In pear dagen lyn besleat ik om de firmware fan myn router te reverse engineerjen mei binwalk.
Ik kocht mysels . Net de bêste router, mar genôch foar myn behoeften.
Elke kear as ik keapje in nije router, Ik ynstallearje . Foar wat? As regel meitsje fabrikanten net folle skele oer it stypjen fan har routers en mei de tiid wurdt de software ferâldere, kwetsberens ferskine, ensafuorthinne, yn 't algemien krije jo it idee. Dêrom leaver ik de OpenWRT-firmware, dy't goed wurdt stipe troch de iepen boarne-mienskip.
Neidat ynladen OpenWRT, ik ek ûnder myn nije Archer C7 fan 'e offisjele webside en besletten om it te analysearjen. Puur foar wille en praat oer binwalk.
Wat is binwalk?
is in iepen boarne ark foar analyse, reverse engineering en firmware ôfbylding ekstraksje.
Makke yn 2010 troch Craig Heffner, binwalk kin firmwareôfbyldings scannen en bestannen fine, triemsysteemôfbyldings identifisearje en útpakke, útfierbere koade, komprimearre argiven, bootloaders en kernels, bestânsformaten lykas JPEG en PDF, en folle mear.
Jo kinne binwalk brûke om de firmware te reverse engineer om te begripen hoe't it wurket. Sykje yn binêre bestannen foar kwetsberens, ekstrahearje bestannen en sykje nei efterdoarren as digitale sertifikaten. Jo kinne ek fine opcodes foar in stel ferskillende CPUs.
Jo kinne triemsysteemôfbyldings ekstrahearje om te sykjen nei spesifike wachtwurdbestannen (passwd, shadow, ensfh.) En besykje wachtwurdhashes te brekken. Jo kinne binêre parsing útfiere tusken twa of mear bestannen. Jo kinne entropy-analyse útfiere op gegevens om te sykjen nei komprimearre gegevens of kodearre fersiferingskaaien. Dit alles sûnder de needsaak om tagong te krijen ta de boarnekoade.
Yn 't algemien is alles wat jo nedich binne d'r :)
Hoe wurket binwalk?
It wichtichste skaaimerk fan binwalk is syn hantekening skennen. Binwalk kin de firmwareôfbylding scannen om te sykjen nei ferskate ynboude bestânstypen en bestânssystemen.
Kinne jo it kommandorigelprogramma file?
file /bin/bash
/bin/bash: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 3.2.0, BuildID[sha1]=12f73d7a8e226c663034529c8dd20efec22dde54, strippedteam filesjocht nei de triemkop en siket in hantekening (magysk nûmer) om it bestânstype te bepalen. Bygelyks, as de triem begjint mei de folchoarder fan bytes 0x89 0x50 0x4E 0x47 0x0D 0x0A 0x1A 0x0A, it wit dat it in PNG-bestân is. Op D'r is in list mei gewoane triemhantekeningen.
Binwalk wurket op deselde wize. Mar ynstee fan te sykjen foar hantekeningen allinnich oan it begjin fan de triem, sil binwalk scan de hiele triem. Dêrnjonken kin binwalk bestannen ekstrahearje fûn yn 'e ôfbylding.
Tools file и binwalk brûk de biblioteek libmagic om triemhantekeningen te identifisearjen. Mar binwalk stipet ek in list mei oanpaste magyske hantekeningen om te sykjen nei komprimearre / zipped triemmen, firmware headers, Linux kernels, bootloaders, triemsystemen ensafuorthinne.
Litte we wille ha?
Binwalk ynstallaasje
Binwalk wurdt stipe op meardere platfoarms ynklusyf Linux, OSX, FreeBSD en Windows.
Om de lêste ferzje fan binwalk te ynstallearjen kinne jo en folgje of , beskikber op de projektwebside.
Binwalk hat in protte ferskillende parameters:
$ binwalk
Binwalk v2.2.0
Craig Heffner, ReFirmLabs
https://github.com/ReFirmLabs/binwalk
Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] ...
