你見過“僵尸”來襲嗎？

你自己也成為其中一個(gè)“僵尸”會是怎樣的感受？

這次，可能要玩得更酷炫一點(diǎn)！

如果你家路由器被破解，那么就可能是5萬僵尸網(wǎng)絡(luò)中的一員！

帶來此次講座的是一個(gè)“別人家的小孩”，他目前還在讀大三，卻已經(jīng)是長亭科技核心安全團(tuán)隊(duì)中的一員。2016年，他和團(tuán)隊(duì)在黑客盛會GeekPwn上破解了11款路由器，獲得冠軍，并拿下42萬元獎(jiǎng)金。

為什么要聊這個(gè)話題？

路由器是互聯(lián)網(wǎng)絡(luò)的樞紐——"交通警察"。目前路由器已經(jīng)廣泛應(yīng)用于各行各業(yè)，各種不同檔次的產(chǎn)品已成為實(shí)現(xiàn)各種骨干網(wǎng)內(nèi)部連接、骨干網(wǎng)間互聯(lián)和骨干網(wǎng)與互聯(lián)網(wǎng)互聯(lián)互通業(yè)務(wù)的主力軍。

好，一本正經(jīng)的介紹結(jié)束。我們來一個(gè)狂野版：現(xiàn)在的青年坐下來就找Wi-Fi，誰家還沒有個(gè)把路由器??！你家路由器要是被人破了，輕則只是被蹭個(gè)網(wǎng)，重則各種隱私信息，包括硬盤里珍藏的小片片都會被一洗而空！不甘心？！來，跟大神一起玩破解和反破解，只有知道是怎么被破的，才能預(yù)防被破！

嘉賓介紹：

趙漢青，長亭科技安全研究員，GeekPwn 名人堂成員。主要從事軟件逆向工程、漏洞挖掘、exploit編寫，熟悉智能設(shè)備漏洞挖掘與利用、Android本地權(quán)限提升漏洞挖掘與利用、瀏覽器漏洞挖掘與利用，2016年 GeekPwn 512，與楊坤一起以十一款路由器的漏洞挖掘與利用獲得 GeekPwn 512 的冠軍。中國海洋大學(xué) Blue-Whale 安全研究團(tuán)隊(duì)隊(duì)長，帶領(lǐng)成員進(jìn)行安全競賽、漏洞挖掘。

問答精華回顧：

Q1

之前其他媒體對你有報(bào)道，報(bào)道的題目是《八九點(diǎn)鐘的太陽，照在他的身上》，看照片也確實(shí)很年輕，能否再做一個(gè)高難度的“圖+文”的自我介紹？

趙漢青：我本科過來的三年和其他本科生有一點(diǎn)點(diǎn)不一樣，教室、班級或是宿舍并不是我的主戰(zhàn)場，我是在實(shí)驗(yàn)室度過的，就這樣我算是半個(gè)研究生，也受到了安全學(xué)術(shù)圈的很多熏陶，了解到了很多學(xué)術(shù)圈一線大佬的研究方向等，了解了非常多前沿的系統(tǒng)安全方面的技術(shù)。

當(dāng)時(shí)我的學(xué)長崔勤(現(xiàn)在也在長亭任職)在2012年左右依托著實(shí)驗(yàn)室創(chuàng)辦了一個(gè)CTF戰(zhàn)隊(duì),算是比較早的開始打國內(nèi)外比賽的戰(zhàn)隊(duì)。但是非常不幸的是我剛?cè)?shí)驗(yàn)室，學(xué)長就畢業(yè)了。雖然沒有了老司機(jī)帶，但是自己對這方面又十分的感興趣，所以當(dāng)時(shí)就自己天天呆在實(shí)驗(yàn)室白天黑天的解題、打比賽，總之就是自己瞎折騰，雖然走了不少彎路，但是還是成了一個(gè)賽棍，整個(gè)幾年算是學(xué)了一點(diǎn)皮毛知識。

大約是16年初，過來北京以后就從以前的瘋狂比賽轉(zhuǎn)到一些real-world的軟件、設(shè)備進(jìn)行研究了。

Q2

雷鋒網(wǎng)：請你介紹一下你所在的團(tuán)隊(duì)和長亭科技。

趙漢青：2011~2014年，幾個(gè)年輕的創(chuàng)始人在興趣的驅(qū)動(dòng)下，最終孵化出了這個(gè)新興的網(wǎng)絡(luò)安全服務(wù)公司——長亭科技。

