🥇binwalk를 사용한 홈 라우터의 리버스 엔지니어링. 라우터 소프트웨어를 신뢰하십니까?

며칠 전 저는 binwalk를 사용하여 라우터의 펌웨어를 리버스 엔지니어링하기로 결정했습니다.

나는 나 자신을 샀다 TP-Link Archer C7 홈 라우터. 최고의 라우터는 아니지만 내 요구 사항에는 충분합니다.

새 라우터를 구입할 때마다 설치합니다. OpenWRT. 무엇을 위해? 일반적으로 제조업체는 라우터 지원에 크게 신경 쓰지 않으며 시간이 지남에 따라 소프트웨어가 오래되고 취약점이 나타나는 등 일반적으로 아이디어를 얻을 수 있습니다. 따라서 저는 오픈 소스 커뮤니티에서 잘 지원되는 OpenWRT 펌웨어를 선호합니다.

OpenWRT를 다운로드한 후, 나도 최신 펌웨어 이미지를 다운로드했습니다 공식 웹사이트에서 내 새로운 Archer C7을 다운로드하여 분석하기로 결정했습니다. 순전히 재미를 위해 binwalk에 대해 이야기합니다.

빈워크란 무엇인가요?

빈워크 분석, 리버스 엔지니어링, 펌웨어 이미지 추출을 위한 오픈 소스 도구입니다.

2010년 Craig Heffner가 만든 binwalk는 펌웨어 이미지를 스캔하고 파일을 찾고, 파일 시스템 이미지, 실행 코드, 압축 아카이브, 부트로더 및 커널, JPEG 및 PDF와 같은 파일 형식 등을 식별 및 추출할 수 있습니다.

binwalk를 사용하여 펌웨어를 리버스 엔지니어링하여 작동 방식을 이해할 수 있습니다. 바이너리 파일에서 취약점을 검색하고, 파일을 추출하고, 백도어나 디지털 인증서를 찾으세요. 당신은 또한 찾을 수 있습니다 opcodes 다양한 CPU에 대해.

파일 시스템 이미지를 추출하여 특정 비밀번호 파일(passwd, Shadow 등)을 찾고 비밀번호 해시를 해독할 수 있습니다. 두 개 이상의 파일 간에 바이너리 구문 분석을 수행할 수 있습니다. 데이터에 대한 엔트로피 분석을 수행하여 압축된 데이터 또는 인코딩된 암호화 키를 찾을 수 있습니다. 소스 코드에 액세스할 필요 없이 이 모든 작업을 수행할 수 있습니다.

일반적으로 필요한 모든 것이 거기에 있습니다 :)

빈워크는 어떻게 작동하나요?

binwalk의 주요 기능은 서명 스캔입니다. Binwalk는 펌웨어 이미지를 스캔하여 다양한 내장 파일 형식과 파일 시스템을 검색할 수 있습니다.

명령줄 유틸리티를 아시나요? file?

file /bin/bash
/bin/bash: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 3.2.0, BuildID[sha1]=12f73d7a8e226c663034529c8dd20efec22dde54, stripped

팀 file파일 헤더를 보고 서명(매직 넘버)을 찾아 파일 형식을 결정합니다. 예를 들어, 파일이 바이트 시퀀스로 시작하는 경우 0x89 0x50 0x4E 0x47 0x0D 0x0A 0x1A 0x0A, PNG 파일이라는 것을 알고 있습니다. ~에 위키피디아 일반적인 파일 서명 목록이 있습니다.

Binwalk도 같은 방식으로 작동합니다. 그러나 파일 시작 부분에서만 서명을 찾는 대신 binwalk는 전체 파일을 검색합니다. 또한 binwalk는 이미지에 있는 파일을 추출할 수 있습니다.

도구 file и binwalk 도서관을 이용하세요 libmagic 파일 서명을 식별합니다. 하지만 binwalk 압축/압축 파일, 펌웨어 헤더, Linux 커널, 부트로더, 파일 시스템 등을 검색하기 위한 사용자 정의 매직 서명 목록을 추가로 지원합니다.

좀 놀아보자?

빈워크 설치

Binwalk는 Linux, OSX, FreeBSD 및 Windows를 포함한 여러 플랫폼에서 지원됩니다.

