Een paar dagen geleden besloot ik de firmware van mijn router te reverse-engineeren met behulp van binwalk.
Ik kocht mezelf . Niet de beste router, maar genoeg voor mijn behoeften.
Elke keer als ik een nieuwe router koop, installeer ik deze . Waarvoor? In de regel geven fabrikanten niet veel om de ondersteuning van hun routers, en na verloop van tijd raakt de software verouderd, verschijnen er kwetsbaarheden, enzovoort, in het algemeen begrijp je het. Daarom geef ik de voorkeur aan de goed onderhouden open-source firmware OpenWRT.
Na zelf OpenWRT te hebben gedownload, heb ik ook onder mijn nieuwe Archer C7 van de officiële site en besloot deze te analyseren. Puur voor de lol en praat over binwalk.
Wat is binwalk?
is een open source-tool voor het analyseren, reverse-engineeren en extraheren van firmware-images.
Binwalk, in 2010 gemaakt door Craig Heffner, kan firmware-images scannen en bestanden vinden, bestandssysteemimages, uitvoerbare code, gecomprimeerde archieven, bootloaders en kernels, bestandsindelingen zoals JPEG en PDF, en nog veel meer identificeren en extraheren.
U kunt binwalk gebruiken om de firmware te reverse-engineeren om te begrijpen hoe deze werkt. Zoek naar kwetsbaarheden in binaire bestanden, pak bestanden uit en zoek naar backdoors of digitale certificaten. Kan ook gevonden worden opcodes voor een heleboel verschillende CPU's.
U kunt bestandssysteemafbeeldingen uitpakken om te zoeken naar specifieke wachtwoordbestanden (passwd, shadow, enz.) en wachtwoordhashes proberen te verbreken. U kunt binaire analyse tussen twee of meer bestanden uitvoeren. U kunt gegevensentropieanalyse uitvoeren om gecomprimeerde gegevens of gecodeerde coderingssleutels te vinden. Dit alles zonder toegang tot de broncode.
Over het algemeen is alles wat je nodig hebt aanwezig 🙂
Hoe werkt binwalk?
Het belangrijkste kenmerk van binwalk is het scannen van handtekeningen. Binwalk kan de firmware-image scannen op verschillende ingebouwde bestandstypen en bestandssystemen.
Kent u het opdrachtregelhulpprogramma file?
file /bin/bash
/bin/bash: ELF 64-bit LSB shared object, x86-64, version 1 (SYSV), dynamically linked, interpreter /lib64/l, for GNU/Linux 3.2.0, BuildID[sha1]=12f73d7a8e226c663034529c8dd20efec22dde54, strippedTeam filekijkt naar de bestandskop en zoekt naar de handtekening (magisch getal) om het bestandstype te bepalen. Als het bestand bijvoorbeeld begint met de bytereeks 0x89 0x50 0x4E 0x47 0x0D 0x0A 0x1A 0x0A, weet ze dat het een PNG-bestand is. Op er is een lijst met algemene bestandshandtekeningen.
Binwalk werkt op dezelfde manier. Maar in plaats van alleen aan het begin van het bestand naar handtekeningen te zoeken, scant binwalk het hele bestand. Bovendien kan binwalk bestanden uit de afbeelding extraheren.
Gereedschap file и binwalk gebruik maken van de bibliotheek libmagic om bestandshandtekeningen te identificeren. Maar binwalk onderhoudt bovendien een lijst met aangepaste magische handtekeningen om te zoeken naar gecomprimeerde / gecomprimeerde bestanden, firmwareheaders, Linux-kernels, bootloaders, bestandssystemen, enzovoort.
Laten we plezier hebben?
Binwalk installeren
Binwalk wordt ondersteund op meerdere platforms, waaronder Linux, OSX, FreeBSD en Windows.
Om de laatste versie van binwalk te installeren, kan dat en volg of beschikbaar op de projectwebsite.
