使用FirmAE 对zyxel路由器固件仿真实践 | 信息安全

news2024/12/24 8:46:30

一、FirmAE简介

FirmAE 是一个执行仿真和漏洞分析的全自动框架。FirmAE 使用五种仲裁技术显著提高仿真成功率(从Firmadyne的 16.28% 提高到 79.36%)。

832fad7e8fc718ead39765b44e055d66.png

FirmAE的整体架构为如上图所示。与Firmadyne类似,FirmAE在预先构建的自定义Linux内核和库上模拟固件镜像。它还模拟目标镜像两次,以收集各种系统日志,并利用这些信息进行进一步的仿真,前一个仿真步骤称为预仿真,后一个称为最终仿真。为了进行大规模分析,FirmAE致力于完全自动化。实际上Firmadyne的许多步骤已经自动化了,但是仍然需要一些用户交互。例如,用户必须首先使用特定选项提取目标固件的文件系统。然后,他们评估是否成功提取文件系统并检索架构信息。随后,他们为QEMU制作固件镜像并在预仿真中收集信息。最后,他们运行最终仿真的脚本并执行动态分析。FirmAE自动化了所有这些交互,并添加了一个用于网络可达性和Web服务可用性的自动评估过程。FirmAE还使用Docker 将仿真并行化,以有效评估大量固件镜像。每个固件镜像在每个容器中独立仿真,该容器配备所有所需的软件包和依赖项。这使得能够快速可靠地仿真目标镜像。更多详细细节可参考FirmAE论文。

二、FirmAE安装

Ubuntu 18.04

Clone FirmAE

$ git clone --recursive https://github.com/pr0v3rbs/FirmAE

运行download.sh 

$ ./download.sh

运行 install.sh 

$ ./install.sh

三、FirmAE使用

执行init.sh脚本。

$ ./init.sh

检查仿真

$ sudo ./run.sh -c <brand> <firmware>

分析目标固件

•分析模式,使用FirmAE分析器

$ sudo ./run.sh -a <brand> <firmware>

•运行模式,有助于测试网络服务或执行自定义分析器

$ sudo ./run.sh -r <brand> <firmware>

完成run.sh -c后,可debug固件。

用户级基本调试实用程序

$ sudo ./run.sh -d <brand> <firmware>

内核级引导调试

$ sudo ./run.sh -b <brand> <firmware>

四、使用FirmAE仿真zyxel路由器固件

一般情况下,按照上述方法使用FirmAE可自动化仿真固件,但也有一些固件自动化仿真的效果并不是很好,这时就需要做一些逆向分析,通过适当的调整来完成仿真。比如zyxel NWA1100-NH_2.12固件,下面在使用FirmAE仿真该固件过程中,日志显示整个流程没有出错,顺利完成仿真,但实际上该路由器固件的web服务并没有被成功启动。

0a6fcb3e12e7913c7ccd67d0ddb3aa98.png 

这里用调试模式模拟运行后选择2可以连接进入shell,但是发现无法正常访问http服务,通过分析发现,该固件文件系统中由两个http服务程序,FirmAE启动了httpd,实际上这个固件用的是mini_httpd。

225f6ffd9857ab76d616fae0bf219bb9.png

接下来尝试手动启动mini_httpd,首先要清楚启动mini_httpd需要哪些启动参数,通过查看/etc/default/mini_httpd.conf,可以看到mini_httpd默认启动参数 

15f9cea4c505ee087ca8dfa7752199a9.png

在/etc下可以看到有一个mini_httpd.conf指向/tmp/mini_httpd.conf,但实际上/tmp下并不存在这个文件 

759999f92feded378cb6bf23a78942cb.png

另外还有一个mini_httpd.cnf文件,这里面有一下默认的内容,像是支持ssl的一些配置

99f9691f3b0c1164a7e190ec3b5d93bc.png

直接尝试用这个配置文件启动是失败的,

975ad4d6538302c124d33cf8df4ecd8e.png

在IDA里 打开mini_httpd,搜索报错信息"unknown config option"

