云雾安全公众号
IOT漏洞挖掘
路由器固件仿真配置(三)
1.相关琐碎
上两节中使用的系统仿真方法相对来说比较简单,这一次选择使用一种更通用的固件服务仿真方法。
2.工具准备
IDA
下载地址链接: https://pan.baidu.com/s/12NG9mOtbV6WDk_Xz8T-HLA
提取码: 8cp4
IDAPro(简称IDA)是DataRescue公司( www.datarescue.com)出品的一款交互式反汇编工具,它功能强大、操作复杂。IDA最主要的特性是交互和多处理器。操作者可以通过对IDA的交互来指导IDA更好地反汇编,IDA并不自动解决程序中的问题,但它会按用户的指令找到可疑之处,用户的工作是通知IDA怎样去做。比如人工指定编译器类型,对变量名、结构定义、数组等定义等。这样的交互能力在反汇编大型软件时显得尤为重要。多处理器特点是指IDA支持常见处理器平台上的软件产品。IDA支持的文件类型非常丰富,除了常见的PE格式,还支持Windows,DOS,UNIX,Mac,Java,.NET等平台的文件格式。
Tenda固件
Tenda AC15下载地址:https://github.com/VulnTotal-Team/IoT-vulhub/tree/master/Tenda/CVE-2018-5767/firmwarebinwalk
安装教程:https://blog.csdn.net/qq_50854790/article/details/123391951binwalk是用于搜索给定二进制镜像文件以获取嵌入的文件和代码的工具。具体来说,binwalk是一个固件的分析工具,旨在协助研究人员对固件非分析,提取及逆向工程用处。简单易用,完全自动化脚本,并通过自定义签名,提取规则和插件模块,还重要一点的是可以轻松地扩展。
网上很多安装教程,安装时注意要成功安装.deps.sh 脚本中的binwalk依赖,否则提取出的固件会不完整。
qemu-arm-static
安装命令:apt install qemu-user-static3.开始实验
使用binwalk提取固件中的文件系统
命令:binwalk -Me US_AC15V1.0BR_V15.03.1.16_multi_TD01.bin
在提取出的文件夹中,即可找到固件的文件系统
尝试开启固件网络服务
首先查询固件的系统架构,命令如下:
file ./bin/busybox
发现是32位,小端,arm架构,使用qemu-arm-static进行模拟Tenda路由器的网络服务一般是名称为/bin/httpd,开启命令如下:
sudo chroot ./ ./qemu-arm-static ./bin/httpd
发现服务开启失败,需要对httpd二进制程序进行逆向patch
动态调试并patch httpd服务
将httpd拉入ida32中进行分析,定位到sub_2CEA8函数即为main函数
在main函数中加入断点,在ubuntu系统中使用qemu-arm-static开启httpd服务,并-g 指定调试接口,命令如下:
sudo chroot ./ ./qemu-arm-static -g 23946 ./bin/httpd使用ida远程链接,选中ida菜单栏中的Debuger选项,Select Debuger,选中remote GDB debugger
然后点击绿色运行按钮,填入ubuntu虚拟机的正确ip地址后,即可开启远程调试,按F9键程序开始运行,并断在刚才所打的断点处,F8单步步过,F7单步步入
分析后发现httpd服务开启有两个检测条件:
1.check_network()<=0时则会陷入sleep循环
2.ConnectCFM() 不符合条件则会提示”connect cfm failed”
使用ida的key_patch对这两处判断进行修改,可以进行绕过
修改成如下结果即可
修改完成之后ip依旧有问题
于是根据关键字符串“httpd listen ip”,寻找问题源头,定位到sub_1A36C函数中
使用gdb 跟踪定位一下,开启调试端口
sudo chroot ./ ./qemu-arm-static -g 23946 ./bin/httpd_patch然后gdb连接,按c直接运行到sub_1A36C函数
set architecture armb *0x1A36Ctarget remote :23946
输入bt指令即可查看sub_1A36C函数调用链
定位到283e0附近的SUB_28338函数,分析得知sub_28030调用了此函数
重复上面的步骤,可以得到具体的调用链为:sub_2CEA8(main函数)-> sub_2D3F0(initWebs函数) -> sub_28030 -> sub_28338 -> sub_1A36C
接下来分析printf的ip参数v8进行跟踪:v8关联到s.sa_data[2],s.sa_data[2]关联到a1,a2
a1关联到g_lan_ip函数,最终回溯到主函数中
可以看到ip的值与s和v19有关
此处我们进行详细分析,根据函数名猜测getIfIp的作用的是获取ip地址,进入函数查看具体实现。
getIfIp为外部导入函数,对函数名进行搜索,查找存在的动态链接库
#查看可执行程序需要的动态链接库readelf -d ./bin/httpd | grep NEEDED#列出所有的函数名,与要寻找的函数对比nm -D ./lib/libcommon.so
发现getIfIp函数的本体存在于libcommon.so 中
大致分析伪代码,可以看到一个系统调用ioctl(fd, 0x8915u, dest),查看这个系统调用所实现的功能
一般来讲ioctl在用户程序中的调用是:
ioctl(int fd,int command, (char*)argstruct)
ioctl调用与网络编程有关,文件描述符fd实际上是由socket()系统调用返回的。参数command的取值由/usr/include/linux/sockios.h 所规定。第三个参数是ifreq结构,在/usr/include/linux/if.h中定义。
参考:https://www.cnblogs.com/zxc2man/p/9511856.html到头文件中查看,可以发现,第二个参数实现的功能正是获取IP地址
第三个参数的含义需要进一步分析,先看函数整体的流程,应该就是成功获取ip地址返回v2,v2的值为0的话,在main函数中的判断就不会进入if循环,而ip地址的值则由v19决定。进一步跟进v19,就是在getIfIp函数中的a2,由系统调用获取ip地址后赋给a2即main函数中的v19。那么想让函数按我们分析的执行,还需要分析第三个参数的含义。第三个参数与main函数的v7有关,进一步分析,与getLanIfName函数有关,依照上面的步骤发现getLanIfName函数依然存在于libcommon.so中,查看函数的本体。
getLanIfName函数进一步关联到get_eth_name函数,且参数写死为0。依照上面的步骤发现get_eth_name函数依然存在于libChipApi.so中,查看函数的本体,函数返回v1,即网卡的名称,上述系统调用的第三个参数也就清楚了。
至此,我们可以梳理一下整个流程。在main函数中,首先调用getLanIfName函数进而调用get_eth_name函数获取网卡名称。然后将网卡名称作为参数输入到getIfIp中,函数功能为寻找网卡名称为br0的ip地址并传递给V17。
所以,想让二进制程序监听正确的ip地址需要新建一个名为br0的网卡。
sudo brctl addbr br0sudo ifconfig br0 192.168.20.12/24
重新启动,找到了名为br0的网卡并获取了ip地址:
4.开启服务
将webroot_ro中的文件复制到web_root目录下,最后就可以在本机中访问模拟出的路由器网站
关注有礼
-
关注公众号回复”SRC”即可领取SRC分享资料礼包
-
关注公众号回复”工具”即可领取渗透测试工具
-
关注公众号回复”进群”即可和我们进行交流
扫二维码|关注我们
公众号| 云雾安全
原文始发于微信公众号(云雾安全):IOT漏洞挖掘 | 路由器固件仿真配置(三)
