第1篇 路由器漏洞基礎知識
第1章 基礎准備與工具2
1.1 路由器漏洞的分類2
1.1.1 路由器密碼破解漏洞3
1.1.2 路由器Web漏洞4
1.1.3 路由器后門漏洞5
1.1.4 路由器溢出漏洞6
1.2 路由器系統的基礎知識和工具6
1.2.1 MIPSLinux7
1.2.2 BusyBox命令7
1.2.3 文本編輯器18
1.2.4 編譯工具GCC24
1.2.5 調試工具GDB26
1.3 MIPS匯編語言基礎28
1.3.1 寄存器28
1.3.2 字節序30
1.3.3 MIPS尋址方式31
1.3.4 MIPS指令集32
1.4 HTTP協議38
1.4.1 HTTP協議請求行38
1.4.2 HTTP協議消息報頭40
1.4.3 HTTP協議請求正文42
第2章 必備軟件和環境43
2.1 路由器漏洞分析必備軟件43
2.1.1 VMware的安裝和使用43
2.1.2 Python的安裝48
2.1.3 在Linux下安裝IDAPro50
2.1.4 IDA的MIPS插件和腳本52
2.2 路由器漏洞分析環境55
2.2.1 固件分析利器Binwalk的安裝55
2.2.2 Binwalk的基本命令56
2.2.3 QEMU和MIPS59
第3章 路由器漏洞分析高級技能71
3.1 修復路由器程序運行環境71
3.1.1 固件分析71
3.1.2 編寫劫持函數動態庫72
3.1.3 運行測試74
3.2 Linux下IDA的反匯編與調試78
3.2.1 靜態反匯編78
3.2.2 動態調試80
3.3 IDA腳本基礎87
3.3.1 執行腳本87
3.3.2 IDC語言88
3.3.3 IDAPython104
3.4 Python編程基礎106
3.4.1 第一個Python程序107
3.4.2 Python網絡編程107
第2篇 路由器漏洞原理與利用
第4章 路由器Web漏洞112
4.1 XSS漏洞112
4.1.1 XSS簡介112
4.1.2 路由器XSS漏洞112
4.2 CSRF漏洞113
4.2.1 CSRF簡介113
4.2.2 路由器CSRF漏洞113
4.3 基礎認證漏洞114
4.3.1 基礎認證漏洞簡介114
4.3.2 路由器基礎認證漏洞115
第5章 路由器后門漏洞116
5.1 關於路由器后門116
5.2 路由器后門事件116
5.2.1 D—Link路由器后門漏洞117
5.2.2 LinksysTheMoon蠕蟲117
5.2.3 NETGEAR路由器后門漏洞117
5.2.4 Cisco路由器遠程特權提升漏洞118
5.2.5 Tenda路由器后門漏洞118
5.2.6 磊科全系列路由器后門118
第6章 路由器溢出漏洞119
6.1 MIPS堆棧的原理119
6.1.1 MIPS32架構堆棧119
6.1.2 函數調用的棧布局120
6.1.3 利用緩沖區溢出的可行性124
6.2 MIPS緩沖區溢出128
6.2.1 Crash128
6.2.2 劫持執行流程130
6.3 MIPS緩沖區溢出利用實踐134
6.3.1 漏洞攻擊組成部分134
6.3.2 漏洞利用開發過程139
第7章 基於MIPS的Shellcode開發147
7.1 MIPSLinux系統調用147
7.1.1 write系統調用149
7.1.2 execve系統調用153
7.2 Shellcode編碼優化156
7.2.1 指令優化156
7.2.2 Shellcode編碼158
7.3 通用Shellcode開發164
7.3.1 rebootShellcode164
7.3.2 reverse_tcpShellcode166
7.4 Shellcode應用實例173
7.4.1 劫持PC和確定偏移173
7.4.2 確定攻擊途徑173
7.4.3 構建漏洞攻擊數據175
7.4.4 漏洞測試177
第3篇 路由器漏洞實例分析與利用——軟件篇
第8章 路由器文件系統與提取180
8.1 路由器文件系統180
8.1.1 路由器固件180
8.1.2 文件系統181
8.2 手動提取文件系統182
8.2.1 查看文件類型182
8.2.2 手動判斷文件類型184
8.2.3 手動提取文件系統186
8.3 自動提取文件系統189
8.3.1 Binwalk智能固件掃描189
8.3.2 Binwalk的提取與分析191
8.4 Binwalk用法進階194
8.4.1 基於magic簽名文件自動提取194
8.4.2 基於Binwalk的配置文件提取199
第9章 漏洞分析簡介201
9.1 漏洞分析概述201
9.2 漏洞分析方法201
第10章 D—LinkDIR—815路由器多次溢出漏洞分析203
10.1 漏洞介紹203
10.2 漏洞分析204
10.2.1 固件分析204
10.2.2 漏洞成因分析205
10.3 漏洞利用216
10.3.1 漏洞利用方式:System/Exec216
10.3.2 繞過0構造ROPChain218
10.3.3 生成POC221
10.4 漏洞測試225
第11章 D—LinkDIR—645路由器溢出漏洞分析227
11.1 漏洞介紹227
11.2 漏洞分析229
11.2.1 固件分析229
11.2.2 漏洞成因分析229
11.3 漏洞利用238
11.3.1 漏洞利用方式:System/Exec239
11.3.2 生成POC240
11.4 漏洞測試243
第12章 D—LinkDIR—505便攜路由器越界漏洞分析244
12.1 漏洞介紹244
12.2 漏洞分析246
12.2.1 固件分析246
12.2.2 漏洞成因分析247
12.3 漏洞利用251
12.3.1 漏洞利用方式:System/Exec251
12.3.2 構造ROPChain252
12.3.3 生成POC253
12.4 漏洞測試255
第13章 LinksysWRT54G路由器溢出漏洞分析—運行環境修復257
13.1 漏洞介紹257
13.2 漏洞分析258
13.2.1 固件分析258
13.2.2 修復運行環境259
13.2.3 漏洞成因分析265
13.3 漏洞利用267
13.3.1 漏洞利用方式:執行Shellcode267
13.3.2 生成POC269
13.4 漏洞測試271
第14章 磊科全系列路由器后門漏洞分析273
14.1 漏洞介紹273
14.2 漏洞分析274
14.2.1 固件分析274
14.2.2 漏洞成因分析275
14.3 漏洞利用281
14.4 漏洞測試283
第15章 D—LinkDIR—600M路由器Web漏洞分析286
15.1 漏洞介紹286
15.2 漏洞分析286
15.2.1 權限認證分析287
15.2.2 數據提交分析288
15.3 漏洞利用288
15.4 漏洞統計分析290
15.4.1 ZoomEye簡介291
15.4.2 ZoomEye應用實例291
15.4.3 小結295