9a92352a376fc460671d1daecb0f3ba7.png

407ae16bf0e0e130231b23ba2cff8b42.png

最终定位到解析配置文件的代码逻辑,这里可以看到在解析配置文件的一些字段,至于哪些是必要字段哪些是非必要字段,可以尝试构造文件,测试运行。

经过逆向分析和测试,最终我这里的配置文件内容构造如下

dir=/usr/www
cgipat=cgi-bin/*
user=root
port=8081

构造好配置文件就可以正常启动mini_httpd了

54f28d4be8b47fa4a9f478a6f85af746.png

此时发现可以成功访问http服务了 

c810407f0777c318df7d338a9c1bce95.png

这里尝试用 admin admin登录,又发现了一个报错log_maintain: not found 

e65382e8a4426a23b07467042695b12c.png

在mini_httpd里面找到了调用log_maintain的地方,找不到这个程序,说明这个程序所在路径不在环境变量,搜索到log_maintain在/etc/script/ 目录下,将该路径添加到环境变量

export PATH=/etc/scripts/:$PATH

f373038bce080b728ff5ce9a2249ef51.png

继续分析登录逻辑,这里用户名密码会交给chkpwd程序验证

505b130c6cfcdd6aa042e6290ef53d59.png

bef59018aef4917eb3a09a56f85dd8be.png

这里感觉用的是系统用户名密码,但是修改了系统用户名密码后没有成功登录,这里直接patch固件登录逻辑来绕过,可以看出如果用户名密码正确,v45会被写入字符串"Access granted",后面以这个字符串为标志来判断是否成功登录,这里就直接将!srncmp(v84, "Access granted", 14)改成strncmp(v84, "Access granted", 14) ,即将bnez改成beqz 

f9d271368e3a52c186ae43a42dd07025.png

b6c6fd49a54e28be6d9890ed5eacd298.png

patch后成功登录路由器

8d427d1917f5a5e62614a0407ea9d98c.png

登录后抓取到一个设置ip的请求包,下面定位处理http请求的代码,首先考虑字符串定位,但是在mini_httpd程序中并未搜索到/cgi-bin/ip字符串。

POST /cgi-bin/ip HTTP/1.1
Host: 192.168.0.1:8081
User-Agent: Mozilla/5.0 (X11; Ubuntu; Linux x86_64; rv:108.0) Gecko/20100101 Firefox/108.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,*/*;q=0.8
Accept-Language: en-US,en;q=0.5
Accept-Encoding: gzip, deflate
Content-Type: application/x-www-form-urlencoded
Content-Length: 192
Origin: http://192.168.0.1:8081
Connection: close
Referer: http://192.168.0.1:8081/cgi-bin/ip
Cookie: AUTH=; csd=3; cod=1
Upgrade-Insecure-Requests: 1

AP_IPADDR=1.1.1.1&AP_NETMASK=255.255.255.255&IPGW=192.168.0.2&IPV6_AUTO=none&IPV6_ADDR=&PRIDNS=8.8.8.8&SECDNS=1.1.1.1&DOT1Q_VLAN=&MGMT_VLAN_ID=22&MGMT_VLAN=&EEE_Status=&COMMIT=Apply&EXECUTE=ip 

70075e8a8642e6e2009ccb5906327bcb.png

接着在固件文件夹下搜索/cgi-bin/ip字符串,发现了/usr/www/cgi-bin/ip这个目录,但实际在固件中没有找到ip这个程序,说明这个程序可能是固件运行起来后动态生成的。

最终在模拟运行的系统中发现了ip这个文件,ip链接到了/sbin/cgiMain,说明请求实际上是由cgiMain来处理。接下来就可以逆向cgiMain程序对http请求处理来进一步挖洞了,另外还可以在调试模式中使用gdb动态调试cgiMain。

a6c0fe30bf5476d30ec0a0f8ea2bf155.png

五、总结

通过FirmAE可以对一些IoT固件自动化仿真,同时也便于逆向和动态调试,大大方便了安全研究。但对一些无法完全自动仿真的固件,就需要安全研究员手动分析可能的原因, 本文分享了一个没有自动仿真成功的固件案例,以及解决问题的思路。另外对FirmAE的实现及FirmAE其他功能感兴趣的,可以阅读项目源码及论文。

六、参考链接

https://github.com/pr0v3rbs/FirmAE

https://syssec.kaist.ac.kr/pub/2020/kim_acsac2020.pdf

https://github.com/firmadyne/firmadyne

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/446814.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

