bakabtw/Cool-Y.github.io
1
0
Fork 0
Code Issues Pull Requests Actions Packages Projects Releases Wiki Activity

debug router

Browse Source
This commit is contained in:
Cool-Y 2019-07-25 22:22:26 +08:00
parent 640d4e150f
commit 2f7cabcd43
2 changed files with 323 additions and 2 deletions
Show Stats Download Patch File Download Diff File Expand all files Collapse all files

315
source/_posts/Debug-a-router-firmware.md Normal file
View File

@ -0,0 +1,315 @@
---
title: 远程调试小米路由器固件
date: 2019-07-25 22:17:08
tags:
- 路由器
- 小米
- 调试
categories:
- IOT
---
# 0x00 背景与简介
在分析嵌入式设备的固件时只采用静态分析方式通常是不够的你需要实际执行你的分析目标来观察它的行为。在嵌入式Linux设备的世界里很容易把一个调试器放在目标硬件上进行调试。如果你能在自己的系统上运行二进制文件而不是拖着硬件做分析, 将会方便很多这就需要用QEMU进行仿真。
虽然QEMU在模拟核心芯片组包括CPU上都做的很不错但是QEMU往往不能提供你想运行的二进制程序需要的硬件。最常见问题是在运行系统服务如Web服务器或UPnP守护进程时缺乏NVRAM。解决方法是使用nvram-faker库拦截由libnvram.so提供的nvram_get()调用。即使解决了NVRAM问题该程序还可能会假设某些硬件是存在的如果硬件不存在该程序可能无法运行或者即便它运行了行为可能也与在其目标硬件上运行时有所不同。针对这种情况下我认为有三种解决方法
1. 修补二进制文件。这取决于期望什么硬件,以及它不存在时的行为是什么。
2. 把复杂的依赖于硬件的系统服务拆分成小的二级制文件。如跳过运行Web服务器仅仅从shell脚本运行cgi二进制文件。因为大多数cgi二进制文件将来自Web服务器的输入作为标准输入和环境变量的组合并通过标准输出将响应发送到Web服务器。
3. 拿到设备的shell直接在真机上进行调试这是最接近真实状况的方法。
--------------
# REF
**综合:**
[国外大神的博客](https://shadow-file.blogspot.com/2015/01/dynamically-analyzing-wifi-routers-upnp.html)
[通过QEMU和IDAPro远程调试设备固件](https://wooyun.js.org/drops/%E9%80%9A%E8%BF%87QEMU%20%E5%92%8C%20IDA%20Pro%E8%BF%9C%E7%A8%8B%E8%B0%83%E8%AF%95%E8%AE%BE%E5%A4%87%E5%9B%BA%E4%BB%B6.html)
[MIPS漏洞调试环境安装及栈溢出](https://ray-cp.github.io/archivers/MIPS_Debug_Environment_and_Stack_Overflow)
[环境搭建onCTFWIKI](https://wiki.x10sec.org/pwn/arm/environment/)
[路由器漏洞训练平台](https://www.anquanke.com/post/id/171918)
[路由器0day漏洞挖掘实战](https://www.anquanke.com/post/id/180714)
[逆向常用工具](https://5alt.me/wiki/%E9%80%86%E5%90%91)
**环境搭建:**
[路由器漏洞挖掘测试环境的搭建之问题总结](https://xz.aliyun.com/t/3826)
**Linux相关知识**
[qcow2、raw、vmdk等镜像格式](http://xstarcd.github.io/wiki/Cloud/qcow2_raw_vmdk.html)
[Linux 引导过程内幕](http://joe.is-programmer.com/posts/17753.html)
[Linux启动过程](https://zhuanlan.zhihu.com/p/32051645)
**调试案例**
[CVE-2019-10999复现](https://xz.aliyun.com/t/5681)
[《家用路由器0day漏洞挖掘》部分案例](https://ray-cp.github.io/archivers/router_vuln_book_note)
[TP-LINK WR941N路由器研究](https://paper.seebug.org/448/)
------------
# 0x01 基础条件
- 一系列的工具,包括:
**binwalk**帮助你解包固件
**buildroot**mips交叉编译环境帮助你在x86平台下编译mips架构的目标程序 https://xz.aliyun.com/t/2505#toc-6
**qemu**帮助你模拟mips环境
**MIPS gdbinit**文件使得使用gdb调试mips程序时更方便 https://github.com/zcutlip/gdbinit-mips
**miranda工具**用于UPnP分析 https://code.google.com/p/miranda-upnp/
**MIPS静态汇编审计**辅助脚本 https://github.com/giantbranch/mipsAudit
**静态编译的gdbserver** https://github.com/rapid7/embedded-tools/tree/master/binaries/gdbserver
- 一个**mips Linux**环境:
在qemu系统模式下需要模拟整个计算机系统
----------