Q3

雷鋒網(wǎng)：今年5月，在安全極客大賽 GeekPwn2016 澳門站上，你所在的長亭科技團(tuán)隊(duì)一口氣攻破了市面上銷售10款主流品牌路由器和1款攝像頭，獲得了最高獎(jiǎng)金，請給大家介紹下為什么選擇這10款路由器和1款攝像頭？花了多長時(shí)間研究破解？真正破解一款路由器需要多久？

趙漢青：之所以選了那10款路由器，其實(shí)沒有什么特別的考慮，在確定了澳門站我們要來展示路由器后，就是去京東輸入路由器關(guān)鍵詞，把銷量比較高的全買了一遍，盡量每個(gè)大品牌都買了，這樣可以使我們的研究在面兒上更能體現(xiàn)路由器的一些安全性問題，也能更好的引起各大廠商以及消費(fèi)者的重視。

整個(gè)研究過程其實(shí)有幾個(gè)月吧，從二月底到5月中旬，我們小伙伴們都一直在研究這個(gè)事情。這期間我們經(jīng)歷了選方向、選設(shè)備、漏洞挖掘、漏洞利用、演示準(zhǔn)備、撰寫文檔等等環(huán)節(jié)。真正破解一款路由器的話其實(shí)并不需要太久,其實(shí)我們完成一個(gè)設(shè)備的破解長則需要一周，短的話其實(shí)一晚上就夠了。

Q4

雷鋒網(wǎng)：具體破解過程是怎樣？介紹下酷炫吊炸天的技術(shù)吧！

趙漢青：首先，當(dāng)然是去購買一個(gè)設(shè)備了。

在拿到一個(gè)設(shè)備時(shí)，第一件事情通常是去盡量收集一些關(guān)于固件、架構(gòu)、端口等信息以方便我們分析攻擊面，為我們之后對binary(可執(zhí)行二進(jìn)制文件)進(jìn)行詳細(xì)逆向分析提供便利。一般最容易想到的就是能拿到一個(gè)可以操作的shell進(jìn)入路由器中查看，這樣所有的信息對于我們來說就一覽無余了。

如果可以給路由刷一個(gè)ssh或者路由本身就有telnet之類的shell，可以直接上去搜集信息。如果沒有任何ssh之類的程序，我們可以拆掉路由器，觀察焊點(diǎn)，因?yàn)橛幸淮蟛糠謴S家在出廠時(shí)會好心的留下一個(gè)用于調(diào)試的串口，我們只要能找到這個(gè)串口然后連入一般就可以獲得一個(gè)可以執(zhí)行命令的shell。

（編者注：這是什么意思呢？就好一個(gè)特工想潛入一個(gè)家庭，先了解下家庭成員的情況，然后找一個(gè)最笨的成員給自己帶路，而串口就是去了解這個(gè)家庭的一個(gè)手段。至于最笨的成員是哪一個(gè)？沒有通用的尋找規(guī)律，每一個(gè)路由器都要經(jīng)過一些攻擊面分析、然后具體的逆向，才能找出程序員寫出的漏洞，然后再利用。）

（編者注：SSH 為 Secure Shell 的縮寫，由 IETF 的網(wǎng)絡(luò)小組（Network Working Group）所制定；SSH 為建立在應(yīng)用層基礎(chǔ)上的安全協(xié)議。Telnet協(xié)議是TCP/IP協(xié)議族中的一員，是Internet遠(yuǎn)程登陸服務(wù)的標(biāo)準(zhǔn)協(xié)議和主要方式。Telnet是常用的遠(yuǎn)程控制Web服務(wù)器的方法。）

如果串口不太明顯，我們可以用示波器去測試，在串口向外輸出的時(shí)候，示波器上回顯示出規(guī)則的方波，讓我們可以更準(zhǔn)確的找到調(diào)試的接口。之后我們可以用USB轉(zhuǎn)TTL的設(shè)備接入電腦，就有一個(gè)shell可以用了。

在有了一個(gè)可以用的shell之后下一步就是去找尋攻擊面了,最容易想到的就是去打它開放的端口。

例如，上圖我們探測到了一個(gè)對外開放的webserver，非常簡單，接下來我們要做的事情就是根據(jù)端口找到對應(yīng)的binary，接下來我們就可以對其做逆向分析了。

