-
-
[翻译]物联网上的 ARM 漏洞利用 - 第一部分
-
2017-8-22 12:05
-
物联网上的 ARM 漏洞利用 - 第一部分
发文动机
几周前我参加某个会议的时候,有个“物联网上的 ARM 漏洞利用课程”的议题我觉得很多干货,我也决定自己写一篇,给去不了现场的同学发些福利。我打算分为三个部分来写。
当然我的文章没办法和现场的 course 相比,我还是想为大家做一些微小的工作。
这三个部分是:
- 第一部分:逆向 ARM 应用
- 第二部分:编写 ARM shellcode
- 第三部分:ARM 漏洞利用
第一部分:逆向 ARM 应用
环境:树莓派3
我选了这个又便宜又好配置的环境,Android 也是个不错的选择。
硬件
具体型号:>树莓派3 型号B ARM-Cortex-A53架构
软件
这是些软件信息,接下来三部分都会用到。
root@raspberrypi:/home/pi# cat /etc/os-release PRETTY_NAME="Raspbian GNU/Linux 8 (jessie)" NAME="Raspbian GNU/Linux" VERSION_ID="8" VERSION="8 (jessie)" ID=raspbian ID_LIKE=debian HOME_URL="http://www.raspbian.org/" SUPPORT_URL="http://www.raspbian.org/RaspbianForums" BUG_REPORT_URL="http://www.raspbian.org/RaspbianBugs" root@raspberrypi:/home/pi# cat /etc/rpi-issue Raspberry Pi reference 2017-03-02 Generated using pi-gen, https://github.com/RPi-Distro/pi-gen, f563e32202fad7180c9058dc3ad70bfb7c09f0fb, stage2
操作系统的安装请看:https://www.raspberrypi.org/documentation/installation/installing-images/linux.md
配置远程 ssh 请看:https://www.raspberrypi.org/documentation/remote-access/ssh/
编译器
我们用到的所有 C、C++、汇编代码都会用树莓派自带的 GCC 编译器。
版本如下:
root@raspberrypi:/home/pi/arm/episode1# gcc --version gcc (Raspbian 4.9.2-10) 4.9.2 Copyright (C) 2014 Free Software Foundation, Inc. This is free software; see the source for copying conditions. There is NO warranty; not even for MERCHANTABILITY or FITNESS FOR A PARTICULAR PURPOSE.
还有一点是 GCC 的汇编指令和其他的编译器不同,最好先看一下这些指令:http://www.ic.unicamp.br/~celio/mc404-2014/docs/gnu-arm-directives.pdf
源码
本部分我用到的源码都放在这里了:https://github.com/invictus1306/ARM-episodes/tree/master/Episode1
编译选项
这一节我会介绍三个选项,并附带例子。
这是用到的源码:
#include <stdio.h>
#include <string.h>
static char password[] = "compiler_options";
int main()
{
char input_pwd[20]={0};
fgets(input_pwd, sizeof(input_pwd), stdin);
int size = sizeof(password);
if(input_pwd[size] != 0)
{
printf("The password is not correct! \n");
return 0;
}
int ret = strncmp(password, input_pwd, size-1);
if (ret==0)
{
printf("Good done! \n");
}
else
{
printf("The password is not correct! \n");
}
return 0;
}调试符号
-g 选项会在编译时向可执行文件中加入调试信息(符号表)。
编译带 -g 和不带 -g 选项的两个 ELF 文件,比较大小:
root@raspberrypi:/home/pi/arm/episode1# gcc -o compiler_options compiler_options.c root@raspberrypi:/home/pi/arm/episode1# ls -l total 12 -rwxr-xr-x 1 root root 6288 Jun 14 20:21 compiler_options -rw-r--r-- 1 root root 488 Jun 14 19:41 compiler_options.c root@raspberrypi:/home/pi/arm/episode1# gcc -o compiler_options compiler_options.c -g root@raspberrypi:/home/pi/arm/episode1# ls -l total 16 -rwxr-xr-x 1 root root 8648 Jun 14 20:21 compiler_options -rw-r--r-- 1 root root 488 Jun 14 19:41 compiler_options.c
第二个文件更大,意味着它被加入了其他的信息。用 readelf 命令的 -S 选项(查看节头)查看其调试信息:
root@raspberrypi:/home/pi/arm/episode1# readelf -S compiler_options | grep debug [27] .debug_aranges PROGBITS 00000000 0007f2 000020 00 0 0 1 [28] .debug_info PROGBITS 00000000 000812 000318 00 0 0 1 [29] .debug_abbrev PROGBITS 00000000 000b2a 0000da 00 0 0 1 [30] .debug_line PROGBITS 00000000 000c04 0000de 00 0 0 1 [31] .debug_frame PROGBITS 00000000 000ce4 000030 00 0 0 4 [32] .debug_str PROGBITS 00000000 000d14 000267 01 MS 0 0 1
这些调试信息以 GCC 默认的 DWARF 格式存储。用 objdump 查看:
root@raspberrypi:/home/pi/arm/episode1# objdump --dwarf=info ./compiler_options … Abbrev Number: 14 (DW_TAG_variable) DW_AT_name : (indirect string, offset: 0x8a): password DW_AT_decl_file : 1 DW_AT_decl_line : 4 DW_AT_type : <0x2eb> DW_AT_location : 5 byte block: 3 70 7 2 0 (DW_OP_addr: 20770) Abbrev Number: 16 (DW_TAG_variable) DW_AT_name : (indirect string, offset: 0x215): stdin DW_AT_decl_file : 5 DW_AT_decl_line : 168 DW_AT_type : <0x26b> DW_AT_external : 1 DW_AT_declaration : 1 Abbrev Number: 0
去除符号表和重定位信息
选项为 -s。
root@raspberrypi:/home/pi/arm/episode1# gcc -o compiler_options compiler_options.c root@raspberrypi:/home/pi/arm/episode1# readelf --sym compiler_options Symbol table '.dynsym' contains 8 entries: Num: Value Size Type Bind Vis Ndx Name 0: 00000000 0 NOTYPE LOCAL DEFAULT UND 1: 00000000 0 NOTYPE WEAK DEFAULT UND __gmon_start__ 2: 00000000 0 FUNC GLOBAL DEFAULT UND fgets@GLIBC_2.4 (2) 3: 00000000 0 FUNC GLOBAL DEFAULT UND puts@GLIBC_2.4 (2) 4: 00020788 4 OBJECT GLOBAL DEFAULT 24 stdin@GLIBC_2.4 (2) 5: 00000000 0 FUNC GLOBAL DEFAULT UND strncmp@GLIBC_2.4 (2) 6: 00000000 0 FUNC GLOBAL DEFAULT UND abort@GLIBC_2.4 (2) 7: 00000000 0 FUNC GLOBAL DEFAULT UND __libc_start_main@GLIBC_2.4 (2) Symbol table '.symtab' contains 115 entries: Num: Value Size Type Bind Vis Ndx Name 0: 00000000 0 NOTYPE LOCAL DEFAULT UND 1: 00010134 0 SECTION LOCAL DEFAULT 1 2: 00010150 0 SECTION LOCAL DEFAULT 2 ... 112: 00000000 0 FUNC GLOBAL DEFAULT UND strncmp@@GLIBC_2.4 113: 00000000 0 FUNC GLOBAL DEFAULT UND abort@@GLIBC_2.4 114: 00010318 0 FUNC GLOBAL DEFAULT 11 _init
可以看到 .symtab 有很多本地符号,这些符号运行时并不需要,可以把它们去掉。
root@raspberrypi:/home/pi/arm/episode1# gcc -o compiler_options compiler_options.c -s root@raspberrypi:/home/pi/arm/episode1# readelf --sym compiler_options Symbol table '.dynsym' contains 8 entries: Num: Value Size Type Bind Vis Ndx Name 0: 00000000 0 NOTYPE LOCAL DEFAULT UND 1: 00000000 0 NOTYPE WEAK DEFAULT UND __gmon_start__ 2: 00000000 0 FUNC GLOBAL DEFAULT UND fgets@GLIBC_2.4 (2) 3: 00000000 0 FUNC GLOBAL DEFAULT UND puts@GLIBC_2.4 (2) 4: 00020788 4 OBJECT GLOBAL DEFAULT 24 stdin@GLIBC_2.4 (2) 5: 00000000 0 FUNC GLOBAL DEFAULT UND strncmp@GLIBC_2.4 (2) 6: 00000000 0 FUNC GLOBAL DEFAULT UND abort@GLIBC_2.4 (2) 7: 00000000 0 FUNC GLOBAL DEFAULT UND __libc_start_main@GLIBC_2.4 (2)
用过 -s 选项后,函数名之类的信息已经去掉了,某个逆向小子的生活又艰难了一步。
在之后的第三部分我会介绍其他更复杂的编译选项。
ARM Hello World
我们以两种方式开始这个 hello world 的研究:
- 使用树莓派系统调用
- 使用 libc 函数
使用树莓派的系统调用
.data string: .asciz "Hello World!\n" len = . - string .text .global _start _start: mov r0, #1 @ stdout ldr r1, =string @ string address ldr r2, =len @ string length mov r7, #4 @ write syscall swi 0 @ execute syscall _exit: mov r7, #1 @ exit syscall swi 0 @ execute syscall
汇编并链接此程序:
root@raspberrypi:/home/pi/arm/episode1# as -o rasp_syscall.o rasp_syscall.s root@raspberrypi:/home/pi/arm/episode1# ld -o rasp_syscall rasp_syscall.o
注意:如果用 gcc,
root@raspberrypi:/home/pi/arm/episode1# gcc -o rasp_syscall rasp_syscall.s /tmp/ccChPTEP.o: In function `_start': (.text+0x0): multiple definition of `_start' /usr/lib/gcc/arm-linux-gnueabihf/4.9/../../../arm-linux-gnueabihf/crt1.o:/build/glibc-g3vikB/glibc-2.19/csu/../ports/sysdeps/arm/start.S:79: first defined here /usr/lib/gcc/arm-linux-gnueabihf/4.9/../../../arm-linux-gnueabihf/crt1.o: In function `_start': /build/glibc-g3vikB/glibc-2.19/csu/../ports/sysdeps/arm/start.S:119: undefined reference to `main' collect2: error: ld returned 1 exit status
会得到错误:
undefined reference to `main'
这是因为源程序里没有 main 函数,在另一种实现里我们会看到如何使用 gcc 编译。
执行:
root@raspberrypi:/home/pi/arm/episode1# ./rasp_syscall Hello World!