# 0x02 qemu-用户模式
在user mode下使用qemu执行程序有两种情况一是目标程序为**静态链接**那么可以直接使用qemu。另一种是目标程序依赖于**动态链接**库,这时候就需要我们来**指明库的位置**,否则目标程序回到系统`/lib`文件下寻找共享库文件。
*《揭秘家用路由器0day》* 这本书里面,他给出的方法是:
```shell
$ cp $(which qemu-mipsel) ./
$ sudo chroot . ./qemu-mipsel ./usr/sbin/miniupnpd
```
他把qemu-mipsel复制到固件文件目录下然后`chroot`命令改变qemu执行的根目录到当前目录按理说此时应该可以找到依赖库,但是结果却是`chroot: failed to run command ./qemu-mipsel: No such file or directory`
在网上找到了[解决方法](https://xz.aliyun.com/t/3826):需要安装使用 **qemu-mips-static** 才可以
```shell
$ apt-get install qemu binfmt-support qemu-user-static
$ cp $(which qemu-mipsel-static ) ./
$ sudo chroot . ./qemu-mipsel-static ./usr/sbin/miniupnpd
```
这里还可利用`-E`用来设置环境变量,`LD_PRELOAD "./lib"`用来劫持系统调用,另外还有`-g`开启调试模式
除此之外,也在[CTF-WIKI](https://wiki.x10sec.org/pwn/arm/environment/)上找到了另一种方法:使用 **qemu-mips 的 -L 参数**指定路由器的根目录
```shell
$ qemu-mipsel -L . ./usr/sbin/miniupnpd
```
## 模拟miniupnp
由于没有指定参数所以这里miniupnpd只把usage和notes打印给我们了
```shell
Usage:
./usr/sbin/miniupnpd [-f config_file] [-i ext_ifname] [-o ext_ip]
[-a listening_ip] [-p port] [-d] [-U] [-S] [-N]
[-u uuid] [-s serial] [-m model_number]
[-t notify_interval] [-P pid_filename]
[-B down up] [-w url] [-r clean_ruleset_interval]
[-A "permission rule"] [-b BOOTID]
Notes:
There can be one or several listening_ips.
Notify interval is in seconds. Default is 30 seconds.
Default pid file is '/var/run/miniupnpd.pid'.
Default config file is '/etc/miniupnpd.conf'.
With -d miniupnpd will run as a standard program.
-S sets "secure" mode : clients can only add mappings to their own ip
-U causes miniupnpd to report system uptime instead of daemon uptime.
-N enables NAT-PMP functionality.
-B sets bitrates reported by daemon in bits per second.
-w sets the presentation url. Default is http address on port 80
-A use following syntax for permission rules :
(allow|deny) (external port range) ip/mask (internal port range)
examples :
"allow 1024-65535 192.168.1.0/24 1024-65535"
"deny 0-65535 0.0.0.0/0 0-65535"
-b sets the value of BOOTID.UPNP.ORG SSDP header
-h prints this help and quits.
```
根据miniupnpd的启动文件`/etc/init.d/miniupnpd`,小米使用了启动脚本来配置`service_start /usr/sbin/miniupnpd -f conffile -d`
其配置文件connfile如下所示
```
ext_ifname=eth0.2
listening_ip=br-lan
port=5351
enable_natpmp=yes
enable_upnp=yes
secure_mode=no
system_uptime=yes
lease_file=/tmp/upnp.leases
bitrate_down=8388608
bitrate_up=4194304
uuid=e1f3a0ec-d9d4-4317-a14b-130cdd18d092
allow 1024-65535 0.0.0.0/0 1024-65535
deny 0-65535 0.0.0.0/0 0-65535
```
- [ ] 可见因路由器的特殊性,具有两张网卡(eth0.2&br-lan)暂时我还没想出应该怎么解决是否采用qemu虚拟机配置网络可以解决呢反正我采用下面这种粗暴的方式是不可以的(直接指定配置文件)
```shell
$ sudo qemu-mipsel -L . ./usr/sbin/miniupnpd -f ../../MiniUPnP/miniupnpd.conf -d
miniupnpd[7687]: system uptime is 5652 seconds
miniupnpd[7687]: iptc_init() failed : iptables who? (do you need to insmod?)
