Change background image
LOVE quotion

Bắt đầu từ 4.53' thứ Hai ngày 17/10/2011


You are not connected. Please login or register

Xem chủ đề cũ hơn Xem chủ đề mới hơn Go down  Thông điệp [Trang 1 trong tổng số 1 trang]

DuyHung
DuyHung Xuất sắc

Cấp bậc: Xuất sắc

Giới tính : Nam

Bài viết : 1272

Danh vọng : 2284

Uy tín : 32

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE

Phải chăng chỉ nguy hiểm với các router Trung Quốc?:

whitehat.vn - Gần 20 mẫu router được chế tạo bởi TotoLink mắc nhiều lỗi thực thi mã từ xa, các lỗ hổng XSS lẫn CSRF và chứa cả backdoor.

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE Whiteh10

Lỗi thực thi mã từ xa ảnh hưởng đến 15 sản phẩm khác nhau, trong số đó có những sản phẩm có firmware cập nhật từ năm 2009. Lỗi RCE cho phép tin tặc vượt qua cơ chế xác thực quản trị của router bằng truy vấn HTTP và truy vấn DHCP. 

Pierre Kim (피에르), một trong những nhà nghiên cứu phát hiện tình trạng này, cho biết những lỗ hổng này có thể được sử dụng để viết đè firmware của router bằng firmware chứa backdoor của hacker.

Kim và nhà nghiên cứu Alexandre Torres, đã đưa ra những tư vấn cùng một đoạn mã minh chứng cụ thể (proof of concept) cho những lỗ hổng này vào hôm thứ Năm 16/07/2015.

Cũng theo phát hiện của Kim và Torres, gần 50.000 bộ định tuyến bị ảnh hưởng bởi một backdoor tồn tại trên 8 mẫu router TotoLink. Hai nhà nghiên cứu đã kiểm tra sự tồn tại của backdoor này trên các router đang được sử dụng thực tế.

At least 8 TOTOLINK products are affected (firmwares come from totolink.net and from totolink.cn):

A850R-V1 : until last firwmware TOTOLINK-A850R-V1.0.1-B20150707.1612.web
F1-V2 : until last firmware F1-V2.1.1-B20150708.1646.web
F2-V1 : until last firmware F2-V2.1.0-B20150320.1611.web
N150RT-V2 : until last firmware TOTOLINK-N150RT-V2.1.1-B20150708.1548.web
N151RT-V2 : until last firmware TOTOLINK-N151RT-V2.1.1-B20150708.1559.web
N300RH-V2 : until last firmware TOTOLINK-N300RH-V2.0.1-B20150708.1625.web
N300RH-V3 : until last firmware TOTOLINK-N300RH-V3.0.0-B20150331.0858.web
N300RT-V2 : until last firmware TOTOLINK-N300RT-V2.1.1-B20150708.1613.web

Backdoor này có thể trao cho bất kì kẻ tấn công nào trong mạng LAN đặc quyền root đơn giản chỉ bằng cách thực hiện một vài dòng lệnh và sử dụng cài đặt mặc định là những tin tặc dễ dàng lấy được các mật khẩu. 

Không chỉ vậy, trên những router do TotoLink sản xuất như iPuppy, iPuppy3, N100RE và N200RE tồn tại các lỗ hổng dễ bị tấn công CRSF và XSS. Nguy cơ tấn công chủ yếu xuất phát từ thực tế cơ chế xác thực ở chế độ tắt mặc định. Điều đó có nghĩa là những kẻ tấn công có thể truy cập cấu hình và thiết lập router từ bên trong mạng LAN. Từ đó, chúng có thể thay đổi cấu hình DNS, nâng cấp firmware, thay đổi cấu hình mạng không dây Wi-fi và còn hơn thế nữa.

TotoLink đã cập nhật firmware cho hơn mười bộ định tuyến khác nhau vào thứ Hai 13/07/2015. Trong khi đó, hai chuyên gia này cho biết công ty này đã âm thầm sửa lỗi HTTP RCE trong các bộ định tuyến mã A2004NS và EX750. Tuy nhiên, tình trạng này trong nhiều bộ định tuyến khác vẫn còn bỏ ngỏ.

Hiện chưa rõ khi nào TotoLink có kế hoạch giải quyết triệt để các vấn đề nêu trên. Cả Kim và Torres cho biết họ không liên lạc với TotoLink một phần bởi công ty này sử dụng một số đoạn mã mà họ gọi là "unethical code (đoạn mã phi đạo đức)".

