Fa uns dies, vaig decidir fer enginyeria inversa del microprogramari del meu encaminador mitjançant binwalk.
Em vaig comprar a mi mateix
Cada vegada que compro un encaminador nou, ho instal·lo
Després d'haver descarregat OpenWRT, també
Què és binwalk?
Creat el 2010 per Craig Heffner, binwalk pot escanejar imatges de microprogramari i trobar fitxers, identificar i extreure imatges del sistema de fitxers, codi executable, arxius comprimits, carregadors d'arrencada i nuclis, formats de fitxer com JPEG i PDF, i molt més.
Podeu utilitzar binwalk per fer enginyeria inversa del microprogramari per entendre com funciona. Cerqueu fitxers binaris per detectar vulnerabilitats, extreu fitxers i cerqueu portes posteriors o certificats digitals. També pots trobar opcodes
per a un munt de CPU diferents.
Podeu extreure imatges del sistema de fitxers per buscar fitxers de contrasenya específics (passwd, shadow, etc.) i intentar trencar els hash de contrasenya. Podeu realitzar una anàlisi binari entre dos o més fitxers. Podeu realitzar anàlisis d'entropia a les dades per buscar dades comprimides o claus de xifratge codificades. Tot això sense necessitat d'accedir al codi font.
En general, hi ha tot el que necessiteu :)
Com funciona el binwalk?
La característica principal de binwalk és l'escaneig de signatures. Binwalk pot escanejar la imatge del microprogramari per cercar diversos tipus de fitxers i sistemes de fitxers integrats.
Coneixeu la utilitat de la línia d'ordres file
?
file /bin/bash
/bin/bash: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 3.2.0, BuildID[sha1]=12f73d7a8e226c663034529c8dd20efec22dde54, stripped
Equip file
mira la capçalera del fitxer i busca una signatura (número màgic) per determinar el tipus de fitxer. Per exemple, si el fitxer comença amb la seqüència de bytes 0x89 0x50 0x4E 0x47 0x0D 0x0A 0x1A 0x0A
, sap que és un fitxer PNG. Encès
Binwalk funciona de la mateixa manera. Però en lloc de buscar signatures només al començament del fitxer, binwalk escanejarà tot el fitxer. A més, binwalk pot extreure fitxers que es troben a la imatge.
Instruments file
и binwalk
utilitzar la biblioteca libmagic
per identificar les signatures dels fitxers. Però binwalk
A més, admet una llista de signatures màgiques personalitzades per cercar fitxers comprimits/comprimits, capçaleres de microprogramari, nuclis de Linux, carregadors d'arrencada, sistemes de fitxers, etc.
Passem-nos-ho bé?
Instal·lació de binwalk
Binwalk és compatible amb diverses plataformes, com ara Linux, OSX, FreeBSD i Windows.
Per instal·lar la darrera versió de binwalk podeu fer-ho
Binwalk té molts paràmetres diferents:
$ binwalk
Binwalk v2.2.0
Craig Heffner, ReFirmLabs
https://github.com/ReFirmLabs/binwalk
Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] ...
