物联网漏洞挖掘与利用：方法、技巧和案例

（1）作者背景资深：ChaMd5安全团队在国内非常知名，团队成员来自阿里、滴滴、启明星辰、绿盟、知道创宇、奇安信、360、陌陌、安恒、丈八网安等安全公司。
（2）理论实践结合：本书由来自物联网工业界和学术界的10余位专家共同完成，融合了他们在工业界的实践经验和学术界的研究成果。
（3）以实战为主导：详解各种物联网漏洞挖掘与利用的方法，结合大量案例；同时还讲解了车联网、工控等热门领域的物联网漏洞挖掘与利用。
（4）19位专家推荐：中关村实验室、之江实验室、紫金山实验室、京东、滴滴、浙江大学等企业、高校和安全组织的19位知名专家力荐。
（5）零基础快入门：即便读者没有任何物联网基础或安全技术基础，也能通过本书掌握相关基础知识以及常见物联网漏洞的挖掘与利用。

伴随着万物互联的时代背景，物联网安全愈发值得关注，但物联网安全研究需要的知识面更加广泛、内容更加丰富，初学者的学习难度较大。本书是一本面向初学者的物联网漏洞挖掘与利用的实战宝典。作者融合丰富的工作、科研与实战经验，详细阐述物联网漏洞挖掘与利用的各方面知识，进而提高学习人员的物联网安全实战经验。本书对物联网安全研究所需知识进行了系统的梳理与总结，通过阅读本书，你将获得以下方面的知识。
?物联网测试环境搭建，掌握物联网安全研究需要的硬件、软件测试工具。
?掌握物联网安全研究聚焦的硬件协议，掌握其工作原理与安全风险。
?通过物联网协议及漏洞示例，掌握物联网协议层漏洞的挖掘与利用技巧。
?掌握固件获取的几种主流方式，并掌握固件模拟的常见方法。
?掌握固件加解密的常见方法。
?掌握固件常见的文件系统，并掌握固件重打包的常用方法。
?掌握常见的中间件实现原理及历史漏洞，掌握常见的基址恢复与符号恢复方法。
?掌握常见的物联网漏洞类型及利用方式，并掌握漏洞复现所需要的环境搭建方法。
?掌握自动化漏洞挖掘的常见手段，并掌握其在物联网安全中的应用。
?通过分析实际物联网设备的漏洞挖掘实例，掌握从逆向分析到漏洞利用、后门植入的流程与方法。
?掌握车联网的基本知识及常见攻击面。
?掌握物联网中常见的信息收集工具与信息收集方法，并掌握固件中关键信息的分析方法。
?掌握物联网中常见的权限维持方法，掌握基本的后门制作方法。
?掌握物联网中常见的攻击后藏匿方式。
?通过工控安全的具体攻击事件，掌握物联网工控安全的基本知识及常见分析手段。