      
DuyHung
DuyHung Xuất sắc

Cấp bậc: Xuất sắc

Giới tính : Nam

Bài viết : 1272

Danh vọng : 2284

Uy tín : 32

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE Totoli10

Totolink có đúng là thương hiệu của Hàn Quốc hay không cho đến nay người dùng Việt Nam vẫn chưa có được thông tin chính xác. Nhưng Pierre Kim chắc chắn là nhà nghiên cứu người Hàn Quốc đã phát hiện ra những lỗ hổng bảo mật của TotolinkiLinks cũng như các dòng sản phẩm của ipTIME.

TotoLink.net đã tiếp tục cập nhật firmware cho 18 bộ định tuyến để khắc phục lỗi bảo mật vào Thứ Bảy ngày 25/07/2015. Trong số này có những bộ định tuyến do CTY TNHH CÔNG NGHỆ THÔNG TIN AN PHÁT cung cấp cho thị trường Việt Nam (bao gồm F1N151RT). Tuy nhiên, có vẻ AN PHÁT vẫn chưa hay biết gì nên firmware cung cấp cho bộ định tuyến của VNPTViettel vẫn còn nguyên ngày 18/06 và 26/06.

- Korea: N151RT-V2.1.1_20150725.zip, F1-V2.1.1_20150725.zip
- VNPT: N151RT V2.1.0-B20150618, F1 V2.1.0-B20151023
- Viettel: N151RT-Viettel V2.0.0-B20150710, F1-Viettel V2.1.0-B20150721 (cập nhật 09/8/2015)

Code:
Jul 24 15:09:41 klogd started: BusyBox v1.13.4 (2015-07-24 16:19:34 CST)
Jul 24 15:09:41 Realtek WLAN driver - version 1.6 (2013-02-21)(SVN:目录 未版本控制)
Jul 24 15:09:41 Adaptivity function - version 7.1
Jul 24 15:09:41 #######################################################
Jul 24 15:09:41 SKB_BUF_SIZE=2408 MAX_SKB_NUM=256
Jul 24 15:09:41 #######################################################
Jul 24 15:09:41 Probing RTL8186 10/100 NIC-kenel stack size order[3]...
Jul 24 15:09:41 chip name: 8196C, chip revid: 0
Jul 24 15:09:41 NOT YET
Jul 24 15:09:41 eth0 added. vid=9 Member port 0x10...
Jul 24 15:09:41 eth1 added. vid=8 Member port 0x1...
Jul 24 15:09:41 eth2 added. vid=9 Member port 0x8...
Jul 24 15:09:41 eth3 added. vid=9 Member port 0x4...
Jul 24 15:09:41 eth4 added. vid=9 Member port 0x2...
Jul 24 15:09:41 [peth0] added, mapping to [eth1]...
Jul 24 15:09:41 Realtek FastPath:v1.03
Jul 24 15:09:41 #######################################################
Jul 24 15:09:41   NUM_RX_PKTHDR_DESC= 428, eth_skb_free_num= 694
Jul 24 15:09:41 #######################################################
Jul 24 15:09:54 pppd[317]: RP-PPPoE plugin version 3.3 compiled against pppd 2.4.4
Jul 24 15:09:54 pppd[317]: pppd 2.4.4 started by root, uid 0
Jul 24 15:09:54 pppd[317]: PPP session is 44100
Jul 24 15:09:57 pppd[317]: Using interface ppp0
Jul 24 15:09:57 pppd[317]: Connect: ppp0 <--> eth1
Jul 24 15:09:57 pppd[317]: Warning - secret file /etc/ppp/pap-secrets has world and/or group access
Jul 24 15:09:59 wlan0-va0: A wireless client is associated - C0:F2:FB:53:79:C5
Jul 24 15:09:59 wlan0-va0: WPA2-AES PSK authentication in progress...
Jul 24 15:09:59 wlan0-va0: A wireless client is associated - C0:F2:FB:53:79:C5
Jul 24 15:09:59 wlan0-va0: Open and authenticated
Jul 24 15:10:00 pppd[317]: Warning - secret file /etc/ppp/pap-secrets has world and/or group access
Jul 24 15:10:00 pppd[317]: Remote message: Authentication OK,Welcome !
Jul 24 15:10:00 pppd[317]: PAP authentication succeeded
Jul 24 15:10:00 pppd[317]: peer from calling number 00:22:93:66:87:65 authorized
Jul 24 15:10:01 pppd[317]: local  IP address 171.233.248.178
Jul 24 15:10:01 pppd[317]: remote IP address 171.233.240.1
Jul 24 15:10:01 pppd[317]: primary   DNS address 203.113.188.1
Jul 24 15:10:01 pppd[317]: secondary DNS address 203.113.131.3
Jul 24 15:10:17 wlan0-va0: A wireless client is associated - 9C:04:EB:2F:7C:20
Jul 24 15:10:17 wlan0-va0: WPA2-AES PSK authentication in progress...
Jul 24 15:10:17 wlan0-va0: A wireless client is associated - 9C:04:EB:2F:7C:20
Jul 24 15:10:17 wlan0-va0: Open and authenticated
      