Signature Scan Options:
-B, --signature Scan target file(s) for common file signatures
-R, --raw=<str> Scan target file(s) for the specified sequence of bytes
-A, --opcodes Scan target file(s) for common executable opcode signatures
-m, --magic=<file> Specify a custom magic file to use
-b, --dumb Disable smart signature keywords
-I, --invalid Show results marked as invalid
-x, --exclude=<str> Exclude results that match <str>
-y, --include=<str> Only show results that match <str>
Extraction Options:
-e, --extract Automatically extract known file types
-D, --dd=<type:ext:cmd> Extract <type> signatures, give the files an extension of <ext>, and execute <cmd>
-M, --matryoshka Recursively scan extracted files
-d, --depth=<int> Limit matryoshka recursion depth (default: 8 levels deep)
-C, --directory=<str> Extract files/folders to a custom directory (default: current working directory)
-j, --size=<int> Limit the size of each extracted file
-n, --count=<int> Limit the number of extracted files
-r, --rm Delete carved files after extraction
-z, --carve Carve data from files, but don't execute extraction utilities
-V, --subdirs Extract into sub-directories named by the offset
Entropy Options:
-E, --entropy Calculate file entropy
-F, --fast Use faster, but less detailed, entropy analysis
-J, --save Save plot as a PNG
-Q, --nlegend Omit the legend from the entropy plot graph
-N, --nplot Do not generate an entropy plot graph
-H, --high=<float> Set the rising edge entropy trigger threshold (default: 0.95)
-L, --low=<float> Set the falling edge entropy trigger threshold (default: 0.85)
Binary Diffing Options:
-W, --hexdump Perform a hexdump / diff of a file or files
-G, --green Only show lines containing bytes that are the same among all files
-i, --red Only show lines containing bytes that are different among all files
-U, --blue Only show lines containing bytes that are different among some files
-u, --similar Only display lines that are the same between all files
-w, --terse Diff all files, but only display a hex dump of the first file
Raw Compression Options:
-X, --deflate Scan for raw deflate compression streams
-Z, --lzma Scan for raw LZMA compression streams
-P, --partial Perform a superficial, but faster, scan
-S, --stop Stop after the first result
General Options:
-l, --length=<int> Number of bytes to scan
-o, --offset=<int> Start scan at this file offset
-O, --base=<int> Add a base address to all printed offsets
-K, --block=<int> Set file block size
-g, --swap=<int> Reverse every n bytes before scanning
-f, --log=<file> Log results to file
-c, --csv Log results to file in CSV format
-t, --term Format output to fit the terminal window
-q, --quiet Suppress output to stdout
-v, --verbose Enable verbose output
-h, --help Show help output
-a, --finclude=<str> Only scan files whose names match this regex
-p, --fexclude=<str> Do not scan files whose names match this regex
-s, --status=<int> Enable the status server on the specified port
Escaneig d'imatges
Comencem cercant signatures de fitxers dins de la imatge (imatge del lloc
Execució de binwalk amb el paràmetre --signature:
$ binwalk --signature --term archer-c7.bin
DECIMAL HEXADECIMAL DESCRIPTION
------------------------------------------------------------------------------------------
21876 0x5574 U-Boot version string, "U-Boot 1.1.4-g4480d5f9-dirty (May
20 2019 - 18:45:16)"
21940 0x55B4 CRC32 polynomial table, big endian
23232 0x5AC0 uImage header, header size: 64 bytes, header CRC:
0x386C2BD5, created: 2019-05-20 10:45:17, image size:
41162 bytes, Data Address: 0x80010000, Entry Point:
0x80010000, data CRC: 0xC9CD1E38, OS: Linux, CPU: MIPS,
image type: Firmware Image, compression type: lzma, image
name: "u-boot image"
23296 0x5B00 LZMA compressed data, properties: 0x5D, dictionary size:
8388608 bytes, uncompressed size: 97476 bytes
64968 0xFDC8 XML document, version: "1.0"
78448 0x13270 uImage header, header size: 64 bytes, header CRC:
0x78A267FF, created: 2019-07-26 07:46:14, image size:
1088500 bytes, Data Address: 0x80060000, Entry Point:
0x80060000, data CRC: 0xBB9D4F94, OS: Linux, CPU: MIPS,
image type: Multi-File Image, compression type: lzma,
image name: "MIPS OpenWrt Linux-3.3.8"
78520 0x132B8 LZMA compressed data, properties: 0x6D, dictionary size:
8388608 bytes, uncompressed size: 3164228 bytes
1167013 0x11CEA5 Squashfs filesystem, little endian, version 4.0,
compression:xz, size: 14388306 bytes, 2541 inodes,
blocksize: 65536 bytes, created: 2019-07-26 07:51:38
15555328 0xED5B00 gzip compressed data, from Unix, last modified: 2019-07-26
07:51:41
Ara tenim molta informació sobre aquesta imatge.
Usos de la imatge 0x5AC0
i una imatge comprimida del carregador d'arrencada a 0x5B00
). A partir de la capçalera uImage a 0x13270, sabem que l'arquitectura del processador és MIPS i el nucli de Linux és la versió 3.3.8. I a partir de la imatge que es troba a l'adreça 0x11CEA5
, ho podem veure rootfs
és un sistema de fitxers squashfs
.
