这次的分析接着上次的来讲，也是分析了两个中间件的通信模型，分别是非主流中间件被厂商魔改后的中间件➕CGI和OpenWrt中间模块uhttpd/lighttpd➕CGI/Lua，话不多说，直接开始...

在路由器设备的漏洞挖掘当中，WEB服务通常都是安全研究人员重点关注的内容之一，安全研究员拿到一个设备之后，都会去对这个设备的攻击面进行收集与分析，但可以不可以一拿到设备的固件看到文件夹的结构就知道这个路由器的攻击面呢？网上似乎也没有这种总结从路由器WEB服务架构看路由器的攻击面的文章，这些路由器的WEB架构看着都有相似的点，也有不同之处，那到底是哪里相同，哪里不同呢？作为一个WEB小萌新，对此类概念还很模糊，接下来就来探讨一下吧！

我的github上传了固件和代码：Ler2sq/CVE-2019-8985: CVE–2019–8985 Netis WF2411 RCE (github.com)

NVD官方介绍：NVD - CVE-2019-8985 (nist.gov)

固件获取： WF2419 选择WF2419（2.2.36123）

根据报告者和PoC WhooAmii

可以知道这是一个路由器内的缓冲区溢出漏洞

随着学习的深入，接触的设备已经慢慢的从一些简单的路由器向其他的智能设备开始扩散，就会碰到更多看起来比较复杂的固件，就比如RTOS的固件，当用常规的方法----binwalk对它进行解包的时候，并不能直接看见文件系统里面的内容，笔者一开始接触这类系统十分的困惑，在研究完修改的过程之后，记录一下学习的过程。

这学期我得到了一个微软智能手环作为项目研究目标。最初的项目目标并不是太难：只是去理解客户端的通信方式。因此我决定寻求乐趣，我决定尝试pwn掉它。在这里我想要感谢远在OSIRIS实验室的朋友给我提供的支持，我的伴侣也一直默默支持着我。当然，需要感谢的还有我的导师，mongo，他启发了我，教会了我很多，对此我表示由衷地感谢。

ESET的研究人员正在积极地检测以嵌入式系统为攻击目标的木马，受影响的有路由器，网关和无线访问点。近期，我们已经发现了一个相关的bot，这个bot整合了Tsunami（也叫作Kaiten）和Gafgyt的功能，并相较于前者做出了一些改进，提供了新的功能。这个新威胁就是Linux/Remaiten。截至目前，我们已经发现了三个版本的Linux/Remaiten，版本号分别是2.0，2.1和2.2。根据其代码来看，木马作者称之为“KTN-Remastered”或“KTN-RM”。

在2015年GeekPwn的开场项目中，笔者利用一系列漏洞成功演示劫持了一架正在飞行的大疆精灵3代无人机，夺取了这台无人机的控制权，完成了可能是全球首次对大疆无人机的劫持和完整控制。GeekPwn结束后，组委会立即将漏洞通知给官方，而大疆也很快完成了漏洞的修复。今年的3月15号，大疆发布了全新一代的精灵4代无人机，精灵3代从此退居二线；同时央视315晚会也对去年GeekPwn的这个劫持项目进行了详细的报道。

今天看老外分析了一款廉价CCTV摄像头的文章，地址在https://www.pentestpartners.com/blog/pwning-cctv-cameras/，摄像头的amazon购买地址是http://www.amazon.co.uk/dp/B0162AQCO4，老外曝光的漏洞主要有四个，分别是默认密码，web登陆认证绕过，内建的webshell，以及发送摄像图片到硬编码的邮箱地址，老外的文章经过我的测试，有错误和不全的地方，我都一一补充在下面了 ：）

随着物联网IOT的飞速发展,各类嵌入式设备, 路由器安全研究也越来越火. 但因为跟以往纯软件安全研究的要求不同, 这类研究往往需要结合相应的硬件知识. 很多朋友困惑如何开始, 甚至卡在了该选何种工具上. 因此汪汪将会在系列文章中分享一些实战案例和相应的工具使用. 希望能对嵌入式安全研究起到抛砖引玉作用.

近日，在新闻中曝光了多起通过GPS定位设备，跟踪绑架的事件（http://news.xinhuanet.com/legal/2015-11/15/c_128429526_2.htm）。很多用户都来咨询，有没有方法进行检测？于是就在市面上购买了一些GPS定位设备进行研究，研究发现这些GPS定位系统后台采用的是通用的一套程序，其云平台上存在多个高危漏洞，攻击者利用漏洞可定位到使用该设备的任意用户或车辆的当前位置，历史轨迹，甚至可远程切断行驶车辆的油电。用户使用GPS定位的物品、人员都是非常有价值的，如果这类平台存在安全漏洞，反而将位置信息暴露给不法分子，这会对社会造成非常大的影响。

虽然专业化是很多领域的关键所在，但是我个人认为在信息安全这一领域，过于专业会导致视野狭隘、观点片面。现在我就想让自己尝试那些我不是很喜欢的领域，而这篇文章就是在阐述一个我讨厌了很久的东西：嵌入式硬件逆向工程。

D-Bus系统是可以匿名访问的，跨进程通讯经常会使用D-Bus系统。我们认为，D-Bus系统本不应该会暴露，所以，我们有点意外，利用D-Bus来运行代码居然是可行的。

本文主要以Cisco IOS为测试案例，讲解了如何对固件镜像进行修改。大多数人认为，做这样的一件事需要掌握一些尖端的知识，或者需要一些国家级别的资源，而事实上，这是一种普遍的误解。我认为，人们之所以这样想的一个主要原因是没有文章或教程完整地介绍过这一过程，也没有说明写一个rootkit都需要哪些资源。但是，本文的出现改变了这一现状。围绕这一主题，本文中提供了一些非常完善的方法，并完整地介绍了整个过程，同时也提供了相关的所需知识。如果读者能看完全文，他们最后就能写出一个基础的，但是能发挥作用的固件rootkit工具。一旦你理解了所有的基本思路和代码，并结合一个工作模型的话，那么你自己就能够轻松地写出一个加载器代码，并通过动态的，内存贮存的模块来扩展核心加载器的功能。不过，本文不会探究这么深，首先，文中证明了如何通过修改IOS镜像中的某个字节，来允许除真正密码以外的任意密码来登录路由器。第二，文章说明了如何覆盖原有的函数调用，从而调用你自己的代码，这里用到的例子是一个登录进程木马，能允许你指定一个秘密的二级登录密码。只要你完全理解了本文，用不了一个月的时间，你就可以根据本文中的知识来创建一个在功能上比SYNful Knock型rootkit更强大的rootkit工具。实际上，写一个类似的rootkit并不需要国家级的资源或上百万美元的投入，也不需要高科技智囊团的参与。接下来你会发现，在这几十年中，地下论坛上到处都能看到木马固件的身影。

因为自己曾DIY过所谓的“智能硬件”，学习过程中除了接触各种芯片、传感器、电路知识外，也拆了不少设备分析其设计思想学以致用。再后来又接触了如：Wi-Fi、ZigBee、Bluetooth、NFC、IR、普通射频甚至音频等通信技术，才发现空气中那些形形色色的边界，才是整个物联安全的关键。

如果你打开这篇文章时期望看到一些新的东西，那么很抱歉这篇文章不是你在找的那篇文章。因为严格的来说这只是一篇整理文。里面没有任何我的发现，也没有我的实际案例。因为我手头上暂时还没有一个有趣的蓝牙低功耗设备。整篇文章的基础都建立在mike ryan这几年公布的演讲内容之上。