DuyHung
DuyHung Xuất sắc

Cấp bậc: Xuất sắc

Giới tính : Nam

Bài viết : 1272

Danh vọng : 2284

Uy tín : 32

Update

- Korea: N151RT-V2.1.3_20150911.zipF1-V2.2.0-20161029.zip
- VNPT vẫn còn cung cấp cho khách hàng router Totolink nhưng chưa có cập nhật gì mới.

Riêng Viettel đã bỏ Totolink nên An Phát cũng không còn hỗ trợ!

Extracting & Running Binary in TOTOLink - Viettel Internet Modem

Bài viết hôm nay sử dụng Modem TOTOLink được Viettel phân phối khi bạn đăng kí sử dụng Internet của hãng này.

Firmware Hà trung Hiếu sử dụng trong bài được download tại địa chỉ TOTOLINK-F1-V2.0.0-B20150721.1711.web. Link này mình kiếm trên Internet, mình không biết nó có phải Offical của hãng hay không đâu.

Binwalk quen thuộc để xem qua cấu trúc của file firmware này, liệu có signal nào khác biệt hay không. May mắn là firmware này không có bị thay đổi signal gì, nên binwalk dễ dàng nhận biết và cho ta một kết quả rất đẹp.

Code:
% binwalk TOTOLINK-F1-V2.0.0-B20150721.1711.web

DECIMAL       HEXADECIMAL     DESCRIPTION  
--------------------------------------------------------------------------------
16            0x10            bzip2 compressed data, block size = 900k  
268279        0x417F7         LZMA compressed data, properties: 0x88, dictionary size: 1048576 bytes, uncompressed size: 65535 bytes  
278058        0x43E2A         LZMA compressed data, properties: 0x5D, dictionary size: 8388608 bytes, uncompressed size: 3409580 bytes  
1264180       0x134A34        Squashfs filesystem, little endian, version 4.0, compression:lzma, size: 2079485 bytes, 570 inodes, blocksize: 131072 bytes, created: 1902-05-06 07:36:32  


Chúng ta thấy, có ba phần chính trong firmware này, từ các địa chỉ:


  • Từ 268279 (0x417F7) tới 278058 (0x43E2A) được nén lại bằng lzma
  • Từ 278058 (0x43E2A) tới 1264180 (0x134A34) được nén lại bằng lzma
  • Từ 1264180 (0x134A34) tới hết là file system định dạng Squashfs quá quen thuộc với các nền tảng nhúng.


Chúng ta cần phải extract từng thành phần này trong firmware này ra để tìm hiểu dần.

Code:
$ dd if=TOTOLINK-F1-V2.0.0-B20150721.1711.web bs=1 of=fs1.lzma skip=268279 count=`python -c 'print 0x43E2A-0x417F7'`

$ dd if=TOTOLINK-F1-V2.0.0-B20150721.1711.web bs=1 of=fs2.lzma skip=278058 count=`python -c 'print 0x134A34-0x43E2A'`

$ dd if=TOTOLINK-F1-V2.0.0-B20150721.1711.web of=fs3.squashfs bs=1 skip=1264180

Kiểm tra lại một lần nữa với lệnh file

Code:
fs1.lzma:     data  
fs2.lzma:     LZMA compressed data, non-streamed, size 3409580  
fs3.squashfs: Squashfs filesystem, little endian, version 4.0, 2079485 bytes, 570 inodes, blocksize: 131072 bytes, created: Fri Jun 11 14:04:48 2038

$ ls -lh fs*
-rw-r--r-- 1 harry harry 9.6K Jun  9 10:38 fs1.lzma
-rw-r--r-- 1 harry harry 964K Jun  9 10:38 fs2.lzma
-rw-r--r-- 1 harry harry 2.0M Jun  9 10:35 fs3.squashfs

Với dung lượng lớn hơn hẳn các file dump còn lại, fs3.squashfs khả năng sẽ là nơi lưu trữ chính các tệp tinh cấu hình, chương trình binary của modem này.