Ara extreu el carregador d'arrencada (U-Boot) mitjançant l'ordre dd
:
$ dd if=archer-c7.bin of=u-boot.bin.lzma bs=1 skip=23296 count=41162
41162+0 records in
41162+0 records out
41162 bytes (41 kB, 40 KiB) copied, 0,0939608 s, 438 kB/s
Com que la imatge es comprimeix amb LZMA, hem de descomprimir-la:
$ unlzma u-boot.bin.lzma
Ara tenim una imatge d'U-Boot:
$ ls -l u-boot.bin
-rw-rw-r-- 1 sprado sprado 97476 Fev 5 08:48 u-boot.bin
Què tal trobar el valor predeterminat de bootargs
?
$ strings u-boot.bin | grep bootargs
bootargs
bootargs=console=ttyS0,115200 board=AP152 rootfstype=squashfs init=/etc/preinit mtdparts=spi0.0:128k(factory-uboot),192k(u-boot),64k(ART),1536k(uImage),14464k@0x1e0000(rootfs) mem=128M
Variable d'entorn U-Boot bootargs
s'utilitza per passar paràmetres al nucli Linux. I a partir de l'anterior, tenim una millor comprensió de la memòria flaix del dispositiu.
Què tal si extreu la imatge del nucli de Linux?
$ dd if=archer-c7.bin of=uImage bs=1 skip=78448 count=1088572
1088572+0 records in
1088572+0 records out
1088572 bytes (1,1 MB, 1,0 MiB) copied, 1,68628 s, 646 kB/s
Podem comprovar que la imatge s'ha extret correctament mitjançant l'ordre file
:
$ file uImage
uImage: u-boot legacy uImage, MIPS OpenWrt Linux-3.3.8, Linux/MIPS, Multi-File Image (lzma), 1088500 bytes, Fri Jul 26 07:46:14 2019, Load Address: 0x80060000, Entry Point: 0x80060000, Header CRC: 0x78A267FF, Data CRC: 0xBB9D4F94
El format de fitxer uImage és bàsicament una imatge del nucli de Linux amb una capçalera addicional. Traiem aquesta capçalera per obtenir la imatge final del nucli de Linux:
$ dd if=uImage of=Image.lzma bs=1 skip=72
1088500+0 records in
1088500+0 records out
1088500 bytes (1,1 MB, 1,0 MiB) copied, 1,65603 s, 657 kB/s
La imatge està comprimida, així que anem a descomprimir-la:
$ unlzma Image.lzma
Ara tenim una imatge del nucli de Linux:
$ ls -la Image
-rw-rw-r-- 1 sprado sprado 3164228 Fev 5 10:51 Image
Què podem fer amb la imatge del nucli? Podríem, per exemple, fer una cerca de cadena a la imatge i trobar la versió del nucli de Linux i conèixer l'entorn utilitzat per construir el nucli:
$ strings Image | grep "Linux version"
Linux version 3.3.8 (leo@leo-MS-7529) (gcc version 4.6.3 20120201 (prerelease) (Linaro GCC 4.6-2012.02) ) #1 Mon May 20 18:53:02 CST 2019
Tot i que el firmware es va llançar l'any passat (2019), mentre escric aquest article utilitza una versió antiga del nucli de Linux (3.3.8) llançada el 2012, compilada amb una versió molt antiga de GCC (4.6) també des del 2012 !
(aprox. traducció. Encara confieu en els vostres encaminadors a l'oficina i a casa?)
Amb opció --opcodes
també podem utilitzar binwalk per buscar instruccions de la màquina i determinar l'arquitectura del processador de la imatge:
$ binwalk --opcodes Image
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
2400 0x960 MIPS instructions, function epilogue
2572 0xA0C MIPS instructions, function epilogue
2828 0xB0C MIPS instructions, function epilogue
Què passa amb el sistema de fitxers arrel? En lloc d'extreure la imatge manualment, utilitzem l'opció binwalk --extract
:
$ binwalk --extract --quiet archer-c7.bin
El sistema de fitxers arrel complet s'extreurà a un subdirectori:
$ cd _archer-c7.bin.extracted/squashfs-root/
$ ls
bin dev etc lib mnt overlay proc rom root sbin sys tmp usr var www
$ cat etc/banner
MM NM MMMMMMM M M
$MMMMM MMMMM MMMMMMMMMMM MMM MMM
MMMMMMMM MM MMMMM. MMMMM:MMMMMM: MMMM MMMMM
MMMM= MMMMMM MMM MMMM MMMMM MMMM MMMMMM MMMM MMMMM'
MMMM= MMMMM MMMM MM MMMMM MMMM MMMM MMMMNMMMMM
MMMM= MMMM MMMMM MMMMM MMMM MMMM MMMMMMMM
MMMM= MMMM MMMMMM MMMMM MMMM MMMM MMMMMMMMM
MMMM= MMMM MMMMM, NMMMMMMMM MMMM MMMM MMMMMMMMMMM
MMMM= MMMM MMMMMM MMMMMMMM MMMM MMMM MMMM MMMMMM
MMMM= MMMM MM MMMM MMMM MMMM MMMM MMMM MMMM
MMMM$ ,MMMMM MMMMM MMMM MMM MMMM MMMMM MMMM MMMM
MMMMMMM: MMMMMMM M MMMMMMMMMMMM MMMMMMM MMMMMMM
MMMMMM MMMMN M MMMMMMMMM MMMM MMMM
MMMM M MMMMMMM M M
M
---------------------------------------------------------------
For those about to rock... (%C, %R)
---------------------------------------------------------------
Ara podem fer moltes coses diferents.
