For et par dage siden besluttede jeg at reverse engineering af min routers firmware ved hjælp af binwalk.
Jeg købte mig selv . Ikke den bedste router, men nok til mine behov.
Hver gang jeg køber en ny router, installerer jeg . For hvad? Som regel er producenterne ligeglade med at understøtte deres routere, og med tiden bliver softwaren forældet, der opstår sårbarheder, og så videre, forstår du generelt. Derfor foretrækker jeg den velholdte open source firmware OpenWRT.
Efter at have downloadet mig OpenWRT, har jeg også under min nye Archer C7 fra den officielle side og besluttede at analysere den. Rent for sjov og snak om binwalk.
Hvad er binwalk?
er et open source-værktøj til analyse, reverse engineering og udtrækning af firmwarebilleder.
Oprettet i 2010 af Craig Heffner, binwalk kan scanne firmwarebilleder og finde filer, identificere og udtrække filsystembilleder, eksekverbar kode, komprimerede arkiver, bootloadere og kerner, filformater som JPEG og PDF og meget mere.
Du kan bruge binwalk til at reverse engineering af firmwaren for at forstå, hvordan den virker. Se efter sårbarheder i binære filer, udpak filer og se efter bagdøre eller digitale certifikater. Kan også findes opcodes til en masse forskellige CPU'er.
Du kan pakke filsystembilleder ud for at lede efter specifikke adgangskodefiler (passwd, shadow osv.) og prøve at bryde hashes til adgangskode. Du kan udføre binær analyse mellem to eller flere filer. Du kan udføre dataentropianalyse for at finde komprimerede data eller kodede krypteringsnøgler. Alt dette uden at skulle have adgang til kildekoden.
Generelt er der alt hvad du behøver 🙂
Hvordan fungerer binwalk?
Det vigtigste ved binwalk er dens signaturscanning. Binwalk kan scanne firmwarebilledet for forskellige indbyggede filtyper og filsystemer.
Kender du kommandolinjeværktøjet file?
file /bin/bash
/bin/bash: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 3.2.0, BuildID[sha1]=12f73d7a8e226c663034529c8dd20efec22dde54, strippedTeam fileser på filoverskriften og leder efter signaturen (magisk tal) for at bestemme filtypen. For eksempel hvis filen starter med bytesekvensen 0x89 0x50 0x4E 0x47 0x0D 0x0A 0x1A 0x0A, hun ved, at det er en PNG-fil. På der er en liste over almindelige filsignaturer.
Binwalk fungerer på samme måde. Men i stedet for kun at lede efter signaturer i begyndelsen af filen, vil binwalk scanne hele filen. Derudover kan binwalk udtrække filer fundet i billedet.
Værktøj file и binwalk bruge biblioteket libmagic for at identificere filsignaturer. Men binwalk vedligeholder desuden en liste over brugerdefinerede magiske signaturer til at søge efter komprimerede/zippede filer, firmwareheadere, Linux-kerner, bootloadere, filsystemer og så videre.
Lad os have det sjovt?
Installation af binwalk
Binwalk understøttes på flere platforme inklusive Linux, OSX, FreeBSD og Windows.
For at installere den seneste version af binwalk, kan du og følg eller tilgængelig på projektets hjemmeside.
Binwalk har mange forskellige muligheder:
$ binwalk
Binwalk v2.2.0
Craig Heffner, ReFirmLabs
https://github.com/ReFirmLabs/binwalk
Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] ...