Sử dụng lệnh binwalk -e fs* để extract hết những file vừa dump được, thú vị là thế. Binwalk cung cấp đầy đủ những thứ ta cần.

Code:
% tree -d _fs*
_fs1.lzma.extracted  
_fs2.lzma.extracted  
_fs3.squashfs.extracted  
└── squashfs-root
    ├── bin
    ├── dev
    │   ├── misc
    │   ├── pts
    │   └── voip
    ├── etc
    │   ├── boa
    │   ├── init.d
    │   ├── samba
    │   └── tmp
    ├── home
    ├── lib
    ├── mnt
    ├── proc
    ├── sys
    ├── tmp -> /var/tmp
    ├── usr
    │   └── share
    │       └── udhcpc
    └── var

21 directories

Sau một vài thao tác kiểm tra các file dump, chúng ta biết được fs2.lzma là nơi lưu trữ kernel của firmware, một chú chim cánh cụt, Linux được sử dụng nhúng trong firmware này.

Code:
% binwalk  _fs2.lzma.extracted/0

DECIMAL       HEXADECIMAL     DESCRIPTION  
--------------------------------------------------------------------------------
3002400       0x2DD020        Linux kernel version "2.6.30.9 (acer1@localhost.localdomain) (gcc version 4.4.5-1.5.5p2 (GCC) ) #1073 Tue Jul 21 17:18:43 CST 2015"  
3134292       0x2FD354        Neighborly text, "NeighborSolicits0"  
3134312       0x2FD368        Neighborly text, "NeighborAdvertisements"  
3137399       0x2FDF77        HTML document header  
3137562       0x2FE01A        HTML document footer  
3179017       0x308209        Certificate in DER format (x509 v3), header length: 4, sequence length: 2176  
3179053       0x30822D        Certificate in DER format (x509 v3), header length: 4, sequence length: 11392  
3179065       0x308239        Certificate in DER format (x509 v3), header length: 4, sequence length: 14464  
3179069       0x30823D        Certificate in DER format (x509 v3), header length: 4, sequence length: 14464  
3179073       0x308241        Certificate in DER format (x509 v3), header length: 4, sequence length: 16512  

và fs3.squashfs là phân vùng lưu các tệp tin binary, cấu hình của hệ điều hành này. Chúng ta cùng ngó vào trong và tìm một vài thông tin thú vị trong kernel này xem sao.

Code:
$ cd _fs3.squashfs.extracted/squashfs-root

$ tree -f .|egrep "flash|samba|host|start|app|pass|admin"
│   ├── ./bin/chpasswd -> busybox
│   ├── ./bin/flash
│   ├── ./bin/hostname -> busybox
│   ├── ./bin/iapp
│   ├── ./bin/startup.sh
│   ├── ./bin/wlanapp.sh
│   ├── ./etc/dropbear_rsa_host_key
│   ├── ./etc/host.conf
│   ├── ./etc/hosts -> /var/hosts
│   ├── ./etc/hosts.org
│   ├── ./etc/passwd -> /var/passwd
│   ├── ./etc/passwd.org
│   ├── ./etc/samba
│   │   ├── ./etc/samba/smb.conf
│   │   └── ./etc/samba/smbpasswd

Pass default để đăng nhập modem qua SSH.

Code:
% cat ./etc/passwd.org
root:zhxPr1e7Npazg:0:0:root:/:/bin/sh  
onlime_r:$1$01OyWDBw$Hrxb2t.LtmiiJD49OBsCU/:0:0:root:/:/bin/sh  
nobody:x:0:0:nobody:/:/dev/null  

Code:
$1$01OyWDBw$Hrxb2t.LtmiiJD49OBsCU/12345


Theo nguồn

Dạo một vòng Google với từ khóa là cái hash password kia, Backdoor credentials found in 4 TOTOLINK router models

Dạo qua một vòng Exploit-db coi thử vài bệnh án:
https://www.exploit-db.com/search/?action=search&description=TOTOLINK

Load thử bin/sysconf vào IDA.