接下来使用 gdb:
root@raspberrypi:/home/pi/arm/episode1# gdb -q ./rasp_syscall Reading symbols from ./rasp_syscall...(no debugging symbols found)...done. (gdb) info files Symbols from "/home/pi/arm/episode1/rasp_syscall". Local exec file: `/home/pi/arm/episode1/rasp_syscall', file type elf32-littlearm. Entry point: 0x10074 0x00010074 - 0x00010094 is .text 0x00020094 - 0x000200a2 is .data (gdb) b *0x00010074 Breakpoint 1 at 0x10074 (gdb) r Starting program: /home/pi/arm/episode1/rasp_syscall Breakpoint 1, 0x00010074 in _start () (gdb) x/7i $pc => 0x10074 <_start>: mov r0, #1 0x10078 <_start+4>: ldr r1, [pc, #16] ; 0x10090 <_exit+8> 0x1007c <_start+8>: mov r2, #14 0x10080 <_start+12>: mov r7, #4 0x10084 <_start+16>: svc 0x00000000 0x10088 <_exit>: mov r7, #1 0x1008c <_exit+4>: svc 0x00000000
可以看到 .text 段中放着我们的代码。0x10078 处的指令代表将 0x10090 指向的值载入 r1。
(gdb) x/14c *(int*)0x10090 0x20094: 72 'H' 101 'e' 108 'l' 108 'l' 111 'o' 32 ' ' 87 'W' 111 'o' 0x2009c: 114 'r' 108 'l' 100 'd' 33 '!' 10 '\n' 0 '\000'
使用 libc 函数
这次我们会使用 printf 函数,这里我们将程序中的 .global _start 改为 .global main。
.data
string: .asciz "Hello World!\n"
.text
.global main
.func main
main:
stmfd sp!, {lr} @ save lr
ldr r0, =string @ store string address into R0
bl printf @ call printf
ldmfd sp!, {pc} @ restore pc
_exit:
mov lr, pc @ exit编译器需要我们指定 global main, .func main, main: 等符号告诉 libc main 函数在哪。
root@raspberrypi:/home/pi/arm/episode1# as -o libc_functions.o libc_functions.s root@raspberrypi:/home/pi/arm/episode1# ld -o libc_functions libc_functions.o ld: warning: cannot find entry symbol _start; defaulting to 00010074 libc_functions.o: In function `main': (.text+0x8): undefined reference to `printf'
汇编器和链接器只是 GCC 的一小部分,下面我们会用到 GCC 其他的特性来编译。
root@raspberrypi:/home/pi/arm/episode1# gcc -o libc_functions libc_functions.s
root@raspberrypi:/home/pi/arm/episode1# gdb -q ./libc_functions Reading symbols from ./libc_functions...(no debugging symbols found)...done. (gdb) b main Breakpoint 1 at 0x10420 (gdb) r Starting program: /home/pi/arm/episode1/libc_functions Breakpoint 1, 0x00010420 in main () (gdb) info proc mappings process 2023 Mapped address spaces: Start Addr End Addr Size Offset objfile 0x10000 0x11000 0x1000 0x0 /home/pi/arm/episode1/libc_functions 0x20000 0x21000 0x1000 0x0 /home/pi/arm/episode1/libc_functions 0x76e79000 0x76fa4000 0x12b000 0x0 /lib/arm-linux-gnueabihf/libc-2.19.so 0x76fa4000 0x76fb4000 0x10000 0x12b000 /lib/arm-linux-gnueabihf/libc-2.19.so 0x76fb4000 0x76fb6000 0x2000 0x12b000 /lib/arm-linux-gnueabihf/libc-2.19.so 0x76fb6000 0x76fb7000 0x1000 0x12d000 /lib/arm-linux-gnueabihf/libc-2.19.so 0x76fb7000 0x76fba000 0x3000 0x0 0x76fba000 0x76fbf000 0x5000 0x0 /usr/lib/arm-linux-gnueabihf/libarmmem.so 0x76fbf000 0x76fce000 0xf000 0x5000 /usr/lib/arm-linux-gnueabihf/libarmmem.so 0x76fce000 0x76fcf000 0x1000 0x4000 /usr/lib/arm-linux-gnueabihf/libarmmem.so 0x76fcf000 0x76fef000 0x20000 0x0 /lib/arm-linux-gnueabihf/ld-2.19.so 0x76ff1000 0x76ff3000 0x2000 0x0 0x76ff9000 0x76ffb000 0x2000 0x0 0x76ffb000 0x76ffc000 0x1000 0x0 [sigpage] 0x76ffc000 0x76ffd000 0x1000 0x0 [vvar] 0x76ffd000 0x76ffe000 0x1000 0x0 [vdso] 0x76ffe000 0x76fff000 0x1000 0x1f000 /lib/arm-linux-gnueabihf/ld-2.19.so 0x76fff000 0x77000000 0x1000 0x20000 /lib/arm-linux-gnueabihf/ld-2.19.so 0x7efdf000 0x7f000000 0x21000 0x0 [stack] 0xffff0000 0xffff1000 0x1000 0x0 [vectors]
