Il y a quelques jours, j'ai décidé de procéder à une ingénierie inverse du firmware de mon routeur à l'aide de binwalk.
je me suis acheté
Chaque fois que j'achète un nouveau routeur, j'installe
Après avoir téléchargé OpenWRT, j'ai aussi
Qu’est-ce que le binwalk ?
Créé en 2010 par Craig Heffner, binwalk peut analyser les images du micrologiciel et rechercher des fichiers, identifier et extraire les images du système de fichiers, le code exécutable, les archives compressées, les chargeurs de démarrage et les noyaux, les formats de fichiers tels que JPEG et PDF, et bien plus encore.
Vous pouvez utiliser binwalk pour procéder à l'ingénierie inverse du micrologiciel afin de comprendre son fonctionnement. Recherchez des vulnérabilités dans les fichiers binaires, extrayez des fichiers et recherchez des portes dérobées ou des certificats numériques. Vous pouvez également trouver opcodes
pour un tas de processeurs différents.
Vous pouvez extraire des images du système de fichiers pour rechercher des fichiers de mots de passe spécifiques (passwd, shadow, etc.) et essayer de briser les hachages de mots de passe. Vous pouvez effectuer une analyse binaire entre deux ou plusieurs fichiers. Vous pouvez effectuer une analyse d'entropie sur les données pour rechercher des données compressées ou des clés de chiffrement codées. Tout cela sans avoir besoin d'accéder au code source.
En général, tout ce dont vous avez besoin est là :)
Comment fonctionne le binwalk ?
La principale caractéristique de binwalk est la numérisation de signatures. Binwalk peut analyser l'image du micrologiciel pour rechercher divers types de fichiers et systèmes de fichiers intégrés.
Connaissez-vous l'utilitaire de ligne de commande file
?
file /bin/bash
/bin/bash: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 3.2.0, BuildID[sha1]=12f73d7a8e226c663034529c8dd20efec22dde54, stripped
Équipe file
regarde l'en-tête du fichier et recherche la signature (numéro magique) pour déterminer le type de fichier. Par exemple, si le fichier commence par la séquence d'octets 0x89 0x50 0x4E 0x47 0x0D 0x0A 0x1A 0x0A
, il sait que c'est un fichier PNG. Sur
Binwalk fonctionne de la même manière. Mais au lieu de rechercher les signatures uniquement au début du fichier, binwalk analysera l'intégralité du fichier. De plus, binwalk peut extraire les fichiers trouvés dans l'image.
Outils file
и binwalk
utiliser la bibliothèque libmagic
pour identifier les signatures de fichiers. Mais binwalk
prend en charge en outre une liste de signatures magiques personnalisées pour rechercher des fichiers compressés/zippés, des en-têtes de micrologiciels, des noyaux Linux, des chargeurs de démarrage, des systèmes de fichiers, etc.
Amusons-nous un peu ?
Installation du Binwalk
Binwalk est pris en charge sur plusieurs plates-formes, notamment Linux, OSX, FreeBSD et Windows.
Pour installer la dernière version de binwalk, vous pouvez
Binwalk a de nombreux paramètres différents :
$ binwalk
Binwalk v2.2.0
Craig Heffner, ReFirmLabs
https://github.com/ReFirmLabs/binwalk
Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] ...