下面我來介紹一個(gè)非常簡單的漏洞示例。

這是一個(gè)webserver的中解析參數(shù)的函數(shù)，通過簡單的分析我們就可以看出參數(shù)長度并沒有檢查就被copy到了棧上，實(shí)在是再簡單不過的棧溢出了。

雖然介紹的這個(gè)漏洞如此簡單，但是在實(shí)際的分析過程中,由于binary一般都算是比較多比較大，還是比較占用時(shí)間的。

那么找到了漏洞以后，無非就是要繼續(xù)想利用了，因?yàn)樵谶@些智能設(shè)備上我們發(fā)現(xiàn)的漏洞都比較簡單，所以用的利用技巧也相應(yīng)比較簡單。

遇到的小問題無非下面幾個(gè):

1.不能再棧上寫0,但是如果我們要做rop(Return-oriented programming)的話，一般代碼段起始的地址都是以0開頭的。遇到這種問題我們可以對返回地址做部分改寫，用一個(gè)“add sp,xxx”之類的gadget將棧遷移到高處。這樣我們就可以在棧的高處繼續(xù)做rop了；

2.如果開了地址隨機(jī)化，我們不能直接做rop?？梢韵刃孤兑淮魏瘮?shù)的got地址，然后算出真正的代碼段或是lib庫的加載地址，然后在繼續(xù)做rop；

3.遇到一些mips大端的架構(gòu)，這樣我們做部分覆蓋的小trick也會失效，但是由于性能原因，我們發(fā)現(xiàn)大部分mips的路由都是沒有開隨機(jī)化的，所以我們可以干脆對lib基址進(jìn)行爆破，就可以去用到lib里的gadget(一些指令片段)了。

在確定好寫利用的思路以后，寫的過程中我們也許需要debug，最通常的辦法還是利用ftp或是tftp等工具傳一個(gè)gdbserver到路由內(nèi)部，然后用gdb進(jìn)行遠(yuǎn)程調(diào)試。我們可以用一個(gè)非常好用的gdb輔助插件(https://github.com/kelwin/peda),使用效果如下。

 

之后我們用我們的exploit腳本(攻擊腳本)發(fā)起遠(yuǎn)程攻擊，就能遠(yuǎn)程獲得路由器的最高權(quán)限，接管這臺路由了。 

Q5

雷鋒網(wǎng)：還有一個(gè)重要問題是，為什么朝路由器下手？

趙漢青：選擇路由器作為主要研究對象的原因是：在去年的極棒上，我們重點(diǎn)研究了多款網(wǎng)絡(luò)攝像頭。而對于路由器我們只研究了一款，就發(fā)現(xiàn)了多個(gè)安全漏洞，這引發(fā)了我們的興趣和擔(dān)憂。

路由器作為家庭的上網(wǎng)入口，連接了許許多多的設(shè)備，不僅筆記本電腦、手機(jī)需要連網(wǎng)，還有越來越多的智能設(shè)備。例如，攝像頭、網(wǎng)絡(luò)電視、智能插座、智能烤箱等也同樣接入了家庭網(wǎng)絡(luò)。因此，路由器這個(gè)網(wǎng)絡(luò)入口設(shè)備的安全性就顯得尤其重要。一旦路由器存在安全漏洞被黑客攻破，家里的其他設(shè)備就會更容易被監(jiān)聽、劫持，甚至長期植入后門。

如今，路由器市場競爭激烈，很多傳統(tǒng)大品牌大廠商都推出了自己的產(chǎn)品，主流的品牌非常多。我們希望能用自己的技術(shù)積累，對各大知名品牌路由器的安全性做一些分析和對比。盡可能多、盡可能早地去發(fā)現(xiàn)問題，從而來提醒消費(fèi)者和廠商。一方面，想引起路由器廠商的重視，推動(dòng)他們在安全方面投入更多的努力。另一方面，讓消費(fèi)者理解安全的重要性，提高對安全的訴求。

現(xiàn)如今在PC、瀏覽器等的漏洞挖掘都已經(jīng)進(jìn)入了“very-hard”模式時(shí)，想完成一次此類的攻擊通常都需要幾個(gè)精巧的漏洞的巧妙組合。然而現(xiàn)在的”IOT設(shè)備”基本是10年前PC的安全水平吧。更確切的話，我們有一位小伙伴曾經(jīng)講過一個(gè)非常精髓的話:”感覺現(xiàn)在做所謂的‘IOT設(shè)備’的還是處在設(shè)計(jì)的時(shí)候不考慮任何潛在的安全問題的狀態(tài),勸都勸不動(dòng)”。所以現(xiàn)在市面上的各種智能硬件從設(shè)計(jì)上對安全的考慮還是要再學(xué)習(xí)一個(gè)。