Signature Scan Options:
-B, --signature Scan target file(s) for common file signatures
-R, --raw=<str> Scan target file(s) for the specified sequence of bytes
-A, --opcodes Scan target file(s) for common executable opcode signatures
-m, --magic=<file> Specify a custom magic file to use
-b, --dumb Disable smart signature keywords
-I, --invalid Show results marked as invalid
-x, --exclude=<str> Exclude results that match <str>
-y, --include=<str> Only show results that match <str>
Extraction Options:
-e, --extract Automatically extract known file types
-D, --dd=<type:ext:cmd> Extract <type> signatures, give the files an extension of <ext>, and execute <cmd>
-M, --matryoshka Recursively scan extracted files
-d, --depth=<int> Limit matryoshka recursion depth (default: 8 levels deep)
-C, --directory=<str> Extract files/folders to a custom directory (default: current working directory)
-j, --size=<int> Limit the size of each extracted file
-n, --count=<int> Limit the number of extracted files
-r, --rm Delete carved files after extraction
-z, --carve Carve data from files, but don't execute extraction utilities
-V, --subdirs Extract into sub-directories named by the offset
Entropy Options:
-E, --entropy Calculate file entropy
-F, --fast Use faster, but less detailed, entropy analysis
-J, --save Save plot as a PNG
-Q, --nlegend Omit the legend from the entropy plot graph
-N, --nplot Do not generate an entropy plot graph
-H, --high=<float> Set the rising edge entropy trigger threshold (default: 0.95)
-L, --low=<float> Set the falling edge entropy trigger threshold (default: 0.85)
Binary Diffing Options:
-W, --hexdump Perform a hexdump / diff of a file or files
-G, --green Only show lines containing bytes that are the same among all files
-i, --red Only show lines containing bytes that are different among all files
-U, --blue Only show lines containing bytes that are different among some files
-u, --similar Only display lines that are the same between all files
-w, --terse Diff all files, but only display a hex dump of the first file
Raw Compression Options:
-X, --deflate Scan for raw deflate compression streams
-Z, --lzma Scan for raw LZMA compression streams
-P, --partial Perform a superficial, but faster, scan
-S, --stop Stop after the first result
General Options:
-l, --length=<int> Number of bytes to scan
-o, --offset=<int> Start scan at this file offset
-O, --base=<int> Add a base address to all printed offsets
-K, --block=<int> Set file block size
-g, --swap=<int> Reverse every n bytes before scanning
-f, --log=<file> Log results to file
-c, --csv Log results to file in CSV format
-t, --term Format output to fit the terminal window
-q, --quiet Suppress output to stdout
-v, --verbose Enable verbose output
-h, --help Show help output
-a, --finclude=<str> Only scan files whose names match this regex
-p, --fexclude=<str> Do not scan files whose names match this regex
-s, --status=<int> Enable the status server on the specified portOfbylding skennen
Litte wy begjinne troch te sykjen nei bestânshantekeningen binnen de ôfbylding (ôfbylding fan 'e side ).