Signature Scan Options:
-B, --signature Scan target file(s) for common file signatures
-R, --raw=<str> Scan target file(s) for the specified sequence of bytes
-A, --opcodes Scan target file(s) for common executable opcode signatures
-m, --magic=<file> Specify a custom magic file to use
-b, --dumb Disable smart signature keywords
-I, --invalid Show results marked as invalid
-x, --exclude=<str> Exclude results that match <str>
-y, --include=<str> Only show results that match <str>
Extraction Options:
-e, --extract Automatically extract known file types
-D, --dd=<type:ext:cmd> Extract <type> signatures, give the files an extension of <ext>, and execute <cmd>
-M, --matryoshka Recursively scan extracted files
-d, --depth=<int> Limit matryoshka recursion depth (default: 8 levels deep)
-C, --directory=<str> Extract files/folders to a custom directory (default: current working directory)
-j, --size=<int> Limit the size of each extracted file
-n, --count=<int> Limit the number of extracted files
-r, --rm Delete carved files after extraction
-z, --carve Carve data from files, but don't execute extraction utilities
-V, --subdirs Extract into sub-directories named by the offset
Entropy Options:
-E, --entropy Calculate file entropy
-F, --fast Use faster, but less detailed, entropy analysis
-J, --save Save plot as a PNG
-Q, --nlegend Omit the legend from the entropy plot graph
-N, --nplot Do not generate an entropy plot graph
-H, --high=<float> Set the rising edge entropy trigger threshold (default: 0.95)
-L, --low=<float> Set the falling edge entropy trigger threshold (default: 0.85)
Binary Diffing Options:
-W, --hexdump Perform a hexdump / diff of a file or files
-G, --green Only show lines containing bytes that are the same among all files
-i, --red Only show lines containing bytes that are different among all files
-U, --blue Only show lines containing bytes that are different among some files
-u, --similar Only display lines that are the same between all files
-w, --terse Diff all files, but only display a hex dump of the first file
Raw Compression Options:
-X, --deflate Scan for raw deflate compression streams
-Z, --lzma Scan for raw LZMA compression streams
-P, --partial Perform a superficial, but faster, scan
-S, --stop Stop after the first result
General Options:
-l, --length=<int> Number of bytes to scan
-o, --offset=<int> Start scan at this file offset
-O, --base=<int> Add a base address to all printed offsets
-K, --block=<int> Set file block size
-g, --swap=<int> Reverse every n bytes before scanning
-f, --log=<file> Log results to file
-c, --csv Log results to file in CSV format
-t, --term Format output to fit the terminal window
-q, --quiet Suppress output to stdout
-v, --verbose Enable verbose output
-h, --help Show help output
-a, --finclude=<str> Only scan files whose names match this regex
-p, --fexclude=<str> Do not scan files whose names match this regex
-s, --status=<int> Enable the status server on the specified port
Numérisation d'images
Commençons par rechercher les signatures de fichiers à l'intérieur de l'image (image du site
Exécuter binwalk avec le paramètre --signature :
$ binwalk --signature --term archer-c7.bin
DECIMAL HEXADECIMAL DESCRIPTION
------------------------------------------------------------------------------------------
21876 0x5574 U-Boot version string, "U-Boot 1.1.4-g4480d5f9-dirty (May
20 2019 - 18:45:16)"
21940 0x55B4 CRC32 polynomial table, big endian
23232 0x5AC0 uImage header, header size: 64 bytes, header CRC:
0x386C2BD5, created: 2019-05-20 10:45:17, image size:
41162 bytes, Data Address: 0x80010000, Entry Point:
0x80010000, data CRC: 0xC9CD1E38, OS: Linux, CPU: MIPS,
image type: Firmware Image, compression type: lzma, image
name: "u-boot image"
23296 0x5B00 LZMA compressed data, properties: 0x5D, dictionary size:
8388608 bytes, uncompressed size: 97476 bytes
64968 0xFDC8 XML document, version: "1.0"
78448 0x13270 uImage header, header size: 64 bytes, header CRC:
0x78A267FF, created: 2019-07-26 07:46:14, image size:
1088500 bytes, Data Address: 0x80060000, Entry Point:
0x80060000, data CRC: 0xBB9D4F94, OS: Linux, CPU: MIPS,
image type: Multi-File Image, compression type: lzma,
image name: "MIPS OpenWrt Linux-3.3.8"
78520 0x132B8 LZMA compressed data, properties: 0x6D, dictionary size:
8388608 bytes, uncompressed size: 3164228 bytes
1167013 0x11CEA5 Squashfs filesystem, little endian, version 4.0,
compression:xz, size: 14388306 bytes, 2541 inodes,
blocksize: 65536 bytes, created: 2019-07-26 07:51:38
15555328 0xED5B00 gzip compressed data, from Unix, last modified: 2019-07-26
07:51:41
Nous avons maintenant beaucoup d'informations sur cette image.
Utilisations des images 0x5AC0
et une image compressée du chargeur de démarrage à l'adresse 0x5B00
). Sur la base de l'en-tête uImage à 0x13270, nous savons que l'architecture du processeur est MIPS et que le noyau Linux est la version 3.3.8. Et d'après l'image trouvée à l'adresse 0x11CEA5
, on peut voir ça rootfs
est un système de fichiers squashfs
.
