我是如何反编译D-Link路由器固件程序并发现它的后门的


OK,又是周末晚上,没有约会,只有一大瓶Shasta汽水和全是快节奏的音乐…那就研究一下程序吧。

一时兴起,我下载了D-link无线路由器(型号:DIR-100 revA)的固件程序 v1.13。使用工具Binwalk,很快的就从中发现并提取出一个只读SquashFS文件系统,没用多大功夫我就将这个固件程序的web server(/bin/webs)加载到了IDA中:

Strings inside /bin/webs

/bin/webs中的字符信息

基于上面的字符信息可以看出,这个/bin/webs二进制程序是一个修改版的thttpd,提供路由器管理员界面操作功能。看起来是经过了台湾明泰科技(D-Link的一个子公司)的修改。他们甚至很有心计的将他们很多自定义的函数名都辅以“alpha”前缀:

Alphanetworks' custom functions

明泰科技的自定义函数

这个alpha_auth_check函数看起来很有意思!

这个函数被很多地方调用,最明显的一个是来自alpha_httpd_parse_request函数:

Function call to alpha_auth_check

调用alpha_auth_check函数

更多详情见请继续阅读下一页的精彩内容

相关阅读:

D-Link路由器固件后门漏洞

逆向工程友讯科技 (D-Link) 路由器固件后门

  • 1
  • 2
  • 3
  • 下一页

相关内容