Codeforces Round 816 (Div. 2)(C. Monoblock)

传送门 题意&#xff1a; 定义一个数组&#xff0c;定义它 相等连续段的个数 如1,2,2,1&#xff0c;相等连续段有[1],[2,2],[1]&#xff0c;共3个 如2,2,2,1&#xff0c;相等连续段有[2,2,2],[1]&#xff0c;共2个 给定一个数组a&#xff0c;定义g(l,r)为&#xff0c;子数组中…

fisco bcos 2.0+ 版本浏览器搭建

Fisco Bcos当前已经发布了3版本&#xff0c;在3版本中&#xff0c;Fisco摒弃了原有的区块链浏览器&#xff0c;而是提供了具有更为丰富功能的图形化区块链管理工具WeBase&#xff0c;后续也会提供对于WeBase的搭建部署教程。 文章目录 一、准备条件二、下载浏览器安装脚本1. 下…

ChatGPT4 的体验 一站式 AI工具箱 -—Poe(使用教程)

最近由于人工智能聊天机器人的爆火(ChatGPT)&#xff0c;因此各种各样的AI助手流行与网络&#xff0c;各种各样的都有&#xff0c;不论是什么样的其实都是为了我们更方便的解决问题&#xff0c;今天介绍一款AI工具箱——Poe将多种AI集成与一个界面&#xff0c;大家可以一次感受…

Mac系统brew报错“The GitHub credentials in the macOS keychain may be invalid”解决

报错信息如下&#xff1a; $ brew search nginx Warning: Error searching on GitHub: GitHub API Error: Requires authentication The GitHub credentials in the macOS keychain may be invalid. Clear them with: printf "protocolhttps\nhostgithub.com\n" | …

Python双向链表的操作

目录 一、双向链表 双向链表示例图 二、双向链表的操作 1、判断链表是否为空 2&#xff0c;链表长度 3&#xff0c;遍历整个链表 4&#xff0c;在链表头部添加元素 5、链表尾部添加元素 6&#xff0c;在指定位置插入元素 7&#xff0c;修改指定位置的元素 8&#xff0…

百度ai智能写作工具-百度ai自动写文章

百度AI智能写作工具&#xff1a;让创作更快捷、高效&#xff01; 在当今竞争激烈的文化创意市场中&#xff0c;创作一篇高质量的文章需要投入大量时间和精力。然而&#xff0c;有了百度AI智能写作工具&#xff0c;创作变得更快捷、高效了。 百度AI智能写作工具采用最先进的人…

JVM之垃圾回收器概述

目录 垃圾收集器分类 按线程数分 按照工作模式分 ​编辑 按碎片处理方式分 按工作的内存区间分 评估GC的性能指标 吞吐量 暂停时间 吞吐量 vs 暂停时间 垃圾回收器概述 垃圾收集器没有在规范中进行过多的规定&#xff0c;可以由不同的厂商、不同版本的JVM来实现。 由…

一起学 WebGL:感受三维世界之视图矩阵

大家好&#xff0c;我是前端西瓜哥。之前绘制的图形都是在 XY 轴所在的平面上&#xff0c;这次我们来加入一点深度信息 z&#xff0c;带你走入三维的世界。 视图矩阵 对于一个立方体来说&#xff0c;我们从它的正前方看&#xff0c;不管距离它多远&#xff0c;也只能看到一个…

微服务下网关聚合Swagger文档、starter统一配置Swagger

一、starter实现统一配置微服务文档 把Swagger配置中的公共部分抽取出来Swagger与SpringBoot整合中&#xff0c;可能会由于版本问题出现各种问题 1、制作starter 参考&#xff1a; 【SpringBoot】自定义启动器 Starter【保姆级教程】用starter实现Oauth2中资源服务的统一配置用…

中级软件设计师备考---数据库系统1

目录 数据库模式数据库的设计过程E-R模型关系代数与元组演算 数据库模式 三级模式、两级映射 定义&#xff1a; 三级模式&#xff1a;外模式、概念模式和内模式&#xff1b;两级映射&#xff1a;外模式-概念模式映射、概念模式-内模式映射 外模式是用户看到的数据库的部分 概…

