[原创]【从0到1】-某系统漏洞挖掘之固件分析-智能设备-看雪-安全社区|安全招聘|kanxue.com

[原创]【从0到1】-某系统漏洞挖掘之固件分析

发表于: 2021-12-9 17:32 30369

[原创]【从0到1】-某系统漏洞挖掘之固件分析

零加一

2021-12-9 17:32

30369

本篇章已提取加密的固件的文件系统为目标，从系统的启动到内核解密到文件系统解密的加载做一个调试。
并对系统内核以及文件系统进行提取，为后面漏洞挖掘做铺垫。
以及提升自身对linux系统逆向知识面。

在官网可以看到有两个版本可供下载。一个是gho一个是img，这里两个都下载了。

从提供的下载包可以看出这是软路由的系统，没有硬件限制，所以下面用vmware进行了安装。

配置好后，进入后台管理界面如下

初始环境安装完后，发现系统并没有提供输入。所以需要上qemu进行调试将文件系统提取出来。

使用qemu运行该系统

对img进行进行提取，在grub中的menu.list可以看出initrd对应的是root.gz。

可以看到root.gz是属于加密的。

linux大概的启动过程：
注:具体细节请参考GRUB源码。
00.BIOS：

01.MRB：

02.Stage1.5：

03.Stage2：

================================================================================================
使用qemu+ida进行启动调试

使用IDA附加，并在0x7c00处下断后断下，可以看到是磁盘的第0个扇区的数据。
MBR入口
随后将第1个扇区载入到0x70000处

将第0x70000的数据复制到0x2000即Stage1.5然后跳转到0x2000处继续执行。

循环从第2个扇区开始载入到0x70000

接着将数据复制到0x2200+index处

数据载入完后跳转到0x2200处继续执行

在经过一系列的初始化后，便开始将Stage2载入到0x8000，大小是0x400

剩余的Stage2数据载入到0x8400,并跳转到0x8200处执行

在asm.S:_start结尾调用了init_bios_info

init_bios_info最后跳转到了00027E9C(/stage2/stage2.c:cmain)处继续执行

最后开始解析配置文件寻找对应的处理函数进行调用，如下是kernel命令对应的。

/stage2/builtins.c中对应的kernel_func函数，最终调用load_image

load_image中在将bzImage的前0x2000大小的数据读取到0x66000处后，再从0x66000处复制到linux_data_tmp_addr(0x5CFD30)中

继续读取之后的0x1800字节，保存到linux_data_tmp_addr+0x2000处

接着将0x3800之后的所有数据读取到LINUX_BZIMAGE_ADDR(0x100000)

...
当到了boot命令后，便进入boot_func函数

kernel_type是3，最终调用big_linux_boot函数

在/stage2/asm.S:big_linux_boot中可以清晰的看到
从linux_data_tmp_addr将0x9400大小的数据复制到(linux_data_real_addr)0x90000

切换到实模式后，通过jmp far跳转到90200处执行，改变了cs=9020 ip=0

那么真实的ip=cs*16+ip=90200，显然16位的寄存器存不下该值，所以通过来段寄存器的方式去执行。
且ida并不能去识别这样的进程环境，导致出现了反汇编的窗口指向了错误的页面但能F7 F8。

解决这样情况的办法就是将cs清零，将ip修改成正确的地址即可，但是遇到ip被改变的需要修改回原来的样子再执行。所以等一手正版人员给ida提一个issues，非常感谢！！！！！

经过一顿反复的下断调试，虽然其中对应的是linux源码中的/boot/main.c，但因为ida的问题还是很难调试，最后切换到保护模式跳转进入LINUX_BZIMAGE_ADDR(0x100000)

至此，就进入了内核，GRUB的过程结束。

从LINUX_BZIMAGE_ADDR处往后执行，会将加密的内核数据从LINUX_BZIMAGE_ADD复制到0x17bb000,接着并跳转到0x17bb000+0x4C7EDC执行

随后将内核解密,并将该快内存dump

使用vmlinux-to-elf将内核程序提取出来

等待将内核解压后开始调用parse_elf函数

完成后会将内核程序的+0x1000处填充到0x1000000，并跳转到该处执行。

在0x1000000往下执行，重新将内核复制到0x81000000处，并跳转到0x818B6CEB

.....
经过了漫长的调试，配合linux源码看，最终定位到了0x81BDC9CE处，调用的函数具体是干嘛的我也不知道，只知道eax是指向root.gz解密后的数据，edx为长度

最后写脚本将所有数据进行dump

成功dump出文件系统

1.ida对此类的调试环境，反汇编支持并不友好。望一个好心人提一个issues！！！
2.在保护模式和实模式的切换间16位和32位的调试，对系统底层有了一个模糊的了解。
3.心一定要稳，不要浮躁，F8一定不能快！！！