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE Screen15

Code:
% cat ./etc/samba/smbpasswd
samba:500:E37D9D1B60CE6031F4EE5CAB3C10B45B:246D949F60611CFA928A476B3FF28B25:[U          ]:LCT-43D6003C:  

% cat ./bin/startup.sh

Nhiều bộ định tuyến TotoLink mắc lỗi XSS, CSRF và RCE Screen16

Running Binary

Để tìm bug hoặc cần test gì, thì trước hết chúng ta cần phải chạy được chương trình trong môi trường mô phỏng. Chạy thử busybox của firmware xem sao.

Code:
% file bin/busybox
bin/busybox: ELF 32-bit MSB executable, MIPS, MIPS-I version 1 (SYSV), dynamically linked (uses shared libs), with unknown capability 0x41000000 = 0xf676e75, with unknown capability 0x10000 = 0x70403, stripped  

File binary này được biên dịch để phù hợp với môi trường 32-bit, kiến trúc MIPS. Chúng ta sử dụng qemu để mô phỏng kiến trúc này. Để cài đặt chương trình mô phỏng trên ubuntu chúng ta sử dụng.

Code:
$ sudo apt-get install binutils-mips-linux-gnu binutils-mipsel-linux-gnu  binutils-arm-linux-gnueabi

It's important to run qemu on a chrooted environment to avoid mixing your target's libraries with those on your host system. - w00tsec

Đọc thông tin header file binary này.

Code:
$ cd _fs3.squashfs.extracted/squashfs-root

$ mips-linux-gnu-readelf -h bin/busybox
ELF Header:  
  Magic:   7f 45 4c 46 01 02 01 00 00 00 00 00 00 00 00 00
  Class:                             ELF32
  Data:                              2's complement, big endian
  Version:                           1 (current)
  OS/ABI:                            UNIX - System V
  ABI Version:                       0
  Type:                              EXEC (Executable file)
  Machine:                           MIPS R3000
  Version:                           0x1
  Entry point address:               0x4026f0
  Start of program headers:          52 (bytes into file)
  Start of section headers:          261196 (bytes into file)
  Flags:                             0x1007, noreorder, pic, cpic, o32, mips1
  Size of this header:               52 (bytes)
  Size of program headers:           32 (bytes)
  Number of program headers:         7
  Size of section headers:           40 (bytes)
  Number of section headers:         27
  Section header string table index: 26


Code:
$ cp `which qemu-mips-static` .
$ sudo chroot . ./qemu-mips-static bin/busybox

BusyBox v1.13.4 (2015-07-21 17:06:46 CST) multi-call binary  
Copyright (C) 1998-2008 Erik Andersen, Rob Landley, Denys Vlasenko  
and others. Licensed under GPLv2.  
See source distribution for full notice.

Usage: busybox [function] [arguments]...  
   or: function [arguments]...

    BusyBox is a multi-call binary that combines many common Unix
    utilities into a single executable.  Most people will create a
    link to busybox for each function they wish to use and BusyBox
    will act like whatever it was invoked as!

Currently defined functions:  
    ash, bunzip2, bzcat, cat, chpasswd, cp, cut, date, echo, expr, false,
    free, getty, grep, halt, head, hostname, ifconfig, init, ip, kill,
    killall, klogd, ln, login, ls, mkdir, mount, ping, ping6, poweroff,
    ps, reboot, renice, rm, route, sed, sh, sleep, syslogd, tail, telnetd,
    true, umount, uptime, wc

Modem này sử dụng busybox phiên bản BusyBox v1.13.4
      
      

Xem chủ đề cũ hơn Xem chủ đề mới hơn Về Đầu Trang  Thông điệp [Trang 1 trong tổng số 1 trang]

Quyền hạn của bạn

Bạn không có quyền trả lời bài viết
free counters



  • Đoàn Ngọc Khánh

    mobile phone 098 376 5575


    Đỗ Quang Thảo

    mobile phone 090 301 9666


    Nguyễn Văn Của

    mobile phone 090 372 1401


    IP address signature
    Free forum | ©phpBB | Free forum support | Liên hệ | Báo cáo lạm dụng | Cookies | Thảo luận mới nhất