Binwalk heeft veel verschillende opties:
$ binwalk
Binwalk v2.2.0
Craig Heffner, ReFirmLabs
https://github.com/ReFirmLabs/binwalk
Usage: binwalk [OPTIONS] [FILE1] [FILE2] [FILE3] ...
Signature Scan Options:
-B, --signature Scan target file(s) for common file signatures
-R, --raw=<str> Scan target file(s) for the specified sequence of bytes
-A, --opcodes Scan target file(s) for common executable opcode signatures
-m, --magic=<file> Specify a custom magic file to use
-b, --dumb Disable smart signature keywords
-I, --invalid Show results marked as invalid
-x, --exclude=<str> Exclude results that match <str>
-y, --include=<str> Only show results that match <str>
Extraction Options:
-e, --extract Automatically extract known file types
-D, --dd=<type:ext:cmd> Extract <type> signatures, give the files an extension of <ext>, and execute <cmd>
-M, --matryoshka Recursively scan extracted files
-d, --depth=<int> Limit matryoshka recursion depth (default: 8 levels deep)
-C, --directory=<str> Extract files/folders to a custom directory (default: current working directory)
-j, --size=<int> Limit the size of each extracted file
-n, --count=<int> Limit the number of extracted files
-r, --rm Delete carved files after extraction
-z, --carve Carve data from files, but don't execute extraction utilities
-V, --subdirs Extract into sub-directories named by the offset
Entropy Options:
-E, --entropy Calculate file entropy
-F, --fast Use faster, but less detailed, entropy analysis
-J, --save Save plot as a PNG
-Q, --nlegend Omit the legend from the entropy plot graph
-N, --nplot Do not generate an entropy plot graph
-H, --high=<float> Set the rising edge entropy trigger threshold (default: 0.95)
-L, --low=<float> Set the falling edge entropy trigger threshold (default: 0.85)
Binary Diffing Options:
-W, --hexdump Perform a hexdump / diff of a file or files
-G, --green Only show lines containing bytes that are the same among all files
-i, --red Only show lines containing bytes that are different among all files
-U, --blue Only show lines containing bytes that are different among some files
-u, --similar Only display lines that are the same between all files
-w, --terse Diff all files, but only display a hex dump of the first file
Raw Compression Options:
-X, --deflate Scan for raw deflate compression streams
-Z, --lzma Scan for raw LZMA compression streams
-P, --partial Perform a superficial, but faster, scan
-S, --stop Stop after the first result
General Options:
-l, --length=<int> Number of bytes to scan
-o, --offset=<int> Start scan at this file offset
-O, --base=<int> Add a base address to all printed offsets
-K, --block=<int> Set file block size
-g, --swap=<int> Reverse every n bytes before scanning
-f, --log=<file> Log results to file
-c, --csv Log results to file in CSV format
-t, --term Format output to fit the terminal window
-q, --quiet Suppress output to stdout
-v, --verbose Enable verbose output
-h, --help Show help output
-a, --finclude=<str> Only scan files whose names match this regex
-p, --fexclude=<str> Do not scan files whose names match this regex
-s, --status=<int> Enable the status server on the specified portScannen van afbeeldingen
Laten we beginnen met het zoeken naar bestandshandtekeningen in de afbeelding (afbeelding van de site ).