Podem cercar fitxers de configuració, hash de contrasenyes, claus criptogràfiques i certificats digitals. Podem analitzar fitxers binaris per
Amb
$ ls
bin dev etc lib mnt overlay proc rom root sbin sys tmp usr var www
$ cp /usr/bin/qemu-mips-static .
$ sudo chroot . ./qemu-mips-static bin/busybox
BusyBox v1.19.4 (2019-05-20 18:13:49 CST) multi-call binary.
Copyright (C) 1998-2011 Erik Andersen, Rob Landley, Denys Vlasenko
and others. Licensed under GPLv2.
See source distribution for full notice.
Usage: busybox [function] [arguments]...
or: busybox --list[-full]
or: function [arguments]...
BusyBox is a multi-call binary that combines many common Unix
utilities into a single executable. Most people will create a
link to busybox for each function they wish to use and BusyBox
will act like whatever it was invoked as.
Currently defined functions:
[, [[, addgroup, adduser, arping, ash, awk, basename, cat, chgrp, chmod, chown, chroot, clear, cmp, cp, crond, crontab, cut, date, dd, delgroup, deluser, dirname, dmesg, echo, egrep, env, expr, false,
fgrep, find, free, fsync, grep, gunzip, gzip, halt, head, hexdump, hostid, id, ifconfig, init, insmod, kill, killall, klogd, ln, lock, logger, ls, lsmod, mac_addr, md5sum, mkdir, mkfifo, mknod, mktemp,
mount, mv, nice, passwd, pgrep, pidof, ping, ping6, pivot_root, poweroff, printf, ps, pwd, readlink, reboot, reset, rm, rmdir, rmmod, route, sed, seq, sh, sleep, sort, start-stop-daemon, strings,
switch_root, sync, sysctl, tail, tar, tee, telnet, test, tftp, time, top, touch, tr, traceroute, true, udhcpc, umount, uname, uniq, uptime, vconfig, vi, watchdog, wc, wget, which, xargs, yes, zcat
Genial! Però tingueu en compte que la versió de BusyBox és 1.19.4. Aquesta és una versió molt antiga de BusyBox, publicat l'abril de 2012.
Així que TP-Link llança una imatge de microprogramari el 2019 utilitzant programari (cadena d'eines GCC, nucli, BusyBox, etc.) a partir del 2012!
Ara enteneu per què sempre instal·lo OpenWRT als meus encaminadors?
Això no és tot
Binwalk també pot realitzar anàlisis d'entropia, imprimir dades d'entropia en brut i generar gràfics d'entropia. Normalment, s'observa una entropia més gran quan els bytes de la imatge són aleatoris. Això podria significar que la imatge conté un fitxer xifrat, comprimit o ofuscat. Clau de xifratge hardcore? Perquè no.
També podem utilitzar el paràmetre --raw
per trobar una seqüència de bytes en brut personalitzada en una imatge o paràmetre --hexdump
per realitzar un bolcat hexadecimal comparant dos o més fitxers d'entrada.
--magic
, o afegint-los al directori $ HOME / .config / binwalk / magic
.
Podeu trobar més informació sobre binwalk a
extensió binwalk
Hi
import binwalk
binwalk.scan()
Amb l'API de Python també podeu crear
També hi ha
Aleshores, per què no descarregueu la imatge del microprogramari d'Internet i proveu binwalk? Et prometo que t'ho passaràs molt bé :)
Font: www.habr.com