Signature Scan Options:
-B, --signature Scan target file(s) for common file signatures
-R, --raw=<str> Scan target file(s) for the specified sequence of bytes
-A, --opcodes Scan target file(s) for common executable opcode signatures
-m, --magic=<file> Specify a custom magic file to use
-b, --dumb Disable smart signature keywords
-I, --invalid Show results marked as invalid
-x, --exclude=<str> Exclude results that match <str>
-y, --include=<str> Only show results that match <str>
Extraction Options:
-e, --extract Automatically extract known file types
-D, --dd=<type:ext:cmd> Extract <type> signatures, give the files an extension of <ext>, and execute <cmd>
-M, --matryoshka Recursively scan extracted files
-d, --depth=<int> Limit matryoshka recursion depth (default: 8 levels deep)
-C, --directory=<str> Extract files/folders to a custom directory (default: current working directory)
-j, --size=<int> Limit the size of each extracted file
-n, --count=<int> Limit the number of extracted files
-r, --rm Delete carved files after extraction
-z, --carve Carve data from files, but don't execute extraction utilities
-V, --subdirs Extract into sub-directories named by the offset
Entropy Options:
-E, --entropy Calculate file entropy
-F, --fast Use faster, but less detailed, entropy analysis
-J, --save Save plot as a PNG
-Q, --nlegend Omit the legend from the entropy plot graph
-N, --nplot Do not generate an entropy plot graph
-H, --high=<float> Set the rising edge entropy trigger threshold (default: 0.95)
-L, --low=<float> Set the falling edge entropy trigger threshold (default: 0.85)
Binary Diffing Options:
-W, --hexdump Perform a hexdump / diff of a file or files
-G, --green Only show lines containing bytes that are the same among all files
-i, --red Only show lines containing bytes that are different among all files
-U, --blue Only show lines containing bytes that are different among some files
-u, --similar Only display lines that are the same between all files
-w, --terse Diff all files, but only display a hex dump of the first file
Raw Compression Options:
-X, --deflate Scan for raw deflate compression streams
-Z, --lzma Scan for raw LZMA compression streams
-P, --partial Perform a superficial, but faster, scan
-S, --stop Stop after the first result
General Options:
-l, --length=<int> Number of bytes to scan
-o, --offset=<int> Start scan at this file offset
-O, --base=<int> Add a base address to all printed offsets
-K, --block=<int> Set file block size
-g, --swap=<int> Reverse every n bytes before scanning
-f, --log=<file> Log results to file
-c, --csv Log results to file in CSV format
-t, --term Format output to fit the terminal window
-q, --quiet Suppress output to stdout
-v, --verbose Enable verbose output
-h, --help Show help output
-a, --finclude=<str> Only scan files whose names match this regex
-p, --fexclude=<str> Do not scan files whose names match this regex
-s, --status=<int> Enable the status server on the specified portBilledscanning
Lad os starte med at lede efter filsignaturer inde i billedet (billede fra webstedet ).
At køre binwalk med --signature-indstillingen:
$ binwalk --signature --term archer-c7.bin
DECIMAL HEXADECIMAL DESCRIPTION
------------------------------------------------------------------------------------------
21876 0x5574 U-Boot version string, "U-Boot 1.1.4-g4480d5f9-dirty (May
20 2019 - 18:45:16)"
21940 0x55B4 CRC32 polynomial table, big endian
23232 0x5AC0 uImage header, header size: 64 bytes, header CRC:
0x386C2BD5, created: 2019-05-20 10:45:17, image size:
41162 bytes, Data Address: 0x80010000, Entry Point:
0x80010000, data CRC: 0xC9CD1E38, OS: Linux, CPU: MIPS,
image type: Firmware Image, compression type: lzma, image
name: "u-boot image"
23296 0x5B00 LZMA compressed data, properties: 0x5D, dictionary size:
8388608 bytes, uncompressed size: 97476 bytes
64968 0xFDC8 XML document, version: "1.0"
78448 0x13270 uImage header, header size: 64 bytes, header CRC:
0x78A267FF, created: 2019-07-26 07:46:14, image size:
1088500 bytes, Data Address: 0x80060000, Entry Point:
0x80060000, data CRC: 0xBB9D4F94, OS: Linux, CPU: MIPS,
image type: Multi-File Image, compression type: lzma,
image name: "MIPS OpenWrt Linux-3.3.8"
78520 0x132B8 LZMA compressed data, properties: 0x6D, dictionary size:
8388608 bytes, uncompressed size: 3164228 bytes
1167013 0x11CEA5 Squashfs filesystem, little endian, version 4.0,
compression:xz, size: 14388306 bytes, 2541 inodes,
blocksize: 65536 bytes, created: 2019-07-26 07:51:38
15555328 0xED5B00 gzip compressed data, from Unix, last modified: 2019-07-26
07:51:41Nu har vi en masse information om dette billede.
Billedbrug som bootloader (billedoverskrift på 0x5AC0 og et komprimeret bootloader-billede på 0x5B00). Baseret på uImage-headeren på 0x13270 ved vi, at processorarkitekturen er MIPS, og Linux-kernen er version 3.3.8. Og baseret på billedet fundet på 0x11CEA5, det kan vi se rootfs er et filsystem squashfs.
Lad os nu udpakke bootloaderen (U-Boot) ved hjælp af kommandoen dd:
$ dd if=archer-c7.bin of=u-boot.bin.lzma bs=1 skip=23296 count=41162
41162+0 records in
41162+0 records out
41162 bytes (41 kB, 40 KiB) copied, 0,0939608 s, 438 kB/sDa billedet er komprimeret med LZMA, skal vi dekomprimere det:
$ unlzma u-boot.bin.lzmaVi har nu et U-Boot billede:
$ ls -l u-boot.bin
-rw-rw-r-- 1 sprado sprado 97476 Fev 5 08:48 u-boot.binHvad med at finde standardværdien for bootargs?