可以看到在进程的地址空间里加载了 libc 共享库(libc-2.19.so)。
(gdb) x/5i $pc
=> 0x10420 <main>: stmfd sp!, {lr}
0x10424 <main+4>: ldr r0, [pc, #8] ; 0x10434 <_exit+4>
0x10428 <main+8>: bl 0x102c8
0x1042c <main+12>: ldmfd sp!, {pc}
0x10430 <_exit>: mov lr, pc0x10428 处调用了 printf 函数,0x10428 是个 PLT 入口,指向 GOT 中 printf 函数在运行时的真实地址。
GCC 编译时,libc 的函数并没有被编译到可执行文件中,而是通过动态链接到 libc 使之可用。用 ldd 命令查看程序引用的动态库。
root@raspberrypi:/home/pi/arm/episode1# ldd libc_functions linux-vdso.so.1 (0x7eeb1000) /usr/lib/arm-linux-gnueabihf/libarmmem.so (0x76fe6000) libc.so.6 => /lib/arm-linux-gnueabihf/libc.so.6 (0x76e9f000) /lib/ld-linux-armhf.so.3 (0x54b6d000)
可用看到 libc 是程序所需要的。多次查看如果 libc 的地址不同,是因为打开了 ASLR。用 IDA 打开:
0x10428 处调用 printf,双击并没有进入 libc。
而是到了 PLT 段,0x102D0 处通过 LDR PC, […] 修改 PC 跳转到了其他地址。
到达 GOT 段,这里存着外部符号的地址。
下面用 gdb 调试,断点下在 0x10428 处。
Breakpoint 2, 0x00010428 in main ()Breakpoint 2, 0x00010428 in main () (gdb) x/i $pc => 0x10428 <main+8>: bl 0x102c8
stepi 继续运行。
走几步到达 ld 库中的 dl_runtime_resolve 函数。
ld 是动态链接器,这里建立起了 libc 的外部引用环境。
更多细节参考 http://eli.thegreenplace.net/2011/11/03/position-independent-code-pic-in-shared-libraries/。
逆向工程介绍
这部分对于要分析的程序我不会提供源码。
逆向算法
第一个例子是输入一个字符串,经过算法处理后会输出另一个字符串,我需要使输出字符串为“Hello”。
strIN -------[algorithm]-------strOUT strOUT = Hello
下面是源码(我只会提供这个例子的):
.data
.balign 4
info: .asciz "Please enter your string: "
format: .asciz "%5s"
.balign 4
strIN: .skip 5
strOUT: .skip 5
val: .byte 0x5
output: .asciz "your input: %s\n"
.text
.global main
.extern printf
.extern scanf
main:
push {ip, lr} @ push return address + dummy register
ldr r0, =info @ print the info
bl printf
ldr r0, =format
ldr r1, =strIN
bl scanf
@ parsing of the message
ldr r5, =strOUT
ldr r1, =strIN
ldrb r2, [r1]
ldrb r3, [r1,#1]
eor r0, r2, r3
str r0, [r5]
ldrb r4, [r1,#2]
eor r0, r4, r3
str r0, [r5,#1]
add r2, #0x5
str r2, [r5,#2]
ldrb r4, [r1,#3]
eor r0, r3, r4
str r0, [r5,#3]
ldrb r2, [r1,#4]
eor r0, r2, r4
str r0, [r5,#4]
@ print of the final string
ldr r0, =strOUT @ print num formatted by output string.
bl printf
pop {ip, pc} @ pop return address into pc编译:
root@raspberrypi:/home/pi/arm/episode1# gcc -o algorithm_reversing algorithm_reversing.s
调试理解算法:
root@raspberrypi:/home/pi/arm/episode1# gdb -q ./algorithm_reversing
Reading symbols from ./algorithm_reversing...(no debugging symbols found)...done.
(gdb) b main
Breakpoint 1 at 0x10450
(gdb) r
Starting program: /home/pi/arm/episode1/algorithm_reversing
Breakpoint 1, 0x00010450 in main ()
(gdb) x/10i $pc
=> 0x10450 <main>: push {r12, lr}
0x10454 <main+4>: ldr r0, [pc, #92] ; 0x104b8 <main+104>
0x10458 <main+8>: bl 0x102ec
0x1045c <main+12>: ldr r0, [pc, #88] ; 0x104bc <main+108>
0x10460 <main+16>: ldr r1, [pc, #88] ; 0x104c0 <main+112>
0x10464 <main+20>: bl 0x10304
0x10468 <main+24>: ldr r5, [pc, #84] ; 0x104c4 <main+116>
0x1046c <main+28>: ldr r1, [pc, #76] ; 0x104c0 <main+112>
0x10470 <main+32>: ldrb r2, [r1]
0x10474 <main+36>: ldrb r3, [r1, #1]0x10454 代表 r0=*(pc+92)。查看 pc+92 的内容:
(gdb) x/x 0x104b8 0x104b8 <main+104>: 0x00020668
是数据段的地址,看一下内容:
(gdb) x/s 0x20668 0x20668: "Please enter your string: "
0x20668 是 printf 函数的参数。