Extrayons maintenant le bootloader (U-Boot) à l'aide de la commande dd
:
$ dd if=archer-c7.bin of=u-boot.bin.lzma bs=1 skip=23296 count=41162
41162+0 records in
41162+0 records out
41162 bytes (41 kB, 40 KiB) copied, 0,0939608 s, 438 kB/s
Puisque l’image est compressée via LZMA, nous devons la décompresser :
$ unlzma u-boot.bin.lzma
Nous avons maintenant une image U-Boot :
$ ls -l u-boot.bin
-rw-rw-r-- 1 sprado sprado 97476 Fev 5 08:48 u-boot.bin
Que diriez-vous de trouver la valeur par défaut pour bootargs
?
$ strings u-boot.bin | grep bootargs
bootargs
bootargs=console=ttyS0,115200 board=AP152 rootfstype=squashfs init=/etc/preinit mtdparts=spi0.0:128k(factory-uboot),192k(u-boot),64k(ART),1536k(uImage),14464k@0x1e0000(rootfs) mem=128M
Variable d'environnement U-Boot bootargs
utilisé pour transmettre des paramètres au noyau Linux. Et à partir de ce qui précède, nous comprenons mieux la mémoire flash de l’appareil.
Que diriez-vous d’extraire l’image du noyau Linux ?
$ dd if=archer-c7.bin of=uImage bs=1 skip=78448 count=1088572
1088572+0 records in
1088572+0 records out
1088572 bytes (1,1 MB, 1,0 MiB) copied, 1,68628 s, 646 kB/s
Nous pouvons vérifier que l'image a été extraite avec succès à l'aide de la commande file
:
$ file uImage
uImage: u-boot legacy uImage, MIPS OpenWrt Linux-3.3.8, Linux/MIPS, Multi-File Image (lzma), 1088500 bytes, Fri Jul 26 07:46:14 2019, Load Address: 0x80060000, Entry Point: 0x80060000, Header CRC: 0x78A267FF, Data CRC: 0xBB9D4F94
Le format de fichier uImage est essentiellement une image du noyau Linux avec un en-tête supplémentaire. Supprimons cet en-tête pour obtenir l'image finale du noyau Linux :
$ dd if=uImage of=Image.lzma bs=1 skip=72
1088500+0 records in
1088500+0 records out
1088500 bytes (1,1 MB, 1,0 MiB) copied, 1,65603 s, 657 kB/s
L'image est compressée, alors décompressons-la :
$ unlzma Image.lzma
Nous avons maintenant une image du noyau Linux :
$ ls -la Image
-rw-rw-r-- 1 sprado sprado 3164228 Fev 5 10:51 Image
Que pouvons-nous faire avec l’image du noyau ? Nous pourrions, par exemple, faire une recherche de chaîne dans l'image et trouver la version du noyau Linux et connaître l'environnement utilisé pour construire le noyau :
$ strings Image | grep "Linux version"
Linux version 3.3.8 (leo@leo-MS-7529) (gcc version 4.6.3 20120201 (prerelease) (Linaro GCC 4.6-2012.02) ) #1 Mon May 20 18:53:02 CST 2019
Même si le firmware est sorti l'année dernière (2019), au moment où j'écris cet article, il utilise une ancienne version du noyau Linux (3.3.8) sortie en 2012, compilée avec une très ancienne version de GCC (4.6) également depuis 2012. !
(trad. approx. faites-vous toujours confiance à vos routeurs au bureau et à la maison ?)
Avec option --opcodes
nous pouvons également utiliser binwalk pour rechercher des instructions machine et déterminer l'architecture du processeur de l'image :
$ binwalk --opcodes Image
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
2400 0x960 MIPS instructions, function epilogue
2572 0xA0C MIPS instructions, function epilogue
2828 0xB0C MIPS instructions, function epilogue
Qu’en est-il du système de fichiers racine ? Au lieu d'extraire l'image manuellement, utilisons l'option binwalk --extract
:
$ binwalk --extract --quiet archer-c7.bin
Le système de fichiers racine complet sera extrait dans un sous-répertoire :
$ cd _archer-c7.bin.extracted/squashfs-root/
$ ls
bin dev etc lib mnt overlay proc rom root sbin sys tmp usr var www
$ cat etc/banner
MM NM MMMMMMM M M
$MMMMM MMMMM MMMMMMMMMMM MMM MMM
MMMMMMMM MM MMMMM. MMMMM:MMMMMM: MMMM MMMMM
MMMM= MMMMMM MMM MMMM MMMMM MMMM MMMMMM MMMM MMMMM'
MMMM= MMMMM MMMM MM MMMMM MMMM MMMM MMMMNMMMMM
MMMM= MMMM MMMMM MMMMM MMMM MMMM MMMMMMMM
MMMM= MMMM MMMMMM MMMMM MMMM MMMM MMMMMMMMM
MMMM= MMMM MMMMM, NMMMMMMMM MMMM MMMM MMMMMMMMMMM
MMMM= MMMM MMMMMM MMMMMMMM MMMM MMMM MMMM MMMMMM
MMMM= MMMM MM MMMM MMMM MMMM MMMM MMMM MMMM
MMMM$ ,MMMMM MMMMM MMMM MMM MMMM MMMMM MMMM MMMM
MMMMMMM: MMMMMMM M MMMMMMMMMMMM MMMMMMM MMMMMMM
MMMMMM MMMMN M MMMMMMMMM MMMM MMMM
MMMM M MMMMMMM M M
M
---------------------------------------------------------------
For those about to rock... (%C, %R)
---------------------------------------------------------------
Maintenant, nous pouvons faire beaucoup de choses différentes.