$ strings u-boot.bin | grep bootargs
bootargs
bootargs=console=ttyS0,115200 board=AP152 rootfstype=squashfs init=/etc/preinit mtdparts=spi0.0:128k(factory-uboot),192k(u-boot),64k(ART),1536k(uImage),14464k@0x1e0000(rootfs) mem=128MU-Boot miljøvariabel bootargs bruges til at sende parametre til Linux-kernen. Og fra ovenstående har vi en bedre forståelse af enhedens flashhukommelse.
Hvad med at udtrække et Linux-kernebillede?
$ dd if=archer-c7.bin of=uImage bs=1 skip=78448 count=1088572
1088572+0 records in
1088572+0 records out
1088572 bytes (1,1 MB, 1,0 MiB) copied, 1,68628 s, 646 kB/sVi kan bekræfte, at billedet er blevet udtrukket med succes ved hjælp af kommandoen file:
$ file uImage
uImage: u-boot legacy uImage, MIPS OpenWrt Linux-3.3.8, Linux/MIPS, Multi-File Image (lzma), 1088500 bytes, Fri Jul 26 07:46:14 2019, Load Address: 0x80060000, Entry Point: 0x80060000, Header CRC: 0x78A267FF, Data CRC: 0xBB9D4F94Filformatet uImage er grundlæggende et Linux-kernebillede med en ekstra header. Lad os fjerne denne header for at få det endelige Linux-kernebillede:
$ dd if=uImage of=Image.lzma bs=1 skip=72
1088500+0 records in
1088500+0 records out
1088500 bytes (1,1 MB, 1,0 MiB) copied, 1,65603 s, 657 kB/sBilledet er komprimeret, så lad os pakke det ud:
$ unlzma Image.lzmaVi har nu et Linux-kernebillede:
$ ls -la Image
-rw-rw-r-- 1 sprado sprado 3164228 Fev 5 10:51 ImageHvad kan vi gøre med kernebilledet? Vi kunne for eksempel søge gennem strengene i billedet og finde versionen af Linux-kernen og finde ud af det miljø, der blev brugt til at bygge kernen:
$ strings Image | grep "Linux version"
Linux version 3.3.8 (leo@leo-MS-7529) (gcc version 4.6.3 20120201 (prerelease) (Linaro GCC 4.6-2012.02) ) #1 Mon May 20 18:53:02 CST 2019Selvom firmwaren blev udgivet sidste år (2019), når jeg skriver denne artikel, bruger den en gammel version af Linux-kernen (3.3.8) udgivet i 2012 kompileret med en meget gammel version af GCC (4.6) også siden 2012!
Har du stadig tillid til dine routere på kontoret og derhjemme?
Med mulighed --opcodes vi kan også bruge binwalk til at slå maskininstruktioner op og bestemme processorarkitekturen for billedet:
$ binwalk --opcodes Image
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
2400 0x960 MIPS instructions, function epilogue
2572 0xA0C MIPS instructions, function epilogue
2828 0xB0C MIPS instructions, function epilogueHvad med rodfilsystemet? I stedet for at udtrække billedet manuelt, lad os bruge muligheden binwalk --extract:
$ binwalk --extract --quiet archer-c7.binDet komplette rodfilsystem udpakkes til en undermappe:
$ cd _archer-c7.bin.extracted/squashfs-root/
$ ls
bin dev etc lib mnt overlay proc rom root sbin sys tmp usr var www
$ cat etc/banner
MM NM MMMMMMM M M
$MMMMM MMMMM MMMMMMMMMMM MMM MMM
MMMMMMMM MM MMMMM. MMMMM:MMMMMM: MMMM MMMMM
MMMM= MMMMMM MMM MMMM MMMMM MMMM MMMMMM MMMM MMMMM'
MMMM= MMMMM MMMM MM MMMMM MMMM MMMM MMMMNMMMMM
MMMM= MMMM MMMMM MMMMM MMMM MMMM MMMMMMMM
MMMM= MMMM MMMMMM MMMMM MMMM MMMM MMMMMMMMM
MMMM= MMMM MMMMM, NMMMMMMMM MMMM MMMM MMMMMMMMMMM
MMMM= MMMM MMMMMM MMMMMMMM MMMM MMMM MMMM MMMMMM
MMMM= MMMM MM MMMM MMMM MMMM MMMM MMMM MMMM
MMMM$ ,MMMMM MMMMM MMMM MMM MMMM MMMMM MMMM MMMM
MMMMMMM: MMMMMMM M MMMMMMMMMMMM MMMMMMM MMMMMMM
MMMMMM MMMMN M MMMMMMMMM MMMM MMMM
MMMM M MMMMMMM M M
M
---------------------------------------------------------------
For those about to rock... (%C, %R)
---------------------------------------------------------------Nu kan vi lave mange ting.
