使用IDA路由器登录逆向分析

本文原标题为【使用IDA路由器登录逆向分析】,为了便于理解案例有部分内容补充。

时间:2022年10月09日

使用IDA路由器登录逆向分析

 本文原标题为【使用IDA路由器登录逆向分析】,为了方便阅读有部分内容补充。

作者本人曾在2019年的XCTF攻防世界平台遇见过类似的题目,但由于go的逆向恢复符号表遇到一些问题,没有最终完成。在二次遇到时,作者已经解决了IDA Pro使用Python脚本报错问题,才有了今天这篇分析案例分享。

 

下面让我们跟随作者的思路,一起来实操吧:

 

首先题目中确实是包含一个路由器登录界面和一个附件程序,下载后得到Router文件,再结合网址分析得知,应该是来自一个路由器的管理程序,如下图:

我们继续对下载到的程序进行分析,尝试在Linux中执行,此时会生成settings.config文件。但是测试发现无法直接读取。同时在网页上进行fuzz,发现存在一个export.php页面,访问也可以得到无法直接读取的settings.config页面,故此我们推测这是该路由器的配置文件。

将文件放到binwalk中跑一下,我们确认了是用go开发。

接下来,我们继续使用IDA进行分析,尝试使用IDA Python脚本恢复go的符号表:

脚本地址:https://github.com/sibears/IDAGolangHelper/

 

因为IDAGolangHelper支持IDA Pro 7.4,使用IDA7.0就会遇到一些错误,需要对插件的一些文件进行修改,我们将文件GO_Utils/__init__.py,第16行self.bt_obj=Utils.get_bitness(ida_ida.inf_get_min_ea())替换为self.bt_obj=Utils.get_bitness(idc.BeginEA())就可以了。

基于上面的操作,我们最终是想了解到config文件都有那些内容。所以恢复符号表后,在string中查找config,会发现一个字符串,应该就是config文件加载完成后的提示:

对应这串字幕,我们直接跟进去找到调用位置是4013BD:

接下来,我们就可以将文件使用gdb进行调试,这里我们可以安装一个插件方便调试,作者使用的是peda,在0x4013BD处下个断点,然后运行:

可以在栈中找到用户名和密码,登陆测试都OK:

接着在IDA中处理会发现一个main_Backdoor:

跟踪这个函数,并结合页面登陆后,会看到一些功能POST了command参数,可以利用这个backdoor命令执行:

 

 

最后进行总结,通过上面的分析过程,其实这道题目难度并不是很大,但很杂乱,作者认为直接叫它reweb比较好。希望对大家能有所帮助,有些收获。

 

原文链接:https://www.freebuf.com/articles/web/239385.html

销售专家

告诉我们您需要解决什么问题,我们的销售专家会帮助您找到最合适的解决方案。

周一至周五:9:00-20:30(北京时间)

咨询专业销售

咨询热线

在线咨询

限时折扣