专栏首页二进制漏洞研究MikroTik路由器RouterOS-0day分析

MikroTik路由器RouterOS-0day分析

漏洞影响

影响版本:v6.29~v6.43rc3

更新版本:v6.42.1 和 v6.43rc4

论坛说明:

环境搭建

  1. 下载RouterOS iso镜像,在虚拟机中安装,硬盘格式要选择IDE格式,按 a选择所有 ,然后按 i 进行安装,然后一直输入 y 确定即可。用户名为admin,密码为空
  2. 进入后配置ip
ip
address
add address=192.168.148.*/24 interface=ether1 
  1. 通过参考链接2中的越狱工具连接RouterOS的shell,但是只能调6.41版本以下的,我调的是6.40.5版本。之后通过参考链接1中方法,通过试用ubuntu镜像,挂载RouterOS的磁盘分区:
mkdir /tmp/d2
sudo mount /dev/sda2 /tmp/d2

将gdbserver传入RouterOS 中

  1. 再用gdb或ida连接就可以了

官方更新说明

What's new in 6.42.1 (2018-Apr-23 10:46):

!) winbox - fixed vulnerability that allowed to gain access to an unsecured router;
*) bridge - fixed hardware offloading for MMIPS and PPC devices;
*) bridge - fixed LLDP packet receiving;
*) crs3xx - fixed failing connections through bonding in bridge;
*) ike2 - use "policy-template-group" parameter when picking proposal as initiator;
*) led - added "dark-mode" functionality for hAP ac and hAP ac^2 devices;
*) led - improved w60g alignment trigger;
*) lte - allow to send "at-chat" command over disabled LTE interface;
*) routerboard - fixed "mode-button" support on hAP lite r2 devices;
*) w60g - allow to manually set "tx-sector" value;
*) w60g - fixed incorrect RSSI readings;
*) w60g - show phy rate on "/interface w60g monitor" (CLI only);
*) winbox - fixed bridge port MAC learning parameter values;
*) winbox - show "Switch" menu on cAP ac devices;
*) winbox - show correct "Switch" menus on CRS328-24P-4S+;
*) wireless - improved compatibility with BCM chipset devices;

补丁分析

前期准备

  1. 提取RouterOS系统

下载https://download2.mikrotik.com/routeros/6.40.5/routeros-x86-6.40.5.npk

用7z打开,可以直接解压缩出来。

打过补丁的版本:

https://download2.mikrotik.com/routeros/6.42.1/routeros-x86-6.42.1.npk

  1. diff -r rootfs/ ../fmk_7/rootfs > diff.txt

比较两个文件下所有不同的文件

补丁比较

8291端口对应winbox的bin 文件:

通过bindiff 比较补丁前后两个版本的mproxy文件,只找到下面一处不同。补丁增加了对’.’的判断:

这里只是找到疑似的漏洞点,具体分析不动了。。。。

往8291端口发送数据根本不触发那里的函数

参考链接

搭建环境:https://xz.aliyun.com/t/1907

RouterOS越狱工具:https://github.com/0ki/mikrotik-tools

Mikrotik官网:https://mikrotik.com/

论坛讨论:https://forum.mikrotik.com/viewtopic.php?f=21&t=133533

http://blog.seekintoo.com/chimay-red.html

之前的老漏洞:http://133tsec.com/2012/04/0day-ddos-mikrotik-server-side-ddos-attack/

gdbserver下载地址:https://pan.baidu.com/s/1ylmVq_SVpYAhuMgB1iGpag

静态编译后的busybox下载地址:https://pan.baidu.com/s/1YPp13WZKY5k2-MQ6g8mVSA

diff 用法:http://man.linuxde.net/diff

样本相关信息:https://twitter.com/craiu/status/989052729480876032

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 二进制情报推送记录

    [1] r3kapig HITCON CTF 2019 Writeup https://r3kapig.com/writeup/20191018-hitcon...

    0x222进制
  • Return-to-libc

    (3)编译exploit.c文件,生成exploit文件,执行exploit,生成badfile文件

    0x222进制
  • CVE-2018-0492:Beep 漏洞分析

    安全研究人员发现,在这个 beep 应用程序中存在一个可导致攻击者本地提权的竞争条件。Holey Beep网站提供了补丁,但是beep在github上的项目并没...

    0x222进制
  • CV Code | 本周计算机视觉新出开源代码汇总(含医学图像分割、神经架构搜索、姿态迁移、超分辨率等)

    计算机视觉技术发展迅速,很多时候,可悲的不是我们没有努力,而是没有跟上时代的步伐。努力coding终于出来结果了,却发现早就有人开源了,效果还比自己写的好!

    CV君
  • 关于MySQL 8.0的几个重点,都在这里

    在MySQL8.0中重新设计了redo log,主要改进fsync,使得效率更高,减少锁,优化flush机制,不会频繁flush。同时,支持更高用户并发请求。

    [3306 Pai ] 社区
  • 2017年中国自动驾驶最全产业研究报告 99页 可下载

    用户1908973
  • 如何成为一名区块链工程师? | 附学习资源

    区块链大本营
  • CV Code | 本周新出计算机视觉开源代码汇总(含自动驾驶目标检测、医学图像分割、风格迁移、语义分割、目标跟踪等)

    刚刚过去的一周含五一假期,工作日第一天,CV君汇总了过去一周计算机视觉领域新出的开源代码,涉及到自动驾驶目标检测、医学图像分割、风格迁移、神经架构搜索、图卷积神...

    OpenCV学堂
  • HoloGAN(一种新的生成模型)从自然图像中学习3D表示

    一组研究人员提出了一种新的生成对抗网络(GAN),该网络使用自然图像执行3D表示的无监督学习。

    代码医生工作室
  • CV Code | 本周新出计算机视觉开源代码汇总(含自动驾驶目标检测、医学图像分割、风格迁移、语义分割、目标跟踪等)

    刚刚过去的一周含五一假期,工作日第一天,CV君汇总了过去一周计算机视觉领域新出的开源代码,涉及到自动驾驶目标检测、医学图像分割、风格迁移、神经架构搜索、图卷积神...

    CV君

扫码关注云+社区

领取腾讯云代金券