Binwalk uitvoeren met de optie --signature:
$ binwalk --signature --term archer-c7.bin
DECIMAL HEXADECIMAL DESCRIPTION
------------------------------------------------------------------------------------------
21876 0x5574 U-Boot version string, "U-Boot 1.1.4-g4480d5f9-dirty (May
20 2019 - 18:45:16)"
21940 0x55B4 CRC32 polynomial table, big endian
23232 0x5AC0 uImage header, header size: 64 bytes, header CRC:
0x386C2BD5, created: 2019-05-20 10:45:17, image size:
41162 bytes, Data Address: 0x80010000, Entry Point:
0x80010000, data CRC: 0xC9CD1E38, OS: Linux, CPU: MIPS,
image type: Firmware Image, compression type: lzma, image
name: "u-boot image"
23296 0x5B00 LZMA compressed data, properties: 0x5D, dictionary size:
8388608 bytes, uncompressed size: 97476 bytes
64968 0xFDC8 XML document, version: "1.0"
78448 0x13270 uImage header, header size: 64 bytes, header CRC:
0x78A267FF, created: 2019-07-26 07:46:14, image size:
1088500 bytes, Data Address: 0x80060000, Entry Point:
0x80060000, data CRC: 0xBB9D4F94, OS: Linux, CPU: MIPS,
image type: Multi-File Image, compression type: lzma,
image name: "MIPS OpenWrt Linux-3.3.8"
78520 0x132B8 LZMA compressed data, properties: 0x6D, dictionary size:
8388608 bytes, uncompressed size: 3164228 bytes
1167013 0x11CEA5 Squashfs filesystem, little endian, version 4.0,
compression:xz, size: 14388306 bytes, 2541 inodes,
blocksize: 65536 bytes, created: 2019-07-26 07:51:38
15555328 0xED5B00 gzip compressed data, from Unix, last modified: 2019-07-26
07:51:41Nu hebben we veel informatie over deze afbeelding.
Afbeelding gebruikt als bootloader (afbeeldingskop op 0x5AC0 en een gecomprimeerde bootloader-image op 0x5B00). Op basis van de uImage-header op 0x13270 weten we dat de processorarchitectuur MIPS is en dat de Linux-kernel versie 3.3.8 is. En gebaseerd op de afbeelding gevonden op 0x11CEA5, dat kunnen we zien rootfs is een bestandssysteem squashfs.
Laten we nu de bootloader (U-Boot) extraheren met behulp van de opdracht dd:
$ dd if=archer-c7.bin of=u-boot.bin.lzma bs=1 skip=23296 count=41162
41162+0 records in
41162+0 records out
41162 bytes (41 kB, 40 KiB) copied, 0,0939608 s, 438 kB/sOmdat de afbeelding is gecomprimeerd met LZMA, moeten we deze decomprimeren:
$ unlzma u-boot.bin.lzmaWe hebben nu een U-Boot-image:
$ ls -l u-boot.bin
-rw-rw-r-- 1 sprado sprado 97476 Fev 5 08:48 u-boot.binHoe zit het met het vinden van de standaardwaarde voor bootargs?
$ strings u-boot.bin | grep bootargs
bootargs
bootargs=console=ttyS0,115200 board=AP152 rootfstype=squashfs init=/etc/preinit mtdparts=spi0.0:128k(factory-uboot),192k(u-boot),64k(ART),1536k(uImage),14464k@0x1e0000(rootfs) mem=128MU-Boot-omgevingsvariabele bootargs gebruikt om parameters door te geven aan de Linux-kernel. En uit het bovenstaande hebben we een beter begrip van het flash-geheugen van het apparaat.
Hoe zit het met het extraheren van een Linux-kernelimage?