Q6

雷鋒網(wǎng)：這些路由器被破解后，后續(xù)發(fā)生了什么？廠商有找你們嗎？說說后續(xù)可能的“金錢誘惑”吧？

趙漢青：大部分廠家其實(shí)是非常友好的，例如華為、極路由等廠家都非常重視這些安全問題,其中大部分的廠家都積極的與我們?nèi)〉寐?lián)系,在我們向廠家披露后也進(jìn)行了積極的修復(fù)工作，之后對我們表示了感謝。還有像華為還非常好心的幫我們申請了CVE編號，確實(shí)是良心廠商。 

對于”金錢誘惑”是沒有這種事情的，因?yàn)槲覀冄芯康某踔跃褪亲審S商和大眾能看到這些問題，一起聯(lián)合起來去改善這個(gè)現(xiàn)狀。所以我們從來都是只協(xié)助廠家修復(fù)漏洞，不做過分的披露。

Q7

雷鋒網(wǎng)：吃瓜群眾最好奇的是，路由器破解了之后會有哪些后果？能否舉例一些具體場景和案例？比如，要追一個(gè)妹子，可以通過破解她家的路由器了解她的各種喜好嗎？

趙漢青：

上圖是我們研究的一款我們可直接訪問到的有安全問題的路由在2016年5月左右在全球的分布情況。這個(gè)數(shù)字大約接近5萬，也就是說憑著一個(gè)路由的漏洞我們就可以構(gòu)建一個(gè)規(guī)模如此巨大的僵尸網(wǎng)絡(luò)，不說接管所有用戶的流量使得用戶的隱私受到侵犯。如果有不法分子利用其做DDOS之類的攻擊，后果是非常之嚴(yán)重的。

其實(shí)當(dāng)對一個(gè)路由發(fā)起遠(yuǎn)程攻擊并獲取最高權(quán)限以后,就完全接管了這個(gè)路由的一些，從這個(gè)路由中走的所有流量都會被接管，你不僅可以了解到一個(gè)平常都在看什么網(wǎng)站，用什么App，甚至一些敏感的私人信息，比如賬號名、甚至有可能是密碼都是有可能知道的。甚至可以讓使用這個(gè)路由上網(wǎng)的人在訪問正常網(wǎng)站時(shí)被導(dǎo)向釣魚網(wǎng)站。所以如果大家有這種擔(dān)心的話，平時(shí)還是要注意不要將自己的路由暴露在公網(wǎng)上。在公共場合也最好不要連入陌生的、免費(fèi)wifi之類的 上網(wǎng)，這都是同樣不安全的。當(dāng)然對于追一個(gè)女孩兒的話,建議大家不要去搞這種奇奇怪怪的東西，還是用心好好交流體會陪伴比較好。

Q8

雷鋒網(wǎng)：除了你們的破解路徑，還有別的主流破解路徑可以說說嗎？

趙漢青：在這里我們總結(jié)了一個(gè)hack一臺智能設(shè)備大約需要的過程。

1.當(dāng)然是買一個(gè)

2.去搜尋它的固件(官網(wǎng)下載或者直接抓取更新鏈接)

3.最好能得到一個(gè)可以用的shell以便搜集信息

4.找尋攻擊面

5.逆向分析或者像openwrt之類的會有一些腳本我們可以審計(jì)

6.寫利用代碼

那么還有其他的一些途徑來入侵一臺路由，比如，路由的加密采用的是WEP這種易于破解的，就可以通過一些暴力手段來加入一臺wi-fi路由，之后再進(jìn)一步做一些其他的事情。 

Q9

雷鋒網(wǎng)：事實(shí)上，沒有什么技術(shù)基礎(chǔ)的吃瓜群眾可以在聽了你的講座后破解一款路由器嗎？有壁壘嗎？

趙漢青：大家聽了這么多之后，其實(shí)可以感受到，現(xiàn)在大多數(shù)所謂智能設(shè)備的漏洞其實(shí)還是比較弱的狀態(tài)。只要大家有一些計(jì)算機(jī)系統(tǒng)的基礎(chǔ)或是做過一些程序的開發(fā)，只要再加上對逆向和簡單的漏洞利用有一定了解其實(shí)就可以去嘗試hack一臺路由了。 