최신 버전의 binwalk를 설치하려면 다음을 수행하십시오. 소스코드 다운로드 그리고 따라와 설치 지침 또는 빠른 가이드, 프로젝트 웹사이트에서 확인 가능합니다.

Binwalk에는 다양한 매개변수가 있습니다.

$ binwalk

Binwalk v2.2.0
Craig Heffner, ReFirmLabs
https://github.com/ReFirmLabs/binwalk

Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] ...

Signature Scan Options:
    -B, --signature              Scan target file(s) for common file signatures
    -R, --raw=<str>              Scan target file(s) for the specified sequence of bytes
    -A, --opcodes                Scan target file(s) for common executable opcode signatures
    -m, --magic=<file>           Specify a custom magic file to use
    -b, --dumb                   Disable smart signature keywords
    -I, --invalid                Show results marked as invalid
    -x, --exclude=<str>          Exclude results that match <str>
    -y, --include=<str>          Only show results that match <str>

Extraction Options:
    -e, --extract                Automatically extract known file types
    -D, --dd=<type:ext:cmd>      Extract <type> signatures, give the files an extension of <ext>, and execute <cmd>
    -M, --matryoshka             Recursively scan extracted files
    -d, --depth=<int>            Limit matryoshka recursion depth (default: 8 levels deep)
    -C, --directory=<str>        Extract files/folders to a custom directory (default: current working directory)
    -j, --size=<int>             Limit the size of each extracted file
    -n, --count=<int>            Limit the number of extracted files
    -r, --rm                     Delete carved files after extraction
    -z, --carve                  Carve data from files, but don't execute extraction utilities
    -V, --subdirs                Extract into sub-directories named by the offset

Entropy Options:
    -E, --entropy                Calculate file entropy
    -F, --fast                   Use faster, but less detailed, entropy analysis
    -J, --save                   Save plot as a PNG
    -Q, --nlegend                Omit the legend from the entropy plot graph
    -N, --nplot                  Do not generate an entropy plot graph
    -H, --high=<float>           Set the rising edge entropy trigger threshold (default: 0.95)
    -L, --low=<float>            Set the falling edge entropy trigger threshold (default: 0.85)

Binary Diffing Options:
    -W, --hexdump                Perform a hexdump / diff of a file or files
    -G, --green                  Only show lines containing bytes that are the same among all files
    -i, --red                    Only show lines containing bytes that are different among all files
    -U, --blue                   Only show lines containing bytes that are different among some files
    -u, --similar                Only display lines that are the same between all files
    -w, --terse                  Diff all files, but only display a hex dump of the first file

Raw Compression Options:
    -X, --deflate                Scan for raw deflate compression streams
    -Z, --lzma                   Scan for raw LZMA compression streams
    -P, --partial                Perform a superficial, but faster, scan
    -S, --stop                   Stop after the first result

General Options:
    -l, --length=<int>           Number of bytes to scan
    -o, --offset=<int>           Start scan at this file offset
    -O, --base=<int>             Add a base address to all printed offsets
    -K, --block=<int>            Set file block size
    -g, --swap=<int>             Reverse every n bytes before scanning
    -f, --log=<file>             Log results to file
    -c, --csv                    Log results to file in CSV format
    -t, --term                   Format output to fit the terminal window
    -q, --quiet                  Suppress output to stdout
    -v, --verbose                Enable verbose output
    -h, --help                   Show help output
    -a, --finclude=<str>         Only scan files whose names match this regex
    -p, --fexclude=<str>         Do not scan files whose names match this regex
    -s, --status=<int>           Enable the status server on the specified port

이미지 스캐닝

이미지 내부의 파일 서명을 검색하는 것부터 시작하겠습니다(사이트의 이미지 TP - 링크).

--signature 매개변수를 사용하여 binwalk 실행:

$ binwalk --signature --term archer-c7.bin

DECIMAL       HEXADECIMAL     DESCRIPTION
------------------------------------------------------------------------------------------
21876         0x5574          U-Boot version string, "U-Boot 1.1.4-g4480d5f9-dirty (May
                              20 2019 - 18:45:16)"
21940         0x55B4          CRC32 polynomial table, big endian
23232         0x5AC0          uImage header, header size: 64 bytes, header CRC:
                              0x386C2BD5, created: 2019-05-20 10:45:17, image size:
                              41162 bytes, Data Address: 0x80010000, Entry Point:
                              0x80010000, data CRC: 0xC9CD1E38, OS: Linux, CPU: MIPS,
                              image type: Firmware Image, compression type: lzma, image
                              name: "u-boot image"
23296         0x5B00          LZMA compressed data, properties: 0x5D, dictionary size:
                              8388608 bytes, uncompressed size: 97476 bytes
64968         0xFDC8          XML document, version: "1.0"
78448         0x13270         uImage header, header size: 64 bytes, header CRC:
                              0x78A267FF, created: 2019-07-26 07:46:14, image size:
                              1088500 bytes, Data Address: 0x80060000, Entry Point:
                              0x80060000, data CRC: 0xBB9D4F94, OS: Linux, CPU: MIPS,
                              image type: Multi-File Image, compression type: lzma,
                              image name: "MIPS OpenWrt Linux-3.3.8"
78520         0x132B8         LZMA compressed data, properties: 0x6D, dictionary size:
                              8388608 bytes, uncompressed size: 3164228 bytes
1167013       0x11CEA5        Squashfs filesystem, little endian, version 4.0,
                              compression:xz, size: 14388306 bytes, 2541 inodes,
                              blocksize: 65536 bytes, created: 2019-07-26 07:51:38
15555328      0xED5B00        gzip compressed data, from Unix, last modified: 2019-07-26
                              07:51:41

이제 우리는 이 이미지에 대한 많은 정보를 얻었습니다.

이미지 용도 잠수함 부트로더(이미지 헤더: 0x5AC0 압축된 부트로더 이미지는 다음 위치에 있습니다. 0x5B00). 0x13270의 uImage 헤더를 기반으로 프로세서 아키텍처가 MIPS이고 Linux 커널이 버전 3.3.8임을 알 수 있습니다. 그리고 주소에서 찾은 이미지를 바탕으로 0x11CEA5, 우리는 그것을 볼 수 있습니다 rootfs 파일 시스템입니다 squashfs.

이제 다음 명령을 사용하여 부트로더(U-Boot)를 추출해 보겠습니다. dd:

$ dd if=archer-c7.bin of=u-boot.bin.lzma bs=1 skip=23296 count=41162
41162+0 records in
41162+0 records out
41162 bytes (41 kB, 40 KiB) copied, 0,0939608 s, 438 kB/s

이미지는 LZMA를 사용하여 압축되었으므로 압축을 풀어야 합니다.

$ unlzma u-boot.bin.lzma

이제 U-Boot 이미지가 생겼습니다.

$ ls -l u-boot.bin
-rw-rw-r-- 1 sprado sprado 97476 Fev  5 08:48 u-boot.bin

기본값을 찾는 것은 어떻습니까? bootargs?

$ strings u-boot.bin | grep bootargs
bootargs
bootargs=console=ttyS0,115200 board=AP152 rootfstype=squashfs init=/etc/preinit mtdparts=spi0.0:128k(factory-uboot),192k(u-boot),64k(ART),1536k(uImage),14464k@0x1e0000(rootfs) mem=128M

U-Boot 환경 변수 bootargs Linux 커널에 매개변수를 전달하는 데 사용됩니다. 그리고 위에서 우리는 장치의 플래시 메모리에 대해 더 잘 이해하게 되었습니다.

Linux 커널 이미지를 추출하는 것은 어떻습니까?

$ dd if=archer-c7.bin of=uImage bs=1 skip=78448 count=1088572
1088572+0 records in
1088572+0 records out
1088572 bytes (1,1 MB, 1,0 MiB) copied, 1,68628 s, 646 kB/s

다음 명령을 사용하여 이미지가 성공적으로 추출되었는지 확인할 수 있습니다. file:

$ file uImage
uImage: u-boot legacy uImage, MIPS OpenWrt Linux-3.3.8, Linux/MIPS, Multi-File Image (lzma), 1088500 bytes, Fri Jul 26 07:46:14 2019, Load Address: 0x80060000, Entry Point: 0x80060000, Header CRC: 0x78A267FF, Data CRC: 0xBB9D4F94

uImage 파일 형식은 기본적으로 추가 헤더가 있는 Linux 커널 이미지입니다. 최종 Linux 커널 이미지를 얻으려면 이 헤더를 제거해 보겠습니다.

$ dd if=uImage of=Image.lzma bs=1 skip=72
1088500+0 records in
1088500+0 records out
1088500 bytes (1,1 MB, 1,0 MiB) copied, 1,65603 s, 657 kB/s

이미지가 압축되었으므로 압축을 풀어보겠습니다.