第一次调试这方面的东西，知识面不是很足，导致分析起来很累。
如有错请各位在评论区指正，谢谢各位~

寻找启动设备并将设备的第0个扇区载入到0x7c00处，即载入MBR

从0x7c00处开始执行，并将第1个扇区载入到0x2000，并跳转到0x2000处继续执行,这里为加载Stage1.5。

将第1个扇区之后的几个扇区装载到0x2200,并跳转到0x2200处继续执行，并加载Stage2加载到0x8000处后跳转到0x8200处开始执行。

读取配置文件，根据配置文件进行执行操作，其中包括了内核镜像(这里是bzImage)的加载，当内核镜像加载完毕后会有3个地址需要关注。

    1.linux_data_tmp_addr指向bzImage数据。

    2.LINUX_BZIMAGE_ADDR指向压缩后的kernel数据。

    3.linux_data_real_addr指向部分bzImage数据

从linux_data_tmp_addr开始将部分数据拷贝到linux_data_real_addr并切换到实模式跳转到linux_data_real_addr+200处执行。

读取配置文件，根据配置文件进行执行操作，其中包括了内核镜像(这里是bzImage)的加载，当内核镜像加载完毕后会有

3个地址需要关注。

登录后可查看完整内容

[注意]传递专业知识、拓宽行业人脉——看雪讲师团队等你加入！

#固件分析 #家用设备 #工控设备

收藏・28

免费・19

支持

打赏 + 5.00雪花

L0x1c

打赏次数 1

雪花 + 5.00

L0x1c

+5.00

2021/12/09

最新回复 (12)
L0x1c 雪币： 1015 活跃值： (5232) 能力值： ( LV12，RANK：312 ) 在线值：发帖 15 回帖 48 粉丝 118 关注私信	L0x1c 3 2 楼醒哥，YYDS！！！！！！！ 2021-12-9 17:36 0
Dyingchen 雪币： 3145 活跃值： (5121) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 25 关注私信	Dyingchen 3 楼 ddddhm 2021-12-9 17:48 0
梦游枪手雪币： 2155 活跃值： (2587) 能力值： ( LV12，RANK：667 ) 在线值：发帖 30 回帖 53 粉丝 15 关注私信	梦游枪手 4 楼醒哥，YYDS！！！！！！！ 2021-12-9 18:17 0
wmsuper 雪币： 10845 活跃值： (14634) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 5 楼太强了 2021-12-9 20:14 1
zuoshang 雪币： 1858 活跃值： (2196) 能力值： ( LV6，RANK：80 ) 在线值：发帖 6 回帖 35 粉丝 54 关注私信	zuoshang 1 6 楼学习学习 2021-12-9 22:24 0
舒默哦雪币： 2973 活跃值： (4881) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 7 楼 wmsuper 太强了晴天师傅最后于 2021-12-9 23:13 被舒默哦编辑，原因： 2021-12-9 23:13 0
舒默哦雪币： 2973 活跃值： (4881) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 8 楼学习了，感谢 2021-12-9 23:14 0
笑容雪币： 269 活跃值： (450) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	笑容 9 楼强大，学习了 2021-12-10 10:47 0
Max_hhg 雪币： 4437 活跃值： (6223) 能力值： ( LV6，RANK：90 ) 在线值：发帖 26 回帖 62 粉丝 74 关注私信	Max_hhg 10 楼大佬太强了 2021-12-10 17:40 0
hoopyoung 雪币： 2 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hoopyoung 11 楼感谢分享，看到这个我也动手去调试了下，大佬没有补充后面的细节。我来简单补以下: 2022-1-3 12:13 0
hoopyoung 雪币： 2 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hoopyoung 12 楼 initrd加载的大致流程（linux-kernel 2.6.39） int/main.c Start_kernel() rest_init() kernel_init() do_basic_setup() (1 见说明1) prepare_namespace() (2 见说明2) // prepare_namespace最后会执行mount_root,即initrd.image 解压后mount /dev/ram0 //说明1 do_basic_setup() do_initcalls() rootfs_initcall(populate_rootfs) // 源码 init/initramfs.c 在popuate_rootfs执行时，因为该固件的内核编译时设置了CONFIG_BLK_DEV_RAM，没有使用initramfs，使用initramdisk, 最后写文件initrd.image到内存中。 //说明2 prepare_namespace() //源码init/do_mounts.c initrd_load() // 源码init/do_mounts_initrd.c rd_load_image() // 源码init/do_mounts_rd.c identify_ramdisk_image() decompress_method() gunzip () // 源码lib/decompress_inflate.c 楼主的dump点就在最后的gunzip中，是gz解压缩调了flush()输出initrd，ext2格式的，也就是initramdisk。最后于 2022-1-3 12:20 被hoopyoung编辑，原因： 2022-1-3 12:16 1
零加一雪币： 2040 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 150 关注私信	零加一 3 13 楼 hoopyoung initrd加载的大致流程（linux-kernel 2.6.39） int/main.c Start_kernel()   & ... 知识点+1，感谢补充 2022-1-4 09:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复