运行到 0x10464,r0 是格式的地址,r1 是输入字符串的地址。
(gdb) i r $r0 $r1 r0 0x20683 132739 r1 0x20688 132744 (gdb) nexti
从源码中可以看到输入字符串的长度为5:
format: .asciz "%5s" strIN: .skip
输入 “ABCDE”:
(gdb) nexti Please enter your string: ABCDE
0x10468 和 0x1046c 处的指令将输出字符串地址赋给 r5,输入字符串地址赋给 r1。运行至 0x10470:
(gdb) x/18i $pc
=> 0x10470 <main+32>: ldrb r2, [r1]
0x10474 <main+36>: ldrb r3, [r1, #1]
0x10478 <main+40>: eor r0, r2, r3
0x1047c <main+44>: str r0, [r5]
0x10480 <main+48>: ldrb r4, [r1, #2]
0x10484 <main+52>: eor r0, r4, r3
0x10488 <main+56>: str r0, [r5, #1]
0x1048c <main+60>: add r2, r2, #5
0x10490 <main+64>: str r2, [r5, #2]
0x10494 <main+68>: ldrb r4, [r1, #3]
0x10498 <main+72>: eor r0, r3, r4
0x1049c <main+76>: str r0, [r5, #3]
0x104a0 <main+80>: ldrb r2, [r1, #4]
0x104a4 <main+84>: eor r0, r2, r4
0x104a8 <main+88>: str r0, [r5, #4]
0x104ac <main+92>: ldr r0, [pc, #16] ; 0x104c4 <main+116>
0x104b0 <main+96>: bl 0x102ec
0x104b4 <main+100>: pop {r12, pc}注释如下:
0x10470 <main+32>: ldrb r2, [r1] ; r2 <- *r1 0x10474 <main+36>: ldrb r3, [r1, #1] ; r3 <-*(r1+1) 0x10478 <main+40>: eor r0, r2, r3 ; r0=r2 xor r3 0x1047c <main+44>: str r0, [r5] ; r0 -> *r5
运行到 0x10480 处查看 r0, r2, r3 的值:
(gdb) i r $r0 $r2 $r3 r0 0x3 3 r2 0x41 65 r3 0x42 66
即 *r5 = r2 xor r3。
可以用伪代码表示:byte1strOut = byte1strInput xor byte2strInput。 比如我们想要生成“Hello”,需要使 r0 为 0x48(H)。
接着看 0x10480,
(gdb) x/8i $pc => 0x10480 <main+48>: ldrb r4, [r1, #2] 0x10484 <main+52>: eor r0, r4, r3 0x10488 <main+56>: str r0, [r5, #1] 0x1048c <main+60>: add r2, r2, #5 0x10490 <main+64>: str r2, [r5, #2] 0x10494 <main+68>: ldrb r4, [r1, #3] 0x10498 <main+72>: eor r0, r3, r4 0x1049c <main+76>: str r0, [r5, #3]
注意看注释:
0x10480 <main+48>: ldrb r4, [r1, #2] ; r4 <- *(r1+2) 0x10484 <main+52>: eor r0, r4, r3 ; r0=r4 xor r3 0x10488 <main+56>: str r0, [r5, #1] ; r0 -> *(r5+1)
执行到 0x1048c,看一下 r0、r3、r4 的值:
(gdb) i r $r0 $r3 $r4 r0 0x1 1 r3 0x42 66 r4 0x43 67
即 *(r5+1) = r4 xor r3。伪代码表示:byte2strOut = byte2strInput xor byte3strInput。
0x1048c <main+60>: add r2, r2, #5 0x10490 <main+64>: str r2, [r5, #2]
意味着 *(r5+2) = r2 + 0x5。伪代码表示:byte3outStr = byte1strInput + 0x5。
第 4 个字节:
0x10494 <main+68>: ldrb r4, [r1, #3] 0x10498 <main+72>: eor r0, r3, r4 0x1049c <main+76>: str r0, [r5, #3]
就是 *(r5+3) = r3 xor r4。伪代码:byte4strOut = byte2strInput xor byte4strInput。
第 5 个字节:
0x104a0 <main+80>: ldrb r2, [r1, #4] 0x104a4 <main+84>: eor r0, r2, r4 0x104a8 <main+88>: str r0, [r5, #4]
就是 *(r5+4) = r4 xor r2。伪代码:byte5strOut = byte4strInput xor byte5strInput。
整个算法合在一起:
byte1strOut = byte1strInput xor byte2strInput byte2strOut = byte2strInput xor byte3strInput byte3strOut = byte2strInput + 0x5 byte4strOut = byte2strInput xor byte4strInput byte5strOut = byte4strInput xor byte5strInput
将输出字符替换:
‘H’ = 0x48 = byte1strInput xor byte2strInput ‘e’ = 0x65 = byte2strInput xor byte3strInput ‘l’ = 0x6c = byte1strInput + 0x5 ‘l’ = 0x6c = byte2strInput xor byte4strInput ‘o’ = 0x6f = byte4strInput xor byte5strInput
推出应输入字符:
byte1strInput = 0x6c – 0x5 = 0x67 (g) byte2strInput = 0x48 xor 0x67 = 0x2f (/) byte3strInput = 0x2f xor 0x65 = 0x4a (J) byte4strInput = 0x2f xor 0x6c = 0x43 (C) byte5strInput = 0x43 xor 0x6f = 0x2c (,)
输入试试:
root@raspberrypi:/home/pi/arm/episode1# ./algorithm_reversing Please enter your string: g/JC, Hello
