欢迎光临
我们一直在努力
"

[译文] 逆向分析 D-Link backdoor

在 dlink 的升级包 firmware v1.13中,作者下载放入IDA中分析,发现了异样,

::__IHACKLOG_REMOTE_IMAGE_AUTODOWN_BLOCK__::0

接着查看了带有“alpha”字串的自定义函数:

File

alpha_auth_check  这个函数很有意思。

它在不同地方被调用,着重分析alpha_httpd_parse_request:这个地方

File

alpha_auth_check 接受一个来自 $s2的寄存器的参数。如果返回-1 结束,否则 表示通过验证。

追踪$s2的值,发现它是一个数据结构的指针,这些指针指向的值则是http 请求的header头和url

大致是:

pha_auth_check 函数功能非常简单,strcmp 比较下http_request_t结构的一些值,然后调用check_login。 如果strcmp 或者check_login 成功直接return 1 否则return -1

File

最终发现比较的值 竟然是 “xmlset_roodkcableoj28840ybtide” 这么一串字符。。。。

google 发现老毛子1年前 发现这个有趣的字符串

File

确定下来 上面指针指向的是User-Agent的内容:

File

向路由器发送请求  user-agent:xmlset_roodkcableoj28840ybtide

就可以通过验证,不需输入密码验证。

File

DIR-100

DI-524

DI-524UP

DI-604S

DI-604UP

DI-604+

TM-G5240

http://www.devttys0.com/2013/10/reverse-engineering-a-d-link-backdoor/

英文原文:Reverse Engineering a D-Link Backdoor

[译文地址]

提示:xmlset_roodkcableoj28840ybtide,反过来看是:editby 04882 joel backdoor_teslmx

相关内容:

英文原文:Reverse Engineering a D-Link Backdoor

中文译文:[译文] 逆向分析 D-Link backdoor

转载请注明: 转载自Legend‘s BLog

本文链接地址: [译文] 逆向分析 D-Link backdoor



未经允许不得转载:Legend‘s BLog » [译文] 逆向分析 D-Link backdoor

分享到:更多 ()

发表评论

电子邮件地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据

无觅相关文章插件,快速提升流量