零加一

发帖

回帖

278

RANK

关注

私信

他的文章

关于我们

联系我们

企业服务

看雪公众号

最新回复 (12)
L0x1c 雪币： 1015 活跃值： (5232) 能力值： ( LV12，RANK：312 ) 在线值：发帖 15 回帖 48 粉丝 118 关注私信	L0x1c 3 2 楼醒哥，YYDS！！！！！！！ 2021-12-9 17:36 0
Dyingchen 雪币： 3145 活跃值： (5121) 能力值： ( LV3，RANK：25 ) 在线值：发帖 4 回帖 61 粉丝 25 关注私信	Dyingchen 3 楼 ddddhm 2021-12-9 17:48 0
梦游枪手雪币： 2155 活跃值： (2587) 能力值： ( LV12，RANK：667 ) 在线值：发帖 30 回帖 53 粉丝 15 关注私信	梦游枪手 4 楼醒哥，YYDS！！！！！！！ 2021-12-9 18:17 0
wmsuper 雪币： 10845 活跃值： (14634) 能力值： ( LV13，RANK：400 ) 在线值：发帖 36 回帖 136 粉丝 327 关注私信	wmsuper 7 5 楼太强了 2021-12-9 20:14 1
zuoshang 雪币： 1858 活跃值： (2196) 能力值： ( LV6，RANK：80 ) 在线值：发帖 6 回帖 35 粉丝 54 关注私信	zuoshang 1 6 楼学习学习 2021-12-9 22:24 0
舒默哦雪币： 2973 活跃值： (4881) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 7 楼 wmsuper 太强了晴天师傅最后于 2021-12-9 23:13 被舒默哦编辑，原因： 2021-12-9 23:13 0
舒默哦雪币： 2973 活跃值： (4881) 能力值： ( LV5，RANK：60 ) 在线值：发帖 5 回帖 148 粉丝 59 关注私信	舒默哦 1 8 楼学习了，感谢 2021-12-9 23:14 0
笑容雪币： 269 活跃值： (450) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 6 粉丝 1 关注私信	笑容 9 楼强大，学习了 2021-12-10 10:47 0
Max_hhg 雪币： 4437 活跃值： (6223) 能力值： ( LV6，RANK：90 ) 在线值：发帖 26 回帖 62 粉丝 74 关注私信	Max_hhg 10 楼大佬太强了 2021-12-10 17:40 0
hoopyoung 雪币： 2 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hoopyoung 11 楼感谢分享，看到这个我也动手去调试了下，大佬没有补充后面的细节。我来简单补以下: 2022-1-3 12:13 0
hoopyoung 雪币： 2 活跃值： (42) 能力值： ( LV2，RANK：10 ) 在线值：发帖 0 回帖 3 粉丝 0 关注私信	hoopyoung 12 楼 initrd加载的大致流程（linux-kernel 2.6.39） int/main.c Start_kernel() rest_init() kernel_init() do_basic_setup() (1 见说明1) prepare_namespace() (2 见说明2) // prepare_namespace最后会执行mount_root,即initrd.image 解压后mount /dev/ram0 //说明1 do_basic_setup() do_initcalls() rootfs_initcall(populate_rootfs) // 源码 init/initramfs.c 在popuate_rootfs执行时，因为该固件的内核编译时设置了CONFIG_BLK_DEV_RAM，没有使用initramfs，使用initramdisk, 最后写文件initrd.image到内存中。 //说明2 prepare_namespace() //源码init/do_mounts.c initrd_load() // 源码init/do_mounts_initrd.c rd_load_image() // 源码init/do_mounts_rd.c identify_ramdisk_image() decompress_method() gunzip () // 源码lib/decompress_inflate.c 楼主的dump点就在最后的gunzip中，是gz解压缩调了flush()输出initrd，ext2格式的，也就是initramdisk。最后于 2022-1-3 12:20 被hoopyoung编辑，原因： 2022-1-3 12:16 1
零加一雪币： 2040 活跃值： (4950) 能力值： ( LV13，RANK：278 ) 在线值：发帖 12 回帖 41 粉丝 150 关注私信	零加一 3 13 楼 hoopyoung initrd加载的大致流程（linux-kernel 2.6.39） int/main.c Start_kernel()   & ... 知识点+1，感谢补充 2022-1-4 09:12 0
	游客登录 \| 注册方可回帖回帖表情雪币赚取及消费高级回复