逆向一个简单的加载器
这个加载器的作用是把指令加载到内存里,当你打印消息时执行。我们这次要打印“WIN”。程序在这里。
root@raspberrypi:/home/pi/arm/episode1# file loader_reversing loader_reversing: ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), statically linked, not stripped root@raspberrypi:/home/pi/arm/episode1# strings loader_reversing Andrea Sindoni @invictus1306 aeabi .symtab .strtab .shstrtab .text .data .ARM.attributes loader_reversing.o mystr code _loop _exit _bss_end__ __bss_start__ __bss_end__ _start __bss_start __end__ _edata _end
用 IDA 打开:
在 _start 这儿可以看到 0x10090 处有系统调用,调用号是 0xc0(mmap)。
看下面我的注释分析:
mov r4, #0xffffffff @file descriptor ldr r0, =0x00030000 @address ldr r1, =0x1000 @size of the mapping table mov r2, #7 @prot mov r3, #0x32 @flags mov r5, #0 @offset mov r7, #192 @syscall number swi #0 @ mmap2(NULL, 0x1000, PROT_READ|PROT_WRITE, MAP_SHARED, -1, 0)
mmap 后有一块新内存(0x30000)。
(gdb) info proc mappings process 2405 Mapped address spaces: Start Addr End Addr Size Offset objfile 0x10000 0x11000 0x1000 0x0 /home/pi/arm/episode1/loader_reversing 0x20000 0x21000 0x1000 0x0 /home/pi/arm/episode1/loader_reversing 0x30000 0x31000 0x1000 0x0 0x76ffd000 0x76ffe000 0x1000 0x0 [sigpage] 0x76ffe000 0x76fff000 0x1000 0x0 [vvar] 0x76fff000 0x77000000 0x1000 0x0 [vdso] 0x7efdf000 0x7f000000 0x21000 0x0 [stack] 0xffff0000 0xffff1000 0x1000 0x0 [vectors]
0x10098 处的指令 .text:00010098 LDR R1, =code 把某个变量的地址存入 r1,看一下:
(gdb) i r $r1 r1 0x200f1 131313 (gdb) x/10x 0x200f1 0x200f1: 0xe93f7c56 0xe25fe45e 0xe1b2745b 0xe3b21468 0x20101: 0xe3b20454 0xe3b264c0 0xe0302453 0xe49f2457 0x20111: 0xe2501448 0xe0302453
这些看起来不像 arm 代码,接着看 0x100A4:
.text:000100A4 LDR R2, [R1,R4] 把 r1+r4 地址额值存入 r2,r1 是 code 变量,r4 表示索引,第一次值为 0。.text:000100A8 EOR R2, R2, R6 r2 与 r6 异或,r6 的值是 0x123456,第一次 r2 的值是 0x56。异或的值存在 r2,在下条指令 .text:000100AC STR R2, [R0,R4] 中被写入 mmap 分配的地址 0x30000 处,注意 r0 是 mmap 的返回值。
循环的作用是解密 code 的所有字节,在 0x100BC 处下断点查看 0x30000 的值。
(gdb) b *0x100bc
Breakpoint 3 at 0x100bc
(gdb) c
Continuing.
Breakpoint 3, 0x000100bc in _loop ()
(gdb) x/24i 0x30000
0x30000: push {r11, lr}
0x30004: sub sp, sp, #8
0x30008: mov r4, sp
0x3000c: mov r2, #62 ; 0x3e
0x30010: mov r3, #2
0x30014: mov r5, #150 ; 0x96
0x30018: eor r1, r2, r5
0x3001c: str r1, [sp], #1
0x30020: sub r2, r2, #30
0x30024: eor r1, r2, r5
0x30028: str r1, [sp], #1
0x3002c: add r2, r2, #7
0x30030: subs r3, r3, #1
0x30034: bne 0x30024
0x30038: mov r0, #1
0x3003c: mov r3, #10
0x30040: str r3, [sp], #1
0x30044: mov r1, r4
0x30048: mov r2, #4
0x3004c: mov r7, #4
0x30050: svc 0x00000000
0x30054: add sp, sp, #4
0x30058: pop {r11, pc}
0x3005c: andeq r0, r0, r0这些就是 ARM 指令了,也可以用 idc 脚本解密:
auto i, t;
auto start=0x200f1;
for (i=0;i<=0x5C;i=i+4)
{
t = Dword(start)^0x123456;
PatchDword(start,t);
start=start+4;
}现在来分析解密的指令:
=> 0x30004: sub sp, sp, #8
0x30008: mov r4, sp
0x3000c: mov r2, #62 ; 0x3e
0x30010: mov r3, #2
0x30014: mov r5, #150 ; 0x96
0x30018: eor r1, r2, r5
0x3001c: str r1, [sp], #1
0x30020: sub r2, r2, #30
0x30024: eor r1, r2, r5
0x30028: str r1, [sp], #1
0x3002c: add r2, r2, #7
0x30030: subs r3, r3, #1
0x30034: bne 0x30024
0x30038: mov r0, #1
0x3003c: mov r3, #10
0x30040: str r3, [sp], #1
0x30044: mov r1, r4
0x30048: mov r2, #4
0x3004c: mov r7, #4
0x30050: svc 0x00000000