Vi kan lede efter konfigurationsfiler, kodeords-hash, kryptografiske nøgler og digitale certifikater. Vi kan parse binære filer for og sårbarheder.
Med и vi kan endda køre (emulere) en eksekverbar fil fra et billede:
$ ls
bin dev etc lib mnt overlay proc rom root sbin sys tmp usr var www
$ cp /usr/bin/qemu-mips-static .
$ sudo chroot . ./qemu-mips-static bin/busybox
BusyBox v1.19.4 (2019-05-20 18:13:49 CST) multi-call binary.
Copyright (C) 1998-2011 Erik Andersen, Rob Landley, Denys Vlasenko
and others. Licensed under GPLv2.
See source distribution for full notice.
Usage: busybox [function] [arguments]...
or: busybox --list[-full]
or: function [arguments]...
BusyBox is a multi-call binary that combines many common Unix
utilities into a single executable. Most people will create a
link to busybox for each function they wish to use and BusyBox
will act like whatever it was invoked as.
Currently defined functions:
[, [[, addgroup, adduser, arping, ash, awk, basename, cat, chgrp, chmod, chown, chroot, clear, cmp, cp, crond, crontab, cut, date, dd, delgroup, deluser, dirname, dmesg, echo, egrep, env, expr, false,
fgrep, find, free, fsync, grep, gunzip, gzip, halt, head, hexdump, hostid, id, ifconfig, init, insmod, kill, killall, klogd, ln, lock, logger, ls, lsmod, mac_addr, md5sum, mkdir, mkfifo, mknod, mktemp,
mount, mv, nice, passwd, pgrep, pidof, ping, ping6, pivot_root, poweroff, printf, ps, pwd, readlink, reboot, reset, rm, rmdir, rmmod, route, sed, seq, sh, sleep, sort, start-stop-daemon, strings,
switch_root, sync, sysctl, tail, tar, tee, telnet, test, tftp, time, top, touch, tr, traceroute, true, udhcpc, umount, uname, uniq, uptime, vconfig, vi, watchdog, wc, wget, which, xargs, yes, zcatStore! Men bemærk, at BusyBox-versionen er 1.19.4. Dette er en meget gammel version af BusyBoxudgivet i april 2012.
Så TP-Link frigiver et firmwarebillede i 2019 ved hjælp af software (GCC-værktøjskæde, kerne, BusyBox osv.) fra 2012!
Forstår du nu, hvorfor jeg altid installerer OpenWRT på mine routere?
Det er ikke alt
Binwalk kan også udføre entropianalyse, udskrive rå entropidata og generere entropiplots. Typisk observeres mere entropi, når bytes i billedet er tilfældige. Dette kan betyde, at billedet indeholder en krypteret, komprimeret eller sløret fil. Hardcore krypteringsnøgle? Hvorfor ikke.
Vi kan også bruge parameteren --raw for at søge efter en tilpasset sekvens af råbytes i et billede eller en parameter --hexdump at udføre et hex-dump, der sammenligner to eller flere inputfiler.
kan tilføjes til binwalk enten gennem en brugerdefineret signaturfil angivet på kommandolinjen med parameteren --magic, eller ved at tilføje dem til biblioteket $ HOME / .config / binwalk / magic.
Du kan finde mere information om binwalk på .
binwalk forlængelse
Der er binwalk implementeret som et Python-modul, der kan bruges af ethvert Python-script til programmatisk at udføre en binwalk-scanning, og binwalk-kommandolinjeværktøjet kan næsten fuldstændigt duplikeres med kun to linjer Python-kode!
import binwalk
binwalk.scan()Ved hjælp af Python API'et kan du også oprette at tilpasse og udvide binwalk.
Eksisterer også og cloud-version .
Så hvorfor downloader du ikke firmwarebilledet fra internettet og prøver binwalk? Jeg lover, at du vil have det rigtig sjovt 🙂
Kilde: www.habr.com