$ dd if=archer-c7.bin of=uImage bs=1 skip=78448 count=1088572
1088572+0 records in
1088572+0 records out
1088572 bytes (1,1 MB, 1,0 MiB) copied, 1,68628 s, 646 kB/sWe kunnen verifiëren dat de afbeelding met succes is geëxtraheerd met de opdracht file:
$ file uImage
uImage: u-boot legacy uImage, MIPS OpenWrt Linux-3.3.8, Linux/MIPS, Multi-File Image (lzma), 1088500 bytes, Fri Jul 26 07:46:14 2019, Load Address: 0x80060000, Entry Point: 0x80060000, Header CRC: 0x78A267FF, Data CRC: 0xBB9D4F94Het uImage-bestandsformaat is in feite een Linux-kernelimage met een extra header. Laten we deze header verwijderen om de uiteindelijke Linux-kernelafbeelding te krijgen:
$ dd if=uImage of=Image.lzma bs=1 skip=72
1088500+0 records in
1088500+0 records out
1088500 bytes (1,1 MB, 1,0 MiB) copied, 1,65603 s, 657 kB/sDe afbeelding is gecomprimeerd, dus laten we het uitpakken:
$ unlzma Image.lzmaWe hebben nu een Linux-kernelimage:
$ ls -la Image
-rw-rw-r-- 1 sprado sprado 3164228 Fev 5 10:51 ImageWat kunnen we doen met de kernel-image? We kunnen bijvoorbeeld de strings in de afbeelding doorzoeken en de versie van de Linux-kernel vinden en meer te weten komen over de omgeving die is gebruikt om de kernel te bouwen:
$ strings Image | grep "Linux version"
Linux version 3.3.8 (leo@leo-MS-7529) (gcc version 4.6.3 20120201 (prerelease) (Linaro GCC 4.6-2012.02) ) #1 Mon May 20 18:53:02 CST 2019Hoewel de firmware vorig jaar (2019) is uitgebracht, gebruikt deze, wanneer ik dit artikel schrijf, een oude versie van de Linux-kernel (3.3.8) uitgebracht in 2012, gecompileerd met een zeer oude versie van GCC (4.6), ook sinds 2012!
Vertrouwt u uw routers op kantoor en thuis nog?
Met optie --opcodes we kunnen binwalk ook gebruiken om machine-instructies op te zoeken en de processorarchitectuur van de afbeelding te bepalen:
$ binwalk --opcodes Image
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
2400 0x960 MIPS instructions, function epilogue
2572 0xA0C MIPS instructions, function epilogue
2828 0xB0C MIPS instructions, function epilogueHoe zit het met het rootbestandssysteem? Laten we in plaats van de afbeelding handmatig te extraheren, de optie gebruiken binwalk --extract:
$ binwalk --extract --quiet archer-c7.binHet volledige rootbestandssysteem wordt uitgepakt naar een subdirectory:
$ cd _archer-c7.bin.extracted/squashfs-root/
$ ls
bin dev etc lib mnt overlay proc rom root sbin sys tmp usr var www
$ cat etc/banner
MM NM MMMMMMM M M
$MMMMM MMMMM MMMMMMMMMMM MMM MMM
MMMMMMMM MM MMMMM. MMMMM:MMMMMM: MMMM MMMMM
MMMM= MMMMMM MMM MMMM MMMMM MMMM MMMMMM MMMM MMMMM'
MMMM= MMMMM MMMM MM MMMMM MMMM MMMM MMMMNMMMMM
MMMM= MMMM MMMMM MMMMM MMMM MMMM MMMMMMMM
MMMM= MMMM MMMMMM MMMMM MMMM MMMM MMMMMMMMM
MMMM= MMMM MMMMM, NMMMMMMMM MMMM MMMM MMMMMMMMMMM
MMMM= MMMM MMMMMM MMMMMMMM MMMM MMMM MMMM MMMMMM
MMMM= MMMM MM MMMM MMMM MMMM MMMM MMMM MMMM
MMMM$ ,MMMMM MMMMM MMMM MMM MMMM MMMMM MMMM MMMM
MMMMMMM: MMMMMMM M MMMMMMMMMMMM MMMMMMM MMMMMMM
MMMMMM MMMMN M MMMMMMMMM MMMM MMMM
MMMM M MMMMMMM M M
M
---------------------------------------------------------------
For those about to rock... (%C, %R)
---------------------------------------------------------------Nu kunnen we veel dingen doen.
We kunnen zoeken naar configuratiebestanden, wachtwoordhashes, cryptografische sleutels en digitale certificaten. We kunnen binaire bestanden ontleden voor en kwetsbaarheden.