所以對于沒有技術(shù)基礎(chǔ)的群眾們來講的話，可能還會是有一定的難度,談不上壁壘，但是完成這個(gè)事情還是要有一點(diǎn)點(diǎn)的計(jì)算機(jī)方便的綜合能力的，就是軟件硬件都稍微懂點(diǎn)就可以了這樣。

Q10

雷鋒網(wǎng)：除了那十款路由器，可以總結(jié)下一般路由器的漏洞嗎？

趙漢青：從平時(shí)研究來看，路由器本身可能存在的安全問題大致包含以下3類：

1. 暴露了較多遠(yuǎn)程服務(wù)，這些服務(wù)可能存在漏洞，增大了攻擊面;

2. 管理平臺存在默認(rèn)賬戶;

3. 功能設(shè)計(jì)缺陷可繞過驗(yàn)證登錄管理平臺。

在我們實(shí)際的研究過程中遇到的具體問題大概有下面幾種:

1.一些系統(tǒng)配置文件的注入

2.棧溢出

3.堆溢出

4.命令注入

5.弱認(rèn)證

6.內(nèi)存信息泄露

7.由sql注入而間接導(dǎo)致的棧溢出

Q11

雷鋒網(wǎng)：可以反過頭來技術(shù)支招下，如何防止路由器被破解嗎？可以分為專業(yè)技術(shù)級與普通吃瓜群眾級來說一下嗎？比如一個(gè)專業(yè)做網(wǎng)絡(luò)安全的人和一個(gè)不想被人追的普通妹子，操作肯定會不一樣。

趙漢青：針對以上安全問題，我們建議廠商提高在設(shè)備安全方面的投入，提高產(chǎn)品的安全性。這不僅是對消費(fèi)者負(fù)責(zé)，也是為自身可持續(xù)發(fā)展鋪路。在改進(jìn)產(chǎn)品的安全性之前，可以先多了解黑客攻擊的過程和方法，針對黑客攻擊流程中的每一步去做相應(yīng)的防護(hù)。例如：使用自定義固件格式、對固件做加密和簽名校驗(yàn)，來阻止攻擊者輕易拿到軟件來分析或篡改；盡可能多的去減少暴露的攻擊面來降低風(fēng)險(xiǎn);當(dāng)然根本解決問題還需要編寫安全的軟件，現(xiàn)在很多廠商的軟件中依然使用了不少危險(xiǎn)函數(shù)，建議首先對這些函數(shù)做替換。

對于普通用戶，我們強(qiáng)烈呼吁他們要形成安全保護(hù)的意識，養(yǎng)成好的信息保護(hù)習(xí)慣。針對路由器來說，雖然目前漏洞很難避免，但是只要保證家庭內(nèi)網(wǎng)不對外開放，不給不信任的人接入，路由器不對公網(wǎng)暴露，就可以相對安全一些。具體來說，這些保護(hù)措施包括：WIFI密碼使用強(qiáng)加密算法例如WPA2，而不是容易被破解的WEP;禁用路由器WPS功能，防止PIN碼被破解;不用所謂的wifi蹭網(wǎng)軟件，因?yàn)槟阍诓渚W(wǎng)的同時(shí)也會將自己家里的wifi密碼分享出去。

Q12

雷鋒網(wǎng)：可以講解下“破解不成快要抓包”的場景嗎？即如何發(fā)現(xiàn)有人在破解你的路由器？

趙漢青：其實(shí)我們今天所講的路由器的破解并不是說對一個(gè)路由的登錄密碼做爆破或者怎么樣。在對路由器的系統(tǒng)固件做完分析，開發(fā)出漏洞利用程序后，其實(shí)發(fā)起攻擊大多只需要一瞬間就可完全接管目標(biāo)路由器。所以從這個(gè)角度來說，想要發(fā)現(xiàn)有人正在攻擊你的路由，對于普通用戶來講其實(shí)是比較困難的事情。但是我們平時(shí)通過一些簡單的措施就可以大大降低自己家路由被攻擊的幾率，比如說設(shè)置非常復(fù)雜的連入口令，絕對不要讓不可信的人連入你的wifi等。

Q13

雷鋒網(wǎng)：之前思科說宇宙射線會導(dǎo)致路由器 bug，參考雷鋒網(wǎng)發(fā)文：宇宙射線會導(dǎo)致路由器 bug，思科你認(rèn)真的嗎？你怎么看？

