”程序
看近年来的路由器后门,多数是内置了超级密码,可直接登录路由管理后台,或是后台开启了FTP,可以任意文件上传下载等,再有就是存在一些很明显的“漏洞”,这些勉强也说得过去。但如果直接监听端口,可以执行命令上传下载文件,那就有点太说不过去了……这些功能是不是有点过了呢?
过程描述
磊科(NetCore)路由器中内置了一个叫做IGDMPTD的程序,按照它的描述应该是IGD MPT Interface daemon 1.0。该程序会随路由器启动,并在公网上开放端口,***者可以执行任意系统命令、上传下载文件,控制路由器。
一切的开始源自于今年8月份买了一个磊科(NetCore)家用路由器。随后发现IGDMPTD,并做了测试工具验证。
Google后发现在今年8月25日,趋势科技的研究员Tim Yeh发表文章描述了这个”疑似后门”的IGDMPTD,并报告厂商。
http://blog.trendmicro.com/trendlabs-security-intelligence/netis-routers-leave-wide-open-backdoor/
随后在今年10月3日Tim Yeh再次发表文章,指出磊科官方并未完全删掉这个”后门程序”。
http://blog.trendmicro.com/trendlabs-security-intelligence/netis-router-backdoor-patched-but-not-really/
随后我在京东购买两款 NW774路由器,并安装官方最新升级固件(2014-11-7日更新),发现使用8月份编写的测试工具不需修改仍可正常使用。
废话不多说先看看这个”IGDMPTD”都能干嘛。
先拿我自己的路由器来测试一下。IGDMPTD的第一项功能就是可以执行Command。如下图所示,至于能执行哪些命令,这取决于路由器系统中busybox的阉割程度。
第二项功能就是可以上传/下载文件。同样的,能否成功取决于目录是否可写。
第三项功能是IGDMPTD内置了很多功能函数,具体功能和版本相关,下图是我使用的路由器版本提供的MPT功能。
我尝试了几款不同型号的路由器和不同版本的固件,新版本中基本全都提供了上图中的功能,在老版本中可能没有提供这么多 MPT功能,常用的有$WritieMac、$ReadMac、$ReadSsid、$WriteSsid、$ReadRegDomain、$WriteRegDomain、$TestUsb、$SetSsid、$GetSsid。
注意看$ReadWwwPasswd这条指令,可以获取路由器WEB登录密码,下图中的guest就是我路由器管理员登录密码。相比之下,DLink内置一个万能密码来登录路由管理页面简直弱爆了。
以上测试环境是内网。如果这个端口只是开在内网,那就没什么问题了,方便调试和维护路由器。但可怕的是IGDMPTD监听的IP地址是INADDR_ANY,,意味着这个端口将暴漏在公网上。为了验证该程序的危害,我用nmap随便扫了几个IP,并下载了/etc/passwd文件。
到这里相信大家已经见识到IGDMPTD的可怕之处了。希望官方能给大众一个合理的解释,我相信这是开发人员为了方便调试设备留下的程序,只是不小心将IP绑定在了公网。
IGDMPTD分析
/bin目录下存在一个”功能强大”的可执行文件igdmptd,该程序会随路由器启动,并监听端口,通过逆向分析发现其提供了任意命令执行、内置功能、文件上传下载功能。
程序运行环境为MIPS(Big Endian)。将igdmptd拖进IDA可自动识别,将程序解析为mips汇编指令。
create_server函数中创建了udp的socket网络连接,并绑定53413端口,sockAddr.sin_addr设置为INADDR_ANY,意味着53413端口将暴漏在公网。在netcore各路由器中几乎都是使用该端口,若被***者利用,后果不堪设想。
通过IDA静态分析可以发现几个比较有特点的函数。这也是igdmptd的主要工作函数,igdmptd的可怕之处就在于这几个函数。
do_mptlogin是登录验证函数。
验证通过会将登陆状态保存在全局变量中,第二次发包时就会绕过口令验证部分。也就是说,只要igdmptd被人成功连接一次, 后来者可直接发包使用igdmptd的其他功能,除非路由器重启,全局变量重置。
do_syscmd 用于执行系统命令。
do_getfile 可以从路由器下载任意文件到本地。
do_putfile 可以上传任意文件到路由器。
do_mptfun 提供一些常用功能,比如
另外宽带通这些宽带厂商与磊科合作出产的路由器也存在这些问题
基本就是这些内容了,测试工具已销毁。
[原作者/h4ckmp(冰山代发),原帖地址:http://www.weibo.com/p/1001603792736686871336,作者独立观点,51CTO不做任何形式背书。
转载于:https://blog.51cto.com/bingshan/1598139
磊科(NetCore)全系列路由器中的“疑似后门”程序相关推荐
- 当前发布的sku信息中包含疑似与商品无关的字段,请核实修改后重新提交
问题:"商品规则校验出错,原因: 您当前发布的sku信息中包含疑似与商品无关的字段,请核实修改后重新提交发布." 问题分析:根据淘宝返回来的错误提示,可以大 ...
