入门 IOT 漏洞挖掘之有手就行

0x01 前言

俗话说，柿子得找软的捏。挖 IOT 设备的大佬又很多，但是我相信依旧有一部分的小白跟我一样，菜鸟一枚。看了论坛里很多大佬的文章，但是依旧没有挖洞成果，不由的怀疑漏洞是不是很难挖，从而失去了自信。但是作为菜鸟的我来说，guy，不是漏洞很难挖，而是你找错了目标，常常大多数人都想着去挖一些大厂的知名旗舰设备，但是这些设备对于小白来说，在短时间内是很难有研究成果的。

因此，我认为我们应该从一些小的厂商来入手，在这些小厂商的设备上分析，开展漏洞挖掘，从而施展自己所学到的挖洞的思路和流程，积累经验。

ps： 在大佬面前班门弄斧了，不感兴趣的大佬请绕行，勿cue 。 ：）

0x02 厂商信息

edmix（讯舟科技） 是一家台湾数据网络产品制造商，讯舟科技具备完整齐全之网通产品线，包含 Wireless无线网络、Router分享器系列、Switch交换机系列、Connectivity-KVM. HomePlug 等连接设备、Print Server 打印服务器、IP Camera 网络摄影机、Business Solution 企业解决方案、VOIP/Skype等系列商品，齐备网络数字家庭及企业网络解决方案。

百度百科：https://baike.baidu.com/item/edimax/2668990

0x03 漏洞简介

Edimax 多款路由器设备和WiFi拓展器存XSS 脚本拼接攻击和 telnet 硬编码后门漏洞。攻击者可以远程控制设备。

0x04 影响范围

其他存在漏洞的设备和固件

固件下载地址： https://www.edimax.com/edimax/merchandise/merchandise_list/data/edimax/global/wireless_routers/

设备名称： BR-6478AC V2 Edimax AC1200 Gigabit Dual-Band Wi-Fi Router
固件版本：BR6478AC_V2_1.18 （2020-8-20） 固件无法模拟

设备名称：BR-6208AC V2 AC750 Dual-Band Wi-Fi Router with VPN, Access Point, Range Extender, Wi-Fi Bridge & WISP
固件版本：BR-6208AC_V2_1.03 （2018-04-03）

设备名称：Gemini RE11 AC1200 Dual-Band Home Wi-Fi Roaming Kit, Wi-Fi Extender/Access Point/Wi-Fi Bridge
固件版本：RE11_1.08 （2019-02-12）

设备名称： RE11S AC1200 Dual-Band Home Roaming Wi-Fi Upgrade Extender
固件版本：RE11_1.08 （2019-02-12）

设备名称： EW-7438AC Smart AC750 Dual-Band Wi-Fi Extender/Access Point/Wi-Fi Bridge
固件版本：EW7438AC_v1.09（2020-07-14）（无法固件模拟）

设备名称：BR-6228nS V3 5-in-1 N150 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP
固件版本：BR6228NSv3_1.15 （2015-12-29）

设备名称：BR-6228nS V2 N150 Multi-Function Wi-Fi Router Three Essential Networking Tools in One
固件版本：BR6228NSv2_v1.22 （2015-10-12）

设备名称：BR-6428nS V4 5-in-1 N300 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP
固件版本：BR-6428NS_v4_1.10（2017-06-14）

设备名称：BR-6428nS V2 N300 Multi-Function Wi-Fi Router Three Essential Networking Tools in One
固件版本：BR6428NSv2_v1.16（2015-10-12）

设备名称：BR-6428nS V3 5-in-1 N300 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP
固件版本：BR6428NSv3_1.20 （2018-11-09）

0x04 固件模拟

模拟固件型号：BR6428NSv3_1.20
固件可以在第二节里的固件下载的网站里下载，这使用fat直接可以把固件模拟出来。

0x05 Edimax XSS拼接攻击

1） 漏洞描述

在设置设备的WiFi密码的输入框中，存在Xss 脚本攻击，在输入xss 脚本之后，设备的无线设置界面出现无法恢复的错误，并且设备在重新启动之后，依旧无法恢复，需要重置设备才行。