趙漢青：這種以及類似的事情的確是有可能會發(fā)生的。就像生物的染色體在收到一些宇宙射線的照射會發(fā)生基因突變一樣，電子設(shè)備在受到了一些強(qiáng)烈輻射其內(nèi)存可能也會受到影響。更實(shí)際的也有類似的事情，比如，2015年project zero曾發(fā)現(xiàn)RowHammer漏洞，在最近的安卓上也出現(xiàn)了利用方法，雖然這個(gè)是由于硬件上設(shè)計(jì)的缺陷導(dǎo)致的，通過頻繁訪問內(nèi)存中的 一行數(shù)據(jù)，會導(dǎo)致臨近行的數(shù)據(jù)發(fā)生反轉(zhuǎn)，加以巧妙利用可導(dǎo)致權(quán)限提升等問題。

所以思科所說的這些事情在硬件設(shè)計(jì)有缺陷或者其他特殊的情況下完全也是可能存在的。但是就我們所更關(guān)注的安全問題來講，通常我們把可以利用的bug才叫做漏洞，不可利用的bug可能更多的只是會給用戶或者管理人員帶來使用上的不便。對于這種宇宙射線導(dǎo)致bug的事情其實(shí)我們普通民眾并不需要過多的去擔(dān)心，第一個(gè)我個(gè)人認(rèn)為碰到這種事情的概率蠻小的。第二，就算可以觸發(fā)bug其利用難度也許比較大。所以對于我們普通民眾來說不需要擔(dān)心，當(dāng)成好玩的事情了解就可以了。

Q14

雷鋒網(wǎng)：除了破解路由器，你們之前還朝什么下手了？之后又打算朝著什么下手？為什么？

趙漢青：我們之前對一些例如POS機(jī)等支付設(shè)備，智能攝像頭，甚至現(xiàn)在越來越普及的平衡車、各種藍(lán)牙設(shè)備都有過一定研究。

在此次geekpwn1024大家可能已經(jīng)看到了我們對客戶端漏洞的一些研究成果，在之后的日子里，我們更會不光局限于智能設(shè)備、linux kernel、windows kernel、Android kernel、瀏覽器、安卓系統(tǒng)服務(wù)、以及IOS都有可能是我們的下一個(gè)目標(biāo)，所以大家敬請期待我們以后的消息吧。

那之所以會把注意力轉(zhuǎn)移到其他地方主要還是因?yàn)閳F(tuán)隊(duì)風(fēng)格和我們個(gè)人的興趣吧，我們大多數(shù)人的興趣其實(shí)還是在客戶端上，還是更渴望去玩一些更加有趣、更加有挑戰(zhàn)性的東西。

Q15

雷鋒網(wǎng)：聽說你們在2016極棒大會上又搞了一個(gè)項(xiàng)目？可否詳細(xì)介紹？

趙漢青：在今年1024的geekpwn上,我們團(tuán)隊(duì)的slipper通過對PS4瀏覽器引擎與操作系統(tǒng)內(nèi)核的攻擊，實(shí)現(xiàn)和演示了對最新版本4.01的遠(yuǎn)程越獄。大家可能知道geohot是世界上第一個(gè)越獄ps3的人。國外團(tuán)隊(duì)fail0verflow也曾實(shí)現(xiàn)過PS4較老版本的破解。算起來這應(yīng)該算是世界上第二次公開破解PS4。據(jù)我對攻擊細(xì)節(jié)的了解，索尼對PS4的內(nèi)核做了非常多復(fù)雜的mitigation(攻擊緩解措施)，整個(gè)利用過程非常的復(fù)雜和巧妙，所以完成這件事情其實(shí)是非常令人激動(dòng)和佩服的。在楊博士和slipper演示了越獄之后,也引起了國內(nèi)外的瘋狂討論,twitter、fb、以及國內(nèi)各大游戲網(wǎng)站、媒體都對這個(gè)事情非常的關(guān)注。也請大家繼續(xù)在近期繼續(xù)關(guān)注我們的twitterCchaitinTech,我們會有更多新消息放出。