$ unlzma Image.lzma

이제 Linux 커널 이미지가 생겼습니다.

$ ls -la Image
-rw-rw-r-- 1 sprado sprado 3164228 Fev  5 10:51 Image

커널 이미지로 무엇을 할 수 있나요? 예를 들어 이미지에서 문자열 검색을 수행하여 Linux 커널 버전을 찾고 커널을 빌드하는 데 사용된 환경에 대해 알아볼 수 있습니다.

$ strings Image | grep "Linux version"
Linux version 3.3.8 (leo@leo-MS-7529) (gcc version 4.6.3 20120201 (prerelease) (Linaro GCC 4.6-2012.02) ) #1 Mon May 20 18:53:02 CST 2019

펌웨어는 작년(2019)에 출시되었음에도 불구하고 제가 이 글을 쓰는 동안에는 3.3.8년에 출시된 Linux 커널(2012)의 이전 버전을 사용하고 있으며 역시 4.6년 이후 매우 오래된 버전의 GCC(2012)로 컴파일되었습니다. !
(대략 번역. 사무실과 집에서 여전히 라우터를 신뢰하십니까?)

옵션 있음 --opcodes binwalk를 사용하여 기계 명령어를 조회하고 이미지의 프로세서 아키텍처를 결정할 수도 있습니다.

$ binwalk --opcodes Image
DECIMAL       HEXADECIMAL     DESCRIPTION
--------------------------------------------------------------------------------
2400          0x960           MIPS instructions, function epilogue
2572          0xA0C           MIPS instructions, function epilogue
2828          0xB0C           MIPS instructions, function epilogue

루트 파일 시스템은 어떻습니까? 이미지를 수동으로 추출하는 대신 옵션을 사용해 보겠습니다. binwalk --extract:

$ binwalk --extract --quiet archer-c7.bin

전체 루트 파일 시스템은 하위 디렉터리에 추출됩니다.

$ cd _archer-c7.bin.extracted/squashfs-root/

$ ls
bin  dev  etc  lib  mnt  overlay  proc  rom  root  sbin  sys  tmp  usr  var  www

$ cat etc/banner
     MM           NM                    MMMMMMM          M       M
   $MMMMM        MMMMM                MMMMMMMMMMM      MMM     MMM
  MMMMMMMM     MM MMMMM.              MMMMM:MMMMMM:   MMMM   MMMMM
MMMM= MMMMMM  MMM   MMMM       MMMMM   MMMM  MMMMMM   MMMM  MMMMM'
MMMM=  MMMMM MMMM    MM       MMMMM    MMMM    MMMM   MMMMNMMMMM
MMMM=   MMMM  MMMMM          MMMMM     MMMM    MMMM   MMMMMMMM
MMMM=   MMMM   MMMMMM       MMMMM      MMMM    MMMM   MMMMMMMMM
MMMM=   MMMM     MMMMM,    NMMMMMMMM   MMMM    MMMM   MMMMMMMMMMM
MMMM=   MMMM      MMMMMM   MMMMMMMM    MMMM    MMMM   MMMM  MMMMMM
MMMM=   MMMM   MM    MMMM    MMMM      MMMM    MMMM   MMMM    MMMM
MMMM$ ,MMMMM  MMMMM  MMMM    MMM       MMMM   MMMMM   MMMM    MMMM
  MMMMMMM:      MMMMMMM     M         MMMMMMMMMMMM  MMMMMMM MMMMMMM
    MMMMMM       MMMMN     M           MMMMMMMMM      MMMM    MMMM
     MMMM          M                    MMMMMMM        M       M
       M
 ---------------------------------------------------------------
   For those about to rock... (%C, %R)
 ---------------------------------------------------------------

이제 우리는 다양한 일을 할 수 있습니다.

구성 파일, 비밀번호 해시, 암호화 키 및 디지털 인증서를 검색할 수 있습니다. 바이너리 파일을 분석할 수 있습니다. 문제 해결 그리고 취약점.

과 케무 и chroot 이미지에서 실행 파일을 실행(에뮬레이션)할 수도 있습니다.

$ ls
bin  dev  etc  lib  mnt  overlay  proc  rom  root  sbin  sys  tmp  usr  var  www

$ cp /usr/bin/qemu-mips-static .

