By

Contents
  1. 1. 分析
    1. 1.1. 固件解包
    2. 1.2. nmap
    3. 1.3. 黑盒测试

影响版本:应该是v1.0.20之前

固件下载地址:http://cdn.cnbj1.fds.api.mi-img.com/xiaoqiang/rom/r3600/miwifi_r3600_firmware_5da25_1.0.17.bin

分析

固件解包

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
$ binwalk miwifi_r3600_firmware_5da25_1.0.17.bin 

DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
684           0x2AC           UBI erase count header, version: 1, EC: 0x0, VID header offset: 0x800, data offset: 0x1000

# UBI文件,使用ubi-reader
$ binwalk -Me miwifi_r3600_firmware_5da25_1.0.17.bin 
$ ubireader_extract_images 2AC.ubi 
$ cd ubifs-root/1696626347
$ ubireader_extract_files img-1696626347_vol-ubi_rootfs.ubifs 
guess_start_offset Fatal: Could not determine start offset.
# 报错了,具体原因我还没查到,但在github源代码里有看到这句报错...(视频中他第一次使用images就出现了这个问题,发现是ubi-reader自身代码问题
$ unsquashfs ./img-1696626347_vol-ubi_rootfs.ubifs 
$ cd squashfs-root

nmap

根据ppt,扫描到开放了6个tcp端口:53(DNS),80,784(unknown),8080,8098,8999

黑盒测试

看着bilibili的演讲视频…发现自己并没有条件去复现…视频里还用0day来获取shell,直接GG。视频讲的听清楚了,看看得了…

Reference

【长亭HITCON演讲视频】如何从零开始攻破一台明星IoT设备:https://www.bilibili.com/video/BV1gf4y1D7L2

演讲PPT下载地址,链接: https://pan.baidu.com/s/1VEf1c1jmxdziyvLhzGM8dw 密码: 3ien

https://x1ng.top/2020/12/16/%E5%B0%8F%E7%B1%B3%E8%B7%AF%E7%94%B1%E5%99%A8-%E9%80%BB%E8%BE%91%E6%BC%8F%E6%B4%9E%E5%AD%A6%E4%B9%A0%E7%AC%94%E8%AE%B0/