另外我們還在今年的的geekpwn 1024上利用手機(jī)驅(qū)動(dòng)中存在的漏洞，演示了一款安卓智能手機(jī)的root，演示了在手機(jī)裝了我們的app并運(yùn)行后,即可替換掉開機(jī)畫面(只有手機(jī)最高權(quán)限才能替換開機(jī)畫面)，并將手機(jī)里的照片竊取穿回我們的服務(wù)器，在之后的時(shí)間里我們也會繼續(xù)對Android或 iOS系統(tǒng)的內(nèi)核安全作出貢獻(xiàn)。

Q16

雷鋒網(wǎng)：在長亭科技介紹中，你是核心成員之一。你才大三，年紀(jì)輕輕，想八卦下是怎么進(jìn)長亭，然后又這么酷炫的？

趙漢青：大約在16年初，當(dāng)時(shí)我適逢在北京參加一個(gè)世界大學(xué)生超級計(jì)算機(jī)競賽的訓(xùn)練營，然后經(jīng)由我的學(xué)長介紹在那個(gè)時(shí)間第一次見到了楊坤博士，后來我就參與到其中，開始和大家一起玩real-world的設(shè)備和軟件了。

真正炫酷的并不是我，我們團(tuán)隊(duì)的楊坤博士、slipper、Marche、CC還有其他小伙伴都是年紀(jì)非常輕，但個(gè)人能力非常之強(qiáng)也非常炫酷的人。當(dāng)初剛過來其實(shí)什么都不會，然后楊博士就教我們各種知識，各種技巧，帶我們學(xué)會了非常多的東西。大家一起攻堅(jiān)克難，每天的生活充滿了機(jī)遇和挑戰(zhàn)，十分的開心。

自己可能比較早的接觸了一些不管是學(xué)術(shù)圈還是工業(yè)界的事情，也能體會到純研究型的實(shí)驗(yàn)室、或是組織、團(tuán)隊(duì)可謂越來越稀有和珍貴。能在這樣一個(gè)地方和大家一起折騰一起玩無疑是非常開心的一件事情。大家每天吃飯、睡覺、膜slipper?；ハ喾窒怼⒐餐M(jìn)步，研究最前沿的東西。有一群志同道合的人一起玩就每天非常開心。

自己未來的話并沒有想太過遠(yuǎn),如果沒有一些重要的變數(shù)的話,5~10年內(nèi)應(yīng)該不會考慮一切其他事情，因?yàn)樽约哼€欠缺的非常多，只想能把握住學(xué)習(xí)的機(jī)會，每日有所提高，和大家一起做出一些比較有趣的研究成果吧。

Q17

雷鋒網(wǎng)：你們是怎么花極棒的獎(jiǎng)金的？聽說有42萬？

趙漢青：首先當(dāng)然是會請全公司的小伙伴們吃一頓大餐。然后給每人發(fā)一個(gè)大大的紅包，最后從里面抽取一部分作為后續(xù)研究的經(jīng)費(fèi)，剩下的部分分給為這次比賽付出的同事們。

互動(dòng)環(huán)節(jié)：

聽眾：接觸式的路由器，就是手機(jī)在路由器上滑一下然后自動(dòng)鏈接的那種，容易遠(yuǎn)程被破譯嗎？

趙漢青：不管是什么有著花里胡哨功能路由器，它的身上都是有著最基本的路由器的功能的。那么不管是什么樣的路由器，那么如果我們能夠遠(yuǎn)程訪問到這臺路由的話，假設(shè)它存在一些遠(yuǎn)程服務(wù)的內(nèi)存或者其他漏洞的話，我們并不一定需要知曉它的密碼，在對存在漏洞的遠(yuǎn)程服務(wù)進(jìn)行攻擊利用后，即可遠(yuǎn)程獲得路由的最高權(quán)限。即使現(xiàn)在我們依然不知道這臺路由的登入密碼到底是什么。

聽眾：自己的路由器如何才不會暴露在公網(wǎng)上？

趙漢青：其實(shí)現(xiàn)在大多數(shù)的路由器都已經(jīng)自帶了防火墻功能并且默認(rèn)打開，對于一臺連結(jié)內(nèi)外網(wǎng)的路由，只要大家不去關(guān)掉這個(gè)防火墻，路由也就不會暴露在外網(wǎng)上。