Binwalk útfiere mei de parameter --signature:
$ binwalk --signature --term archer-c7.bin
DECIMAL HEXADECIMAL DESCRIPTION
------------------------------------------------------------------------------------------
21876 0x5574 U-Boot version string, "U-Boot 1.1.4-g4480d5f9-dirty (May
20 2019 - 18:45:16)"
21940 0x55B4 CRC32 polynomial table, big endian
23232 0x5AC0 uImage header, header size: 64 bytes, header CRC:
0x386C2BD5, created: 2019-05-20 10:45:17, image size:
41162 bytes, Data Address: 0x80010000, Entry Point:
0x80010000, data CRC: 0xC9CD1E38, OS: Linux, CPU: MIPS,
image type: Firmware Image, compression type: lzma, image
name: "u-boot image"
23296 0x5B00 LZMA compressed data, properties: 0x5D, dictionary size:
8388608 bytes, uncompressed size: 97476 bytes
64968 0xFDC8 XML document, version: "1.0"
78448 0x13270 uImage header, header size: 64 bytes, header CRC:
0x78A267FF, created: 2019-07-26 07:46:14, image size:
1088500 bytes, Data Address: 0x80060000, Entry Point:
0x80060000, data CRC: 0xBB9D4F94, OS: Linux, CPU: MIPS,
image type: Multi-File Image, compression type: lzma,
image name: "MIPS OpenWrt Linux-3.3.8"
78520 0x132B8 LZMA compressed data, properties: 0x6D, dictionary size:
8388608 bytes, uncompressed size: 3164228 bytes
1167013 0x11CEA5 Squashfs filesystem, little endian, version 4.0,
compression:xz, size: 14388306 bytes, 2541 inodes,
blocksize: 65536 bytes, created: 2019-07-26 07:51:38
15555328 0xED5B00 gzip compressed data, from Unix, last modified: 2019-07-26
07:51:41No hawwe wy in protte ynformaasje oer dizze ôfbylding.
Ofbylding brûkt as in bootloader (ôfbylding header at 0x5AC0 en in komprimearre bootloaderôfbylding by 0x5B00). Op grûn fan de uImage-koptekst op 0x13270 witte wy dat de prosessor-arsjitektuer MIPS is en de Linux-kernel ferzje 3.3.8 is. En basearre op de ôfbylding fûn op it adres 0x11CEA5, dat kinne wy sjen rootfs is in triemsysteem squashfs.
Lit ús no de bootloader (U-Boot) ekstrahearje mei it kommando dd:
$ dd if=archer-c7.bin of=u-boot.bin.lzma bs=1 skip=23296 count=41162
41162+0 records in
41162+0 records out
41162 bytes (41 kB, 40 KiB) copied, 0,0939608 s, 438 kB/sSûnt de ôfbylding wurdt komprimearre mei LZMA, moatte wy it dekomprimearje:
$ unlzma u-boot.bin.lzmaNo hawwe wy in U-Boot-ôfbylding:
$ ls -l u-boot.bin
-rw-rw-r-- 1 sprado sprado 97476 Fev 5 08:48 u-boot.binHoe sit it mei it finen fan de standertwearde foar bootargs?
$ strings u-boot.bin | grep bootargs
bootargs
bootargs=console=ttyS0,115200 board=AP152 rootfstype=squashfs init=/etc/preinit mtdparts=spi0.0:128k(factory-uboot),192k(u-boot),64k(ART),1536k(uImage),14464k@0x1e0000(rootfs) mem=128MU-Boot Miljeu Fariabele bootargs brûkt om parameters troch te jaan oan de Linux kernel. En út it boppesteande hawwe wy in better begryp fan it flashûnthâld fan it apparaat.
Hoe sit it mei it ekstrahearje fan it Linux-kernelôfbylding?