Contents　目　　录　<br />本书赞誉<br />前言<br />第1章　IoT测试环境搭建1<br />1.1　硬件测试工具1<br />1.1.1　万用表1<br />1.1.2　逻辑分析仪2<br />1.1.3　热风枪2<br />1.1.4　USB-TTL2<br />1.1.5　Jlink2<br />1.1.6　FipperZero3<br />1.2　测试软件的安装3<br />1.2.1　VMware3<br />1.2.2　Ubuntu6<br />1.2.3　Binwalk9<br />1.2.4　QEMU11<br />1.2.5　Ghidra12<br />第2章　硬件协议介绍15<br />2.1　UART协议15<br />2.2　SPI协议17<br />2.3　I2C协议18<br />2.4　JTAG协议20<br />2.5　CAN协议20<br />第3章　常见的IoT协议及漏洞<br />　　　　实例22<br />3.1　常见的IoT协议22<br />3.1.1　HTTP22<br />3.1.2　UPnP和SSDP 23<br />3.1.3　SNMP23<br />3.1.4　RTSP 24<br />3.1.5　MQTT协议24<br />3.2　协议漏洞实例24<br />3.2.1　Vivotek摄像头HTTP缓冲<br />　　　区溢出漏洞24<br />3.2.2　NETGEAR路由器SSDP<br />　　　缓冲区溢出漏洞32<br />第4章　固件获取37<br />4.1　固件的概念37<br />4.2　固件获取方式38<br />4.2.1　从互联网上获取固件38<br />4.2.2　从升级接口中获取固件39<br />4.2.3　从历史漏洞中获取固件41<br />4.2.4　使用编程器读取固件42<br />4.2.5　从串口中获取固件44<br />4.3　固件模拟47<br />4.3.1　使用QEMU进行固件模拟47<br />4.3.2　使用EMUX进行固件模拟55<br />4.3.3　使用官方自带的虚拟机进行<br />　　　固件模拟57<br />4.3.4　使用Firmae工具进行固件<br />　　　模拟58<br />4.3.5　使用FAP工具进行固件模拟60<br />第5章　固件加解密62<br />5.1　固件加密发布模式62<br />5.1.1　情况一62<br />5.1.2　情况二62<br />5.1.3　情况三63<br />5.2　利用过渡版本解密固件64<br />5.2.1　官网分析固件发布说明64<br />5.2.2　利用过渡版本解密固件64<br />5.2.3　提取解密后的固件68<br />5.3　解密弱加密固件70<br />5.3.1　分析固件70<br />5.3.2　猜测加密算法并解密72<br />5.3.3　提取解密后的固件72<br />第6章　常见的固件文件系统74<br />6.1　常见的文件系统类型74<br />6.1.1　YAFFS类型的文件系统76<br />6.1.2　UBIFS类型的文件系统76<br />6.1.3　JFFS类型的文件系统77<br />6.1.4　SquashFS类型的文件系统77<br />6.1.5　基于块设备的文件系统78<br />6.2　文件系统的特征79<br />6.2.1　分析文件系统79<br />6.2.2　提取固件中的文件系统91<br />6.3　固件重打包101<br />6.3.1　固件分析、校验与打包102<br />6.3.2　后门植入109<br />6.3.3　嵌入式设备重打包111<br />第7章　常见的中间件112<br />7.1　常见的Web服务器　 112<br />7.1.1　GoAhead 112<br />7.1.2　mini_httpd 118<br />7.1.3　Boa 123<br />7.2　基址恢复129<br />7.2.1　分析头部初始化代码恢复<br />　　　固件加载基址129<br />7.2.2　根据绝对地址恢复固件加<br />　　　载基址131<br />7.2.3　根据字符串偏移恢复固件<br />　　　加载基址133<br />7.3　符号恢复135<br />7.3.1　基于符号表的符号恢复136<br />7.3.2　基于签名文件或比对的<br />　　　符号恢复139<br />7.3.3　基于LLM的符号恢复140<br />第8章　常见的漏洞类型及利用<br />　　　　方式141<br />8.1　环境初始化搭建141<br />8.1.1　DrayTek Vigor 2960服务<br />　　　模拟141<br />8.1.2　FortiGate VM 7.2.1固件<br />　　　提取及环境仿真150<br />8.2　逻辑漏洞157<br />8.2.1　CLI认证绕过漏洞157<br />8.2.2　路径穿越导致的任意文件<br />　　　读取漏洞162<br />8.3　命令注入漏洞166<br />8.3.1　TOTOLink NR1800X命令<br />　　　注入漏洞167<br />8.3.2　OpModeCfg命令注入漏洞172<br />8.3.3　UploadFirmwareFile命令<br />　　　注入漏洞174<br />8.4　缓冲区溢出漏洞175<br />8.4.1　堆溢出漏洞175<br />8.4.2　栈溢出漏洞181<br />8.5　格式化字符串漏洞184<br />第9章　自动化漏洞挖掘186<br />9.1　模糊测试186<br />9.1.1　技术原理介绍187<br />9.1.2　HTTP报文种子获取189<br />9.1.3　多种类型的漏洞触发监控<br />　　　方案191<br />9.1.4　实战应用192<br />9.2　污点分析193<br />9.2.1　技术原理介绍194<br />9.2.2　实战应用195<br />9.3　基于图查询的静态漏洞挖掘198<br />9.3.1　技术原理介绍198<br />9.3.2　实战应用198<br />第10章　网络设备漏洞挖掘实例202<br />10.1　Cisco RV340路由器命令执行<br />　　　漏洞分析202<br />10.2　Netgear R8300路由器栈溢出<br />　　　漏洞分析214<br />10.3　TPLink WPA8630命令注入<br />　　　漏洞分析222<br />10.4　华硕AC3200路由器固件结<br />　　　构研究229<br />第11章　车联网235<br />11.1　电子电气架构设计235<br />11.2　车联网电子控制单元237<br />11.3　车联网攻击面239<br />第12章　固件中的信息收集242<br />12.1　固件信息收集工具242<br />12.1.1　Firmware-mod-kit 242<br />12.1.2　Firmwalker 243<br />12.1.3　FwAnalyzer243<br />12.1.4　EMBA244<br />12.1.5　FACT245<br />12.1.6　Linux系统工具245<br />12.1.7　逆向分析工具247<br />12.1.8　文件系统操作工具248<br />12.2　固件信息收集方法248<br />12.2.1　芯片信息收集和调试接口249<br />12.2.2　固件获取的常用方式257<br />12.2.3　文件系统264<br />12.2.4　HTTP服务266<br />12.3　固件中的关键信息268<br />第13章　维持272<br />13.1　使用MSF反弹shell272<br />13.1.1　paylaod生成272<br />13.1.2　获取shell274<br />13.2　制作稳定后门275<br />13.2.1　使用Go语言进行反弹shell275<br />13.2.2　使用Go语言进行代理转发282<br />13.2.3　使用Go语言进行shell维持287<br />13.2.4　端口复用288<br />13.2.5　预埋后门与固件重打包291<br />第14章　藏匿300<br />14.1　进程隐藏300<br />14.1.1　Linux进程查询原理300<br />14.1.2　基础级进程隐藏303<br />14.1.3　应用级进程隐藏305<br />14.1.4　内核级进程隐藏308<br />14.2　权限控制312<br />14.2.1　Webshell313<br />14.2.2　用户级权限控制314<br />14.3　实例讲解315<br />14.3.1　Cisco IOS XE Webshell<br />　　　　后门315<br />14.3.2　高隐蔽级Rootkit实现319<br />第15章　物联网工控安全——攻击<br />　　　　　事件模拟322<br />15.1　摄像头引起的工控攻击事件322<br />15.1.1　物联网设备资产扫描及<br />　　 　分析322<br />15.1.2　摄像头漏洞利用与钓鱼<br />　　 　攻击324<br />15.1.3　内网代理与横向扫描330<br />15.1.4　漏洞利用与权限提升332<br />15.1.5　PLC系统攻击337<br />15.2　防火墙漏洞与敏感数据泄露342<br />15.2.1　防火墙漏洞的发现与<br />　　　　利用342<br />15.2.2　内网扫描与路由器漏洞<br />　　 　利用347<br />15.2.3　内网添加路由350<br />15.2.4　敏感数据窃取352