0x30054: add sp, sp, #4
0x30058: pop {r11, pc}执行过 0x30004 到 0x30014 的 5 条指令后,栈指针向低地址处移动了 8 ,r4 是栈指针,r2 的值是 0x3e,r3 的值是 0x2,r5 的值是 0x96。
(gdb) i r $r2 $r3 $r4 $r5 $sp r2 0x3e 62 r3 0x2 2 r4 0x7efff7b0 2130704304 r5 0x96 150 sp 0x7efff7b0 0x7efff7b0
接下来两条指令(0x30018 和 0x3001c)r2 与 r5 异或的结果 0xa8 存入 r1,这个值写入了栈顶,栈指针向高地址移动了 1 。此时:
(gdb) x/x 0x7efff7b0 0x7efff7b0: 0x000000a8 (gdb) i r $sp sp 0x7efff7b1 0x7efff7b1
0x30020 处 r2 自减 0x1e,得到:
(gdb) i r $r2 r2 0x20 32
0x30024 处是一个循环:
=> 0x30024: eor r1, r2, r5 0x30028: str r1, [sp], #1 0x3002c: add r2, r2, #7 0x30030: subs r3, r3, #1 0x30034: bne 0x30024
每次循环都将 r2 和 r5 异或,结果存入栈顶,sp + 1。0x30030 处可以看到 r3 是循环索引,每次减1,初始值为 2,所以共循环两次。
循环结束时运行到 0x30038时, 0x7efff7b0 值为:
(gdb) x/4bx 0x7efff7b0 0x7efff7b0: 0xa8 0xb6 0xb1 0x00
还有两个字节在栈顶存着,此时栈指针为:
(gdb) i r $sp sp 0x7efff7b3 0x7efff7b3
0x3003c 处的两条指令将剩下的两个字节存入栈顶:
0x3003c: mov r3, #10 0x30040: str r3, [sp], #1
执行完 0x30040 后0x7efff7b0 值为:
(gdb) x/4bx 0x7efff7b0 0x7efff7b0: 0xa8 0xb6 0xb1 0x0a
往下看就是 write 的系统调用了:
0x30038: mov r0, #1 @ fd: stdout ... 0x30044: mov r1, r4 @ buf: r4 (the buffer stored at 0xbefff7e0;) 0x30048: mov r2, #4 @ count: len of the buffer 0x3004c: mov r7, #4 @ write syscall number 0x30050: svc 0x00000000
write 过后:
(gdb) nexti ���
我们想要的是“WIN”,这时候就要修改 xor 的 key,这样存入栈顶的才会是正确的 0x57 0x49 0x4e。
来看 0x30018 处的异或操作 0x30018: eor r1, r2, r5,r2 每次都变,所以 r5 是异或的 key,我们需要修改 r5 使得 r1 = r2 xor r5 = 0x57。
r2 的值是 0x3e,则 r5 应该是 0x69。
(gdb) set $r5=0x69 (gdb) i r $r5 r5 0x69 105
异或的 key 没有变过,这就直接继续执行就可以了。
(gdb) c Continuing. WIN
基本的反调试技术
这是本章最后一个程序了,这次需要理解算法并绕过一些基本的反调试,使程序输出“Good”。在这里下载。
anti_dbg: ELF 32-bit LSB executable, ARM, EABI5 version 1 (SYSV), dynamically linked, interpreter /lib/ld-linux-armhf.so.3, for GNU/Linux 2.6.32, BuildID[sha1]=7028a279e2161c298caeb4db163a96ee2b2c49f3, not stripped
试着用调试器运行:
root@raspberrypi:/home/pi/arm/episode1# gdb -q ./anti_dbg Reading symbols from ./anti_dbg...(no debugging symbols found)...done (gdb) r Starting program: /home/pi/arm/episode1/anti_dbg You want debug me? [Inferior 1 (process 2497) exited normally]
即使再用 strace/ltrace 命令也是同样的输出。
IDA 打开:
我们从 ldr r2, =aAd 开始分析。
aAd 是个变量:
把 Array 转为 data 更好理解:
0x10988 处的数组用 var_c 表示,还有另一个变量 var_10,aAd + 4 的值如下:
即 var_10 变量存着 0x1098C 处的数组。
看接下来的指令做了什么:
LDRH R1, [R2] @ load an halfword (2 byte) into R1 LDRB R2, [R2,#(unk_109CE – 0x109CC)] @ load the next byte(0x44) into r2 STRH R1, [R3] @ store into *R3 the first two bytes (0x22, 0x41) STRB R2, [R3,#2] @ store the last byte 0x44 into *(R3+2)
总结来说就是有两个数组:
4个元素的 var_c: 0x7, 0x2f, 0x2f, 0x24; 3个元素的 var_10:0x22, 0x41, 0x44。
下面有个 flag 变量,我们来看 main 函数中关于它的流程图:
flag为1,红色执行,不为1绿色执行。
flag为1,r3 为 0 随后与 3 比较。
flag不为1,r3 为 0 随后 与 2 比较。
flag 为 1,我们来到 loc_107F8,最关键的是这句 ADD R3, R3, #0x40,r3 的值是 r3 = *(var_C+var_8),var_C 和 var_8 分别是:
var_C = 4个元素的数组
var_8 = 0 (索引,第一次的值)
相加之后 r3 的值为 r3 = 0x7 + 0x40 = 0x47。
可以用个简单的 idc 脚本计算:
结果是 Good:
再来看flag不为1时的 loc_10864,这里的循环计算的是3个元素的数组,关键的是 ADD R3, R3, #0x20。
像之前一样,idc 脚本
结果是 Bad:
为了使程序输出“Good”,需要找到 flag 赋值的地方,而且刚刚并没有发现检测调试器的地方, “You want debug me?” 也没有出现过。
查看 flag 的交叉引用:
发现有个 ptrace_capt 的函数,在 main 函数前执行。可以在 .ctors (或者 .init_array) 段中发现其提供了一些列函数用来在程序开始/结束前执行。
来看 ptrace_capt 函数:
这里有个检查:
if(ptrace(PTRACE_TRACEME, 0, 0, 0) < 0)
{
printf("You want debug me?\n");