$ dd if=archer-c7.bin of=uImage bs=1 skip=78448 count=1088572
1088572+0 records in
1088572+0 records out
1088572 bytes (1,1 MB, 1,0 MiB) copied, 1,68628 s, 646 kB/sWy kinne kontrolearje dat de ôfbylding mei súkses ekstrahearre is mei it kommando file:
$ file uImage
uImage: u-boot legacy uImage, MIPS OpenWrt Linux-3.3.8, Linux/MIPS, Multi-File Image (lzma), 1088500 bytes, Fri Jul 26 07:46:14 2019, Load Address: 0x80060000, Entry Point: 0x80060000, Header CRC: 0x78A267FF, Data CRC: 0xBB9D4F94It uImage-bestânformaat is yn prinsipe in Linux-kernelôfbylding mei in ekstra koptekst. Litte wy dizze koptekst fuortsmite om it definitive Linux kernelôfbylding te krijen:
$ dd if=uImage of=Image.lzma bs=1 skip=72
1088500+0 records in
1088500+0 records out
1088500 bytes (1,1 MB, 1,0 MiB) copied, 1,65603 s, 657 kB/sDe ôfbylding is komprimearre, dus litte wy it útpakke:
$ unlzma Image.lzmaNo hawwe wy in Linux kernelôfbylding:
$ ls -la Image
-rw-rw-r-- 1 sprado sprado 3164228 Fev 5 10:51 ImageWat kinne wy dwaan mei it kernelôfbylding? Wy kinne bygelyks in tekenrige sykje yn 'e ôfbylding en fine de ferzje fan' e Linux-kernel en learje oer de omjouwing dy't brûkt wurdt om de kernel te bouwen:
$ strings Image | grep "Linux version"
Linux version 3.3.8 (leo@leo-MS-7529) (gcc version 4.6.3 20120201 (prerelease) (Linaro GCC 4.6-2012.02) ) #1 Mon May 20 18:53:02 CST 2019Ek al is de firmware ferline jier (2019) frijlitten, wylst ik dit artikel skriuw, brûkt it in âlde ferzje fan 'e Linux-kernel (3.3.8) útbrocht yn 2012, kompilearre mei in heul âlde ferzje fan GCC (4.6) ek sûnt 2012 !
(sawat transl. fertrouwe jo jo routers noch op kantoar en thús?)
Mei opsje --opcodes wy kinne ek binwalk brûke om masineynstruksjes op te sykjen en de prosessorarsjitektuer fan 'e ôfbylding te bepalen:
$ binwalk --opcodes Image
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
2400 0x960 MIPS instructions, function epilogue
2572 0xA0C MIPS instructions, function epilogue
2828 0xB0C MIPS instructions, function epilogueWat oer it rootbestânsysteem? Ynstee fan de ôfbylding mei de hân te ekstrahearjen, litte wy de opsje brûke binwalk --extract:
$ binwalk --extract --quiet archer-c7.binIt folsleine rootbestânsysteem sil ekstrahearre wurde nei in submap:
$ cd _archer-c7.bin.extracted/squashfs-root/
$ ls
bin dev etc lib mnt overlay proc rom root sbin sys tmp usr var www
$ cat etc/banner
MM NM MMMMMMM M M
$MMMMM MMMMM MMMMMMMMMMM MMM MMM
MMMMMMMM MM MMMMM. MMMMM:MMMMMM: MMMM MMMMM
MMMM= MMMMMM MMM MMMM MMMMM MMMM MMMMMM MMMM MMMMM'
MMMM= MMMMM MMMM MM MMMMM MMMM MMMM MMMMNMMMMM
MMMM= MMMM MMMMM MMMMM MMMM MMMM MMMMMMMM
MMMM= MMMM MMMMMM MMMMM MMMM MMMM MMMMMMMMM
MMMM= MMMM MMMMM, NMMMMMMMM MMMM MMMM MMMMMMMMMMM
MMMM= MMMM MMMMMM MMMMMMMM MMMM MMMM MMMM MMMMMM
MMMM= MMMM MM MMMM MMMM MMMM MMMM MMMM MMMM
MMMM$ ,MMMMM MMMMM MMMM MMM MMMM MMMMM MMMM MMMM
MMMMMMM: MMMMMMM M MMMMMMMMMMMM MMMMMMM MMMMMMM
MMMMMM MMMMN M MMMMMMMMM MMMM MMMM
MMMM M MMMMMMM M M
M
---------------------------------------------------------------
For those about to rock... (%C, %R)
---------------------------------------------------------------No kinne wy in protte ferskillende dingen dwaan.
Wy kinne sykje nei konfiguraasjebestannen, wachtwurdhashes, kryptografyske kaaien en digitale sertifikaten. Wy kinne analysearje binêre triemmen foar en kwetsberens.