$ sudo chroot . ./qemu-mips-static bin/busybox
BusyBox v1.19.4 (2019-05-20 18:13:49 CST) multi-call binary.
Copyright (C) 1998-2011 Erik Andersen, Rob Landley, Denys Vlasenko
and others. Licensed under GPLv2.
See source distribution for full notice.

Usage: busybox [function] [arguments]...
   or: busybox --list[-full]
   or: function [arguments]...

    BusyBox is a multi-call binary that combines many common Unix
    utilities into a single executable.  Most people will create a
    link to busybox for each function they wish to use and BusyBox
    will act like whatever it was invoked as.

Currently defined functions:
    [, [[, addgroup, adduser, arping, ash, awk, basename, cat, chgrp, chmod, chown, chroot, clear, cmp, cp, crond, crontab, cut, date, dd, delgroup, deluser, dirname, dmesg, echo, egrep, env, expr, false,
    fgrep, find, free, fsync, grep, gunzip, gzip, halt, head, hexdump, hostid, id, ifconfig, init, insmod, kill, killall, klogd, ln, lock, logger, ls, lsmod, mac_addr, md5sum, mkdir, mkfifo, mknod, mktemp,
    mount, mv, nice, passwd, pgrep, pidof, ping, ping6, pivot_root, poweroff, printf, ps, pwd, readlink, reboot, reset, rm, rmdir, rmmod, route, sed, seq, sh, sleep, sort, start-stop-daemon, strings,
    switch_root, sync, sysctl, tail, tar, tee, telnet, test, tftp, time, top, touch, tr, traceroute, true, udhcpc, umount, uname, uniq, uptime, vconfig, vi, watchdog, wc, wget, which, xargs, yes, zcat

엄청난! 그러나 BusyBox 버전은 1.19.4입니다. 이것은 BusyBox의 아주 오래된 버전입니다., 2012년 XNUMX월에 출시되었습니다.

그래서 TP-Link는 2019년부터 소프트웨어(GCC 툴체인, 커널, BusyBox 등)를 사용하여 2012년에 펌웨어 이미지를 출시합니다!

이제 내가 항상 라우터에 OpenWRT를 설치하는 이유를 이해하셨나요?

그게 다가 아니야

Binwalk는 엔트로피 분석을 수행하고, 원시 엔트로피 데이터를 인쇄하고, 엔트로피 그래프를 생성할 수도 있습니다. 일반적으로 이미지의 바이트가 무작위일 때 더 큰 엔트로피가 관찰됩니다. 이는 이미지에 암호화되거나 압축되었거나 난독화된 파일이 포함되어 있음을 의미할 수 있습니다. 하드코어 암호화 키? 왜 안 돼.

매개변수를 사용할 수도 있습니다. --raw 이미지 또는 매개변수에서 사용자 정의 원시 바이트 시퀀스를 찾으려면 --hexdump 두 개 이상의 입력 파일을 비교하는 XNUMX진수 덤프를 수행합니다.

맞춤 서명 매개변수를 사용하여 명령줄에 지정된 사용자 정의 서명 파일을 통해 binwalk에 추가할 수 있습니다. --magic, 또는 디렉토리에 추가하여 $ HOME / .config / binwalk / magic.

binwalk에 대한 자세한 내용은 다음에서 확인할 수 있습니다. 공식 문서.

빈워크 확장

그곳에 API binwalk는 프로그래밍 방식으로 binwalk 스캔을 수행하기 위해 모든 Python 스크립트에서 사용할 수 있는 Python 모듈로 구현되었으며, binwalk 명령줄 유틸리티는 단 두 줄의 Python 코드로 거의 완전히 복제될 수 있습니다!

import binwalk
binwalk.scan()

Python API를 사용하여 다음을 만들 수도 있습니다. Python 플러그인 binwalk를 구성하고 확장합니다.

또한 존재한다. IDA 플러그인 그리고 클라우드 버전 빈워크 프로.

그렇다면 인터넷에서 펌웨어 이미지를 다운로드하고 binwalk를 사용해 보는 것은 어떨까요? 나는 당신이 많은 즐거움을 누릴 것이라고 약속합니다 :)

출처 : habr.com

binwalk를 사용하여 홈 라우터를 리버스 엔지니어링합니다. 라우터 소프트웨어를 신뢰하십니까?