聽眾：針對未知聯(lián)網(wǎng)路由器怎么開展攻擊？

趙漢青：那么在此我認(rèn)為這個(gè)問題所說的未知代表的是:“這臺設(shè)備是聯(lián)網(wǎng)的，你可以遠(yuǎn)程訪問到他的服務(wù)，你不知道它到底是不是路由，你不知道它到底是那個(gè)牌子，型號的路由”。對于此種情況其實(shí)是在一些實(shí)際的滲透測試中會遇到的。所以用一定的手段收集信息就顯得尤為重要，通常的方法是通過對遠(yuǎn)程服務(wù)做端口掃描，向遠(yuǎn)程服務(wù)發(fā)送數(shù)據(jù)包，從返回的信息中搜尋指紋，利用開放的服務(wù)類型、一些版本、型號信息確定這臺設(shè)備到底是什么。之后我們可以購買這臺設(shè)備、或者下載這臺設(shè)備的固件進(jìn)行測試和研究。在本地調(diào)通以后，再對遠(yuǎn)程設(shè)備進(jìn)行攻擊。當(dāng)然這一切必須要在已授權(quán)的情況下進(jìn)行。

聽眾：第三個(gè)問題補(bǔ)充一下，遠(yuǎn)程可以訪問到IP，其他情況未知，判斷是什么設(shè)備，如果是路由器怎么開展攻擊？

趙漢青：這個(gè)在回答的第二部分已經(jīng)提過了，通常的方法是通過對遠(yuǎn)程服務(wù)做端口掃描，向遠(yuǎn)程服務(wù)發(fā)送數(shù)據(jù)包，從返回的信息中搜尋指紋，利用開放的服務(wù)類型、一些版本、型號信息確定這臺設(shè)備到底是什么?？梢詫?shí)際購買一些設(shè)備和遠(yuǎn)程的服務(wù)開放情況，返回包信息等做一些匹配，在買到確定的設(shè)備或者下載到固件后，對其進(jìn)行一些逆向分析，尋找并發(fā)現(xiàn)漏洞。本地調(diào)通之后再進(jìn)行對遠(yuǎn)程的攻擊。再次強(qiáng)調(diào)，必須要在已授權(quán)的情況下進(jìn)行。

聽眾：手機(jī)4G做熱點(diǎn)共享wifi，有機(jī)會被破解嗎？

趙漢青：手機(jī)做共享熱點(diǎn)和我們平常wifi連接一臺路由的技術(shù)是不一樣的，攻擊面是也不一樣的。因?yàn)閭€(gè)人并沒有對此做過深入研究，無法過多解答這個(gè)問題。

聽眾：希望推薦學(xué)習(xí)這方面知識的書，還有需要學(xué)習(xí)的知識。

趙漢青：其實(shí)對智能設(shè)備的安全研究最終還是要回歸到逆向工程和二進(jìn)制漏洞利用上的。首先要學(xué)好計(jì)算機(jī)基礎(chǔ)課程、打好計(jì)算機(jī)知識基礎(chǔ)，這樣有助于我們更好的學(xué)習(xí)一些安全技術(shù)，將技術(shù)變通的應(yīng)用于多種場景。路由器的固件其實(shí)大多也是一個(gè)小型的linux操作系統(tǒng)，所以初學(xué)的小伙伴還是要打好操作系統(tǒng)基礎(chǔ)，對linux或者VxWorks系統(tǒng)有一定的熟悉度，那么在對其中的一些binary分析起來就可以更加的得心應(yīng)手。那么對于一些漏洞利用技術(shù)的學(xué)習(xí)可以參考一些往年的CTF比賽中出的挑戰(zhàn)題，這些挑戰(zhàn)題目多小而美，可以使我們快速學(xué)習(xí)到一些有趣的漏洞利用技術(shù)。對于知識的儲備，可以參考0ops安全技術(shù)戰(zhàn)隊(duì)小伙伴給出的書單和練習(xí)網(wǎng)站。(《程序員的自我修養(yǎng)》、《深入理解計(jì)算機(jī)系統(tǒng)》、《算法導(dǎo)論》、《密碼學(xué)應(yīng)用》、《編譯原理(龍書)》、《鳥哥的私房菜》、《白帽子講Web安全》)此外，還有一些在互聯(lián)網(wǎng)上具有代表性的關(guān)于CTF競賽相關(guān)的練習(xí)資源：

逆向工程：bbs.pediy.com，www.52pojie.cn，crackmes.de，reversing.kr

漏洞挖掘與漏洞利用：smashthestack.org，pwnable.kr，overthewire.org/wargames/vortex/

網(wǎng)絡(luò)滲透：www.wechall.net，pentesterlab.com

CTF競賽題目匯編：github.com/ctfs，shell-storm.org/repo/CTF/

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。