Mei help fan и wy kinne sels in útfierbere triem útfiere (emulearje) fanút de ôfbylding:
$ ls
bin dev etc lib mnt overlay proc rom root sbin sys tmp usr var www
$ cp /usr/bin/qemu-mips-static .
$ sudo chroot . ./qemu-mips-static bin/busybox
BusyBox v1.19.4 (2019-05-20 18:13:49 CST) multi-call binary.
Copyright (C) 1998-2011 Erik Andersen, Rob Landley, Denys Vlasenko
and others. Licensed under GPLv2.
See source distribution for full notice.
Usage: busybox [function] [arguments]...
or: busybox --list[-full]
or: function [arguments]...
BusyBox is a multi-call binary that combines many common Unix
utilities into a single executable. Most people will create a
link to busybox for each function they wish to use and BusyBox
will act like whatever it was invoked as.
Currently defined functions:
[, [[, addgroup, adduser, arping, ash, awk, basename, cat, chgrp, chmod, chown, chroot, clear, cmp, cp, crond, crontab, cut, date, dd, delgroup, deluser, dirname, dmesg, echo, egrep, env, expr, false,
fgrep, find, free, fsync, grep, gunzip, gzip, halt, head, hexdump, hostid, id, ifconfig, init, insmod, kill, killall, klogd, ln, lock, logger, ls, lsmod, mac_addr, md5sum, mkdir, mkfifo, mknod, mktemp,
mount, mv, nice, passwd, pgrep, pidof, ping, ping6, pivot_root, poweroff, printf, ps, pwd, readlink, reboot, reset, rm, rmdir, rmmod, route, sed, seq, sh, sleep, sort, start-stop-daemon, strings,
switch_root, sync, sysctl, tail, tar, tee, telnet, test, tftp, time, top, touch, tr, traceroute, true, udhcpc, umount, uname, uniq, uptime, vconfig, vi, watchdog, wc, wget, which, xargs, yes, zcatGrut! Mar tink derom dat BusyBox ferzje 1.19.4 is. Dit is in heul âlde ferzje fan BusyBox, útbrocht yn april 2012.
Dat TP-Link publisearret in firmwareôfbylding yn 2019 mei software (GCC toolchain, kernel, BusyBox, ensfh.) Fan 2012 ôf!
Begripe jo no wêrom ik OpenWRT altyd ynstalleare op myn routers?
Dat is net alles
Binwalk kin ek útfiere entropy analyze, printsjen rauwe entropy gegevens, en generearje entropy grafiken. Typysk wurdt gruttere entropy waarnommen as de bytes yn 'e ôfbylding willekeurich binne. Dit kin betsjutte dat de ôfbylding in fersifere, komprimearre of obfuscated triem befettet. Hardcore fersiferingskaai? Wêrom net.
Wy kinne ek de parameter brûke --raw om in oanpaste rûge byte-sekwinsje te finen yn in ôfbylding of parameter --hexdump om in hex-dump út te fieren dy't twa of mear ynfierbestannen fergelykje.
kin tafoege wurde oan binwalk itsij troch in oanpaste hantekening triem oantsjutte op de kommandorigel mei help fan de parameter --magic, of troch se ta te foegjen oan de map $ HOME / .config / binwalk / magic.
Jo kinne fine mear ynformaasje oer binwalk op .
binwalk extension
Dêr is binwalk, ymplemintearre as in Python module dat kin brûkt wurde troch alle Python skript foar in programmatysk útfiere in binwalk scan, en de binwalk kommando rigel utility kin hast hielendal duplicated mei mar twa rigels fan Python koade!
import binwalk
binwalk.scan()Mei de Python API kinne jo ek oanmeitsje te konfigurearjen en útwreidzje binwalk.
Ek bestiet en wolk ferzje .
Dus wêrom downloade jo de firmwareôfbylding net fan it ynternet en besykje binwalk? Ik beloof dat jo in protte wille hawwe :)
Boarne: www.habr.com