- UICC 之 USIM 详解全系列——UICC中的Apps与Files结构
本人就职于国际知名终端厂商,负责modem芯片研发. 在5G早期负责终端数据业务层.核心网相关的开发工作,目前牵头6G算力网络技术标准研究. 文章目录 UICC中的Apps与Files结构 一.UIC ...
- 网件rax40可以刷梅林_美国网件发布全系列Wi-Fi6家用无线路由器,部署未来家用产品市场...
5月25日,美国网件在深圳海上世界文化艺术中心发布全线WiFi 6产品,即RAX40.RAX80.RAX120.RAX200四款产品,重新布局WiFi市场,理论速度远远超出大多数家庭互联网连接所能提供 ...
- 运维分级发布_华为杨超斌发布面向“1+N”目标网的5G全系列解决方案
2020全球移动宽带论坛期间,华为无线网络产品线总裁杨超斌提出面向未来的"1+N"5G目标网,并发布了支撑"1+N"的5G全系列解决方案,构筑5G极简网络.杨超 ...
- Cisco系列路由器密码恢复研究与实践
密码恢复原理 (1)Cisco路由器保存了几种不同的配置参数,并存放在不同的内存模块中.Cisco系列路由器的内存有:ROM,闪存(Flash memory),RAM,不可变RAM和动态内存(DRAM ...
- 使用路由器中碰到的问题总结
路由器问题 1.什么时候使用多路由协议? 当两种不同的路由协议要交换路由信息时,就要用到多路由协议.当然,路由再分配也可以交换路由信息.下列情况不必使用多路由协议: 从老版本的内部网关协议( Inte ...
- STM32的全系列MCU的ID号的地址及读取方法
在STM32的全系列MCU中均有一个96位的唯一设备标识符.在ST的相关资料中,对其功能的描述有3各方面: 用作序列号(例如 USB 字符串序列号或其它终端应用程序) 在对内部 Flash 进行编程前 ...
- Cisco 3800系列路由器硬件故障排除
说明:本文提供的是对思科设备的定制分析 简介 预备知识 要求 所用的组件 惯例 硬件-软件兼容性与内存要求 错误信息 Cisco 3800 系列路由器故障排除 启动顺序 模块与卡 NM−1T3/E3安 ...
- H3CMSR 系列路由器限速配置
1 配置需求或说明 1.1 适用产品系列 本手册适用于如下产品:MSR 全系列路由器 1.2 配置需求及实现的效果 MSR路由器G0/0接口连接公网,G0/1接口连接内网,内网网关地址为MSR路由器V ...
最新文章
- 【Oracle Database】数据库用户管理
- 更改hostname后vnc无法进入图形界面
- 不积跬步无以至千里[转]
- VTK:可视化算法之FireFlow
- 实体类(VO,DO,DTO)的划分
- java工具类下载_java文件下载工具类
- L1-004.计算摄氏温度
- STL之stack容器
- 人工智能撰稿将代替人工写作?我们拭目以待
- python 批量视频转换成图片
- matlab中二维图plot,semilogx,semilogy,semilogy之间的作图区别
- DES加密解密base64转码和iphone平台一致结果
- 班级网页制作 HTML个人网页设计 我的班级网站设计与实现 大学生简单班级静态HTML网页设计作品 DIV布局班级网页模板代码 DW学生校园网站制作成品下载
- Docer实现Django Uwsgi部署
- 相聚“矿业之都”,2020全球区块链算力大会金句集锦正式出炉
- 电子商务系统数据库设计(一)
- 《做最好的员工》第一章:好员工才会成功
- 鸡头?凤尾?请过来人给指点下
- iMeta视频教程 | 代谢物溯源/微生物组与代谢组整合分析软件MetOrigin
- 自身气力没法胜利 腾讯分拆电商