Nous pouvons rechercher des fichiers de configuration, des hachages de mots de passe, des clés cryptographiques et des certificats numériques. Nous pouvons analyser les fichiers binaires pour
Avec
$ ls
bin dev etc lib mnt overlay proc rom root sbin sys tmp usr var www
$ cp /usr/bin/qemu-mips-static .
$ sudo chroot . ./qemu-mips-static bin/busybox
BusyBox v1.19.4 (2019-05-20 18:13:49 CST) multi-call binary.
Copyright (C) 1998-2011 Erik Andersen, Rob Landley, Denys Vlasenko
and others. Licensed under GPLv2.
See source distribution for full notice.
Usage: busybox [function] [arguments]...
or: busybox --list[-full]
or: function [arguments]...
BusyBox is a multi-call binary that combines many common Unix
utilities into a single executable. Most people will create a
link to busybox for each function they wish to use and BusyBox
will act like whatever it was invoked as.
Currently defined functions:
[, [[, addgroup, adduser, arping, ash, awk, basename, cat, chgrp, chmod, chown, chroot, clear, cmp, cp, crond, crontab, cut, date, dd, delgroup, deluser, dirname, dmesg, echo, egrep, env, expr, false,
fgrep, find, free, fsync, grep, gunzip, gzip, halt, head, hexdump, hostid, id, ifconfig, init, insmod, kill, killall, klogd, ln, lock, logger, ls, lsmod, mac_addr, md5sum, mkdir, mkfifo, mknod, mktemp,
mount, mv, nice, passwd, pgrep, pidof, ping, ping6, pivot_root, poweroff, printf, ps, pwd, readlink, reboot, reset, rm, rmdir, rmmod, route, sed, seq, sh, sleep, sort, start-stop-daemon, strings,
switch_root, sync, sysctl, tail, tar, tee, telnet, test, tftp, time, top, touch, tr, traceroute, true, udhcpc, umount, uname, uniq, uptime, vconfig, vi, watchdog, wc, wget, which, xargs, yes, zcat
Super! Mais veuillez noter que la version de BusyBox est la 1.19.4. Ceci est une très ancienne version de BusyBox, sorti en avril 2012.
TP-Link publie donc une image de firmware en 2019 en utilisant un logiciel (chaîne d'outils GCC, noyau, BusyBox, etc.) de 2012 !
Comprenez-vous maintenant pourquoi j’installe toujours OpenWRT sur mes routeurs ?
Ce n'est pas tout
Binwalk peut également effectuer une analyse d'entropie, imprimer des données d'entropie brutes et générer des graphiques d'entropie. Généralement, une plus grande entropie est observée lorsque les octets de l’image sont aléatoires. Cela peut signifier que l'image contient un fichier chiffré, compressé ou obscurci. Clé de cryptage hardcore ? Pourquoi pas.
On peut aussi utiliser le paramètre --raw
pour trouver une séquence d'octets bruts personnalisée dans une image ou un paramètre --hexdump
pour effectuer un dump hexadécimal comparant deux ou plusieurs fichiers d'entrée.
--magic
, ou en les ajoutant au répertoire $ HOME / .config / binwalk / magic
.
Vous pouvez trouver plus d’informations sur Binwalk sur
extension binwalk
Là
import binwalk
binwalk.scan()
En utilisant l'API Python, vous pouvez également créer
Il existe également un
Alors pourquoi ne pas télécharger l'image du firmware sur Internet et essayer binwalk ? Je vous promets que vous vous amuserez beaucoup :)
Source: habr.com