CTF导航 CTF导航

某系统漏洞挖掘之固件分析

IoT 2年前 (2022) admin
955 0 0

某系统漏洞挖掘之固件分析

本文为看雪论坛精华文章

看雪论坛作者ID:零加一


本篇章以提取加密的固件的文件系统为目标,从系统的启动到内核解密到文件系统解密的加载做一个调试。

并对系统内核以及文件系统进行提取,为后面漏洞挖掘做铺垫。以及提升自身对linux系统逆向知识面。


1


环境搭建


在官网可以看到有两个版本可供下载。一个是gho一个是img,这里两个都下载了。
某系统漏洞挖掘之固件分析
从提供的下载包可以看出这是软路由的系统,没有硬件限制,所以下面用vmware进行了安装。
某系统漏洞挖掘之固件分析
配置好后,进入后台管理界面如下:
某系统漏洞挖掘之固件分析
初始环境安装完后,发现系统并没有提供输入。所以需要上qemu进行调试将文件系统提取出来。


2


文件系统提取


使用qemu运行该系统:
某系统漏洞挖掘之固件分析
对img进行进行提取,在grub中的menu.list可以看出initrd对应的是root.gz。
某系统漏洞挖掘之固件分析
可以看到root.gz是属于加密的。
某系统漏洞挖掘之固件分析


GRUB调试


linux大概的启动过程:

注:具体细节请参考GRUB源码。

00.BIOS:
寻找启动设备并将设备的第0个扇区载入到0x7c00处,即载入MBR

01.MRB:
从0x7c00处开始执行,并将第1个扇区载入到0x2000,并跳转到0x2000处继续执行,这里为加载Stage1.5

02.Stage1.5:
将第1个扇区之后的几个扇区装载到0x2200,并跳转到0x2200处继续执行,并加载Stage2加载到0x8000处后跳转到0x8200处开始执行。

03.Stage2:
读取配置文件,根据配置文件进行执行操作,其中包括了内核镜像(这里是bzImage)的加载,当内核镜像加载完毕后会有3个地址需要关注。    1.linux_data_tmp_addr指向bzImage数据。    2.LINUX_BZIMAGE_ADDR指向压缩后的kernel数据。    3.linux_data_real_addr指向部分bzImage数据linux_data_tmp_addr开始将部分数据拷贝到linux_data_real_addr并切换到实模式跳转到linux_data_real_addr+200处执行。

使用qemu+ida进行启动调试:
./qemu-system-i386 -s -S -m 512 -drive file=Wowfk.img,format=raw,index=0


MBR


使用IDA附加,并在0x7c00处下断后断下,可以看到是磁盘的第0个扇区的数据。

某系统漏洞挖掘之固件分析

随后将第1个扇区载入到0x70000处。
某系统漏洞挖掘之固件分析
将第0x70000的数据复制到0x2000即Stage1.5然后跳转到0x2000处继续执行。

某系统漏洞挖掘之固件分析


Stage1.5


循环从第2个扇区开始载入到0x70000

某系统漏洞挖掘之固件分析

接着将数据复制到0x2200+index处

某系统漏洞挖掘之固件分析

数据载入完后跳转到0x2200处继续执行
某系统漏洞挖掘之固件分析
在经过一系列的初始化后,便开始将Stage2载入到0x8000,大小是0x400
:圈起来的函数是grub_read,参考源码:/stage2/stage1_5.c:cmain

某系统漏洞挖掘之固件分析

剩余的Stage2数据载入到0x8400,并跳转到0x8200处执行
call    near ptr unk_2360在源码中对应的是/stage2/asm.S:chain_stage2用于转移ip0x8200的代码位于:/stage2/asm.S:_start

某系统漏洞挖掘之固件分析
在asm.S:_start结尾调用了init_bios_info
某系统漏洞挖掘之固件分析
init_bios_info最后跳转到了00027E9C(/stage2/stage2.c:cmain)处继续执行
某系统漏洞挖掘之固件分析
最后开始解析配置文件寻找对应的处理函数进行调用,如下是kernel命令对应的。
某系统漏洞挖掘之固件分析

/stage2/builtins.c中对应的kernel_func函数,最终调用load_image
某系统漏洞挖掘之固件分析
某系统漏洞挖掘之固件分析
某系统漏洞挖掘之固件分析

load_image中在将bzImage的前0x2000大小的数据读取到0x66000处后,再从0x66000处复制到linux_data_tmp_addr(0x5CFD30)中。

某系统漏洞挖掘之固件分析

继续读取之后的0x1800字节,保存到linux_data_tmp_addr+0x2000处。

某系统漏洞挖掘之固件分析

接着将0x3800之后的所有数据读取到LINUX_BZIMAGE_ADDR(0x100000)。

某系统漏洞挖掘之固件分析


当到了boot命令后,便进入boot_func函数。

某系统漏洞挖掘之固件分析

某系统漏洞挖掘之固件分析
kernel_type是3,最终调用big_linux_boot函数。
某系统漏洞挖掘之固件分析
某系统漏洞挖掘之固件分析

在/stage2/asm.S:big_linux_boot中可以清晰的看到
从linux_data_tmp_addr将0x9400大小的数据复制到(linux_data_real_addr)0x90000