Linux的常见指令 -掌握

前言 为什么要学命令行&#xff1f; windows/苹果图形界面&#xff0c;是商业化的产物&#xff0c;也就是使用必须简单小白&#xff0c;才能有人用&#xff0c;so what&#xff1f;严格意义上讲&#xff0c;我们必须要学一下Linux命令行。因为企业后端有大量的服务器&#xff…

Web3.0:重新定义互联网的未来

&#x1f497;wei_shuo的个人主页 &#x1f4ab;wei_shuo的学习社区 &#x1f310;Hello World &#xff01; Web3.0&#xff1a;重新定义互联网的未来 Web3.0是指下一代互联网&#xff0c;也称为“分布式互联网”。相比于Web1.0和Web2.0&#xff0c;Web3.0具有更强的去中心化、…

如何快速查找下载外文文献,哪个文献下载网站好用

​​如何高效获取到自己需要的外文文献&#xff0c;最好的办法就是去文献来源数据库中查找&#xff0c;你需要的文献来源数据库有可能是Elsevier&#xff08;sciencedirect&#xff09;、也可能是Wiley Online Library、也有可能是IEEE等等&#xff0c;外文数据库机构太多了。这…

微信跨平台方案Donut快速上手

一、Donut简介 Donut 是微信开发出的多端框架&#xff0c;用于支持使用小程序原生语法开发移动应用的框架&#xff0c;开发者可以一次编码&#xff0c;就可以编译出小程序和 Android 以及 iOS 应用&#xff0c;实现多端开发。能够帮助企业有效降低多端应用开发的技术门槛和研发…

html画布绘制图形

一.题目要求 使用canvas标签完成直角三角形、矩形及圆形的绘制. 二.相关知识点 1.认识<canvas> 标签翻译&#xff1a;画布。 <canvas> 标签定义图形&#xff0c;比如图表和其他图像&#xff0c;您必须使用脚本来绘制图形。 <canvas> 标签只是图形容器&am…

[学习笔记] [机器学习] 2. Seaborn及练习案例

视频链接 数据集下载地址&#xff1a;https://download.csdn.net/download/weixin_44878336/87711308 目录 1. 绘制统计图形1.1 可视化数据的分布1.2 绘制单变量分布1.3 绘制双变量分布1.4 绘制成对的双变量分布 2. 用分类数据绘图2.1 类别散点图2.1.1 sns.stripplot()2.1.2 sn…

Hi3861 硬件 i2c 驱动 oled

一、前言 最近想用 3861 做个有意思的东西&#xff0c;记录一下开发过程。今天使用 3861 的硬件 i2c 驱动 oled。 硬件平台&#xff1a;Bearpi-Nano 软件SDK&#xff1a;润和sdk 二、搬一个 OLED 轮子 我之前写过一篇基于 stm32cubemx 快速使用 iic 接口 oled 的过程&#xff0…

一文搞懂C#实时调试时,程序数据库文件.pdb(符号文件)的作用。延伸搞懂Debug/Release、AnyCPU(首选32位)/x86/x64/ARM的区别

一、准备工作 MS引用&#xff1a;在 Visual Studio 调试器&#xff08;C#、C、Visual Basic、F#&#xff09;中指定符号 (.pdb) 和源文件 MS引用&#xff1a;为 C#、ASP.NET 或 Visual Basic 项目 &#xff08;.NET Framework&#xff09; 生成符号文件 MS引用&#xff1a;用…

图解网络(三)——IP

文章目录 前言一、IP地址与MAC地址的作用二、IP基础2.1 基础2.2 IP 地址的分类 三、ping的工作原理3.1 ICMP 协议3.2 TCP发数据和ping的区别3.2.1 如果用的是TCP的方式去发送消息3.2.1 如果用的是ping 四、断网了&#xff0c;还能 ping 通 127.0.0.1 吗&#xff1f;4.1 什么是1…

编译和链接

目录 1. 程序的翻译环境和执行环境 2. 详解编译链接 2.1 翻译环境 2.2 编译本身也分为几个阶段&#xff1a; 2.2.1汇编过程的简略图 2.3讲解汇编过程的具体过程和要点 2.4运行环境 1. 程序的翻译环境和执行环境 在ANSIC的任何一种实现中&#xff0c;存在两个不同的环境。…