Met и we kunnen zelfs een uitvoerbaar bestand uitvoeren (emuleren) vanuit een afbeelding:
$ ls
bin dev etc lib mnt overlay proc rom root sbin sys tmp usr var www
$ cp /usr/bin/qemu-mips-static .
$ sudo chroot . ./qemu-mips-static bin/busybox
BusyBox v1.19.4 (2019-05-20 18:13:49 CST) multi-call binary.
Copyright (C) 1998-2011 Erik Andersen, Rob Landley, Denys Vlasenko
and others. Licensed under GPLv2.
See source distribution for full notice.
Usage: busybox [function] [arguments]...
or: busybox --list[-full]
or: function [arguments]...
BusyBox is a multi-call binary that combines many common Unix
utilities into a single executable. Most people will create a
link to busybox for each function they wish to use and BusyBox
will act like whatever it was invoked as.
Currently defined functions:
[, [[, addgroup, adduser, arping, ash, awk, basename, cat, chgrp, chmod, chown, chroot, clear, cmp, cp, crond, crontab, cut, date, dd, delgroup, deluser, dirname, dmesg, echo, egrep, env, expr, false,
fgrep, find, free, fsync, grep, gunzip, gzip, halt, head, hexdump, hostid, id, ifconfig, init, insmod, kill, killall, klogd, ln, lock, logger, ls, lsmod, mac_addr, md5sum, mkdir, mkfifo, mknod, mktemp,
mount, mv, nice, passwd, pgrep, pidof, ping, ping6, pivot_root, poweroff, printf, ps, pwd, readlink, reboot, reset, rm, rmdir, rmmod, route, sed, seq, sh, sleep, sort, start-stop-daemon, strings,
switch_root, sync, sysctl, tail, tar, tee, telnet, test, tftp, time, top, touch, tr, traceroute, true, udhcpc, umount, uname, uniq, uptime, vconfig, vi, watchdog, wc, wget, which, xargs, yes, zcatGeweldig! Maar merk op dat de BusyBox-versie 1.19.4 is. Dit is een zeer oude versie van BusyBoxuitgebracht in april 2012.
Dus TP-Link brengt in 2019 een firmware-image uit met behulp van software (GCC-toolchain, kernel, BusyBox, etc.) uit 2012!
Begrijp je nu waarom ik altijd OpenWRT op mijn routers installeer?
Dat is niet alles
Binwalk kan ook entropieanalyses uitvoeren, onbewerkte entropiegegevens afdrukken en entropieplots genereren. Meestal wordt er meer entropie waargenomen wanneer de bytes in de afbeelding willekeurig zijn. Dit kan betekenen dat de afbeelding een versleuteld, gecomprimeerd of verborgen bestand bevat. Hardcore-coderingssleutel? Waarom niet.
We kunnen ook de parameter gebruiken --raw om te zoeken naar een aangepaste reeks onbewerkte bytes in een afbeelding of parameter --hexdump om een hex-dump uit te voeren die twee of meer invoerbestanden vergelijkt.
kan worden toegevoegd aan binwalk via een aangepast handtekeningbestand dat is opgegeven op de opdrachtregel met de parameter --magic, of door ze toe te voegen aan de directory $ HOME / .config / binwalk / magic.
Meer informatie over binwalk vind je op .
binwalk-extensie
Er is binwalk geïmplementeerd als een Python-module die door elk Python-script kan worden gebruikt om programmatisch een binwalk-scan uit te voeren, en het binwalk-opdrachtregelhulpprogramma kan bijna volledig worden gedupliceerd met slechts twee regels Python-code!
import binwalk
binwalk.scan()Met behulp van de Python API kun je ook creëren om binwalk aan te passen en uit te breiden.
Bestaat ook en cloudversie .
Dus waarom download je de firmware-image niet van internet en probeer je binwalk? Ik beloof je dat je veel plezier zult hebben 🙂
Bron: www.habr.com