exit(0);
}用调试器可以轻易绕过,先来看 loc_10690:
大致如下:
- 只读模式打开 password.raw;
fopen("password.raw", "r") - 计算大小
.text:000106B4 LDR R0, [R11,#var_10] ; load the file descriptor into r0 .text:000106B8 MOV R1, #0 ; offset .text:000106BC MOV R2, #2 ; SEEK_END .text:000106C0 BL fseek ; seek to end of file .text:000106C4 LDR R0, [R11,#var_10] ; load the file descriptor into r0 .text:000106C8 BL ftell ; size
- 验证大小是否小于 6
.text:000106E4 LDR R3, [R11,#var_14] .text:000106E8 CMP R3, #6 .text:000106EC BLS loc_106F .text:000106F0 MOV R0, #0 .text:000106F4 BL exit
如果小于等于6,来到 loc_10700:
往下看发现这是个循环:
调用 fgetc 函数:
.text:00010700 LDR R0, [R11,#var_10] ; load into r0 the file descriptor .text:00010704 BL fgetc .text:00010708 STR R0, [R11,#var_18 ; save r0 into the local variable var_18 after we have the function feof .text:0001070C LDR R0, [R11,#var_10] ; load into r0 the file descriptor .text:00010710 BL feof .text:00010714 MOV R3, R0 ; mov the reterun value into r3 .text:00010718 CMP R3, #0 ; compare r3 with 0 .text:0001071C BEQ loc_10750 ; associated with the stream is not set (r3=0) branch to loc_10750
如果 r3 等于 0,则来到 loc_10750:
.text:00010750 loc_10750 ; CODE XREF: ptrace_capt+D0#j .text:00010750 SUB R3, R11, #-var_1C ; r3 = address of var_1C .text:00010754 LDR R0, [R11,#var_18] ; r0 ← *(r11+var_18) .text:00010758 LDR R1, [R11,#var_8] ; r1 ← *(r11+var_8) .text:0001075C MOV R2, R3 ; r2 = r3 .text:00010760 BL sub0
var_18 是读取的字符,var_8 是循环索引,sub0 的调用则为 sub0(var_18, var_8, &var_1C);。
看 sub0 函数:
C 代码:
if(var_C==0 || var_C==2)
{
//loc_1060C
*var_10=var_8|0x55;
}
else
{
//loc_10620
*var_10=var_8^0x69 | var_8<<3;
}sub0 返回时继续执行,var_1C 保存返回值:
.text:00010764 LDR R3, [R11,#var_1C] .text:00010768 LDR R2, [R11,#var_C] .text:0001076C ADD R3, R2, R3 .text:00010770 STR R3, [R11,#var_C] .text:00010774 LDR R3, [R11,#var_8] .text:00010778 ADD R3, R3, #1 .text:0001077C STR R3, [R11,#var_8] .text:00010780 B loc_10700
这段用伪码表示即:
var_C = var_1C + var_C; var_8++; //increment the index
如果 r3 不等于 0,则来到:
.text:00010720 LDR R3, [R11,#var_C] .text:00010724 LDR R2, =0x997 .text:00010728 CMP R3, R2 .text:0001072C BNE loc_10740 .text:00010730 LDR R3, =flag .text:00010734 MOV R2, #1 .text:00010738 STR R2, [R3] .text:0001073C B loc_10784 .text:00010740 loc_10740 ; CODE XREF: ptrace_capt+E0#j .text:00010740 LDR R3, =flag .text:00010744 MOV R2, #2 .text:00010748 STR R2, [R3] .text:0001074C B loc_10784
C 代码表示:
if (var_C==0x997)
{
flag=1;
}
else
{
//loc_10740
flag=2;
}终于找到了 flag 赋值的地方,而我们需要其值为 1。
新建 password.raw 文件,写入:
# vim password.raw bbbbb
我用 vim 的设置删掉了换行:
:set noendofline binary
运行:
现在用 gdb 运行去掉反调试:# gdb ./3b
在 0x10678 处下断,修改 r3 的值:
继续往下分析,我现在要使 var_C=0x997,flag 才能赋值为 1。现在文件里的内容是:
要修改第五个字节使得 var_C=0x997,就要知道第4次循环时 var_C 的值。
在 0x10774 下断点,
此时循环索引为 3(第4次),var_C 的值为 0x724,现在要改掉第 5 个字节的值,我用了 Python 来计算:
num = 0x997-0x724 for c in range (0x20,0x7f): ref = c^0x69 | (c<<3) if (ref==num): print "The number is " + hex(c) print "End!"
运行:
# python antDgbAlgho.py The number is 0x4a End!
得到了第五个字节的值,修改它:
# vim password.raw bbbbJ
记得删掉换行 :set noendofline binary。
运行:
“Good” 就被打印了。
原文链接:https://quequero.org/2017/07/arm-exploitation-iot-episode-1/
本文由 看雪翻译小组 kiyaa 编译
[培训]《安卓高级研修班(网课)》月薪三万计划,掌握调试、分析还原ollvm、vmp的方法,定制art虚拟机自动化脱壳的方法