3） 漏洞挖掘过程

这个漏洞其实有点鸡肋，因为需要登录后才能触发，但是通过拼接XSS代码，让设备的页面紊乱，导致用户无法正常使用，只有恢复出厂设置才能。这种现象在很多的物联网设备中都存在这样的风险，我并不理解为什么厂商在一些输入表单的框中不对输入的特殊字符进行过滤，做到这一点对开发来说难度并不高。其原理其实很简单，在表单输入xss的一段代码，服务端会把这段代码保存在设备的一些配置中，比如nvram 的key-value 。然后在设备访问这个表单的时候，又从nvram 中读取导致设备页面出现问题。

<script>alert("1")</script>

注意： 虽然漏洞并不高级，但不建议在公网的资产进行测试，因为会影响别人对设备的使用，最好是模拟固件中进行测试。

0x06 telnet 硬编码漏洞

1） 漏洞描述

edimax 的多款路由器的Telnet服务存在未经身份验证的远程攻击者完全控制具有高权限的漏洞，存在此漏洞是因为设备固件中具有默认的telnet的硬编码，并且用户无法更改此密码，攻击者可以通过默认密码连接受影响的设备，可以对设备实现完全控制。

2） 漏洞挖掘过程

漏洞验证固件型号： BR6428NSv3_1.20
在嵌入式设备中，硬编码的问题无处不在，因此在分析固件的时候，不管是在文件系统中的一些启动脚本，配置文件，或者是可执行文件中，都可以去着重的注意一些硬编码的问题，这些硬编码的问题可能会造成一些危害。

固件分析
使用binwalk 对固件进行解包，解开固件包之后，在固件的/bin/init.sh 文件中可以看到 telent 的硬编码 ”root:edimaxens“

设备端口扫描
设备自动开启了telnet服务。

使用在固件分析的时候发现硬编码去进行接入设备的telnet

3) 其他固件分析

在这一版本的固件找到硬编码之后，其实在同一厂商的其他同类型的产品上，很可能大批量的都有相同的问题，这时后可以写一个自动化脚本，将下载的固件自动解包，然后自动进行分析。

设备名称： BR-6478AC V2 Edimax AC1200 Gigabit Dual-Band Wi-Fi Router
固件版本：BR6478AC_V2_1.18 （2020-8-20）

设备名称：BR-6208AC V2 AC750 Dual-Band Wi-Fi Router with VPN, Access Point, Range Extender, Wi-Fi Bridge & WISP

固件版本：BR-6208AC_V2_1.03 （2018-04-03）

设备名称：Gemini RE11 AC1200 Dual-Band Home Wi-Fi Roaming Kit, Wi-Fi Extender/Access Point/Wi-Fi Bridge

固件版本：RE11_1.08 （2019-02-12）

设备名称： RE11S AC1200 Dual-Band Home Roaming Wi-Fi Upgrade Extender

固件版本：RE11_1.08 （2019-02-12） 固件和 RE11一样

设备名称： EW-7438AC Smart AC750 Dual-Band Wi-Fi Extender/Access Point/Wi-Fi Bridge

固件版本：EW7438AC_v1.09（2020-07-14）

设备名称：BR-6228nS V3 5-in-1 N150 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP
固件版本：BR6228NSv3_1.15 （2015-12-29）
设备名称：BR-6228nS V2 N150 Multi-Function Wi-Fi Router Three Essential Networking Tools in One
固件版本：BR6228NSv2_v1.22 （2015-10-12）
设备名称：BR-6428nS V4 5-in-1 N300 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP
固件版本：BR-6428NS_v4_1.10（2017-06-14）
设备名称：BR-6428nS V2 N300 Multi-Function Wi-Fi Router Three Essential Networking Tools in One
固件版本：BR6428NSv2_v1.16（2015-10-12）
设备名称：BR-6428nS V3 5-in-1 N300 Wi-Fi Router, Access Point, Range Extender, Wi-Fi Bridge & WISP
固件版本：BR6428NSv3_1.20 （2018-11-09）

0x07 结尾

这些固件的二进制文件和一些服务，我只是简单的对其进行逆向分析，其中还存在一些其他的洞，感兴趣的小白可以去挖一挖