某系统漏洞挖掘之固件分析

切换到实模式后,通过jmp far跳转到90200处执行,改变了cs=9020 ip=0
某系统漏洞挖掘之固件分析

那么真实的ip=cs*16+ip=90200,显然16位的寄存器存不下该值,所以通过来段寄存器的方式去执行。

且ida并不能去识别这样的进程环境,导致出现了反汇编的窗口指向了错误的页面但能F7 F8。

某系统漏洞挖掘之固件分析

解决这样情况的办法就是将cs清零,将ip修改成正确的地址即可,但是遇到ip被改变的需要修改回原来的样子再执行。所以等一手正版人员给ida提一个issues,非常感谢!
某系统漏洞挖掘之固件分析
经过一顿反复的下断调试,虽然其中对应的是linux源码中的/boot/main.c,但因为ida的问题还是很难调试,最后切换到保护模式跳转进入LINUX_BZIMAGE_ADDR(0x100000)

某系统漏洞挖掘之固件分析

至此,就进入了内核,GRUB的过程结束。


内核调试

注:该处执行的代码均在/arch/x86/boot/compressed/head_32.S中

从LINUX_BZIMAGE_ADDR处往后执行,会将加密的内核数据从LINUX_BZIMAGE_ADD复制到0x17bb000,接着并跳转到0x17bb000+0x4C7EDC执行

某系统漏洞挖掘之固件分析

随后将内核解密,并将该快内存dump

某系统漏洞挖掘之固件分析


使用vmlinux-to-elf将内核程序提取出来
某系统漏洞挖掘之固件分析

等待将内核解压后开始调用parse_elf函数

某系统漏洞挖掘之固件分析

完成后会将内核程序的+0x1000处填充到0x1000000,并跳转到该处执行。
某系统漏洞挖掘之固件分析

在0x1000000往下执行,重新将内核复制到0x81000000处,并跳转到0x818B6CEB

某系统漏洞挖掘之固件分析

经过了漫长的调试,配合linux源码看,最终定位到了0x81BDC9CE处,调用的函数具体是干嘛的我也不知道,只知道eax是指向root.gz解密后的数据,edx为长度。

某系统漏洞挖掘之固件分析

最后写脚本将所有数据进行dump:
某系统漏洞挖掘之固件分析

成功dump出文件系统:

某系统漏洞挖掘之固件分析



3


总结


1、ida对此类的调试环境,反汇编支持并不友好。望一个好心人提一个issues!
2、在保护模式和实模式的切换间16位和32位的调试,对系统底层有了一个模糊的了解。
3、心一定要稳,不要浮躁,F8一定不能快!



某系统漏洞挖掘之固件分析 


看雪ID:零加一

https://bbs.pediy.com/user-home-749276.htm

*本文由看雪论坛 零加一 原创,转载请注明来自看雪社区


某系统漏洞挖掘之固件分析


# 往期推荐

1.一道内核CTF题:Kernel从0开始

2.分析屏保区TOP1的一款MacOS软件

3.某视频app的学习记录

4.Chrom V8分析入门——Google CTF2018 justintime分析

5.内核学习-异常处理

6.Typora 授权解密与剖析



某系统漏洞挖掘之固件分析



某系统漏洞挖掘之固件分析

球分享

某系统漏洞挖掘之固件分析

球点赞

某系统漏洞挖掘之固件分析

球在看



某系统漏洞挖掘之固件分析

点击“阅读原文”,了解更多!

原文始发于微信公众号(看雪学苑):某系统漏洞挖掘之固件分析

版权声明:admin 发表于 2022年1月6日 上午9:59。
转载请注明:某系统漏洞挖掘之固件分析 | CTF导航

相关文章

ciscorv160 漏洞复现
admin
385
【技术分享】针对沉浸式VR系统的虚拟环境操纵攻击
admin
458
The talk covers how we managed to execute arbitrary code on the Starlink User Terminal using a custom modchip that performs voltage fault injection
admin
613
无线攻击工具 ghost phisher
admin
972
Black Hat Europe 2021议题解读:Wi-Fi Mesh中的安全攻击面
admin
815
PWN2OWN AUSTIN 2021 : DEFEATING THE NETGEAR R6700V3
admin
734

暂无评论

您必须登录才能参与评论!
立即登录
暂无评论...

相关文章

【BlackHat 2024】SystemUI As EvilPiP: 针对现代移动设备的劫持攻击
0
迅捷PoE*AC路由一体机FR100P-AC固件提取研究
0
路灯频率?自由控制路灯?
0
TP-Link Archer AX-21路由器 任意命令执行漏洞 CVE-2023-1389
0
西湖论剑2024 IOT赛后复盘及mqtt rce详解
0
Hunting for Unauthenticated n-days in Asus Routers
0
Palo Alto CVE-2024-3400 漏洞分析
0
原创 | CVE-2024-21762 FortiOS内存越界写导致RCE漏洞分析
0
手把手玩转路由器漏洞挖掘系列-WIFI安全威胁
0
MikroTik RouterOS CVE-2023-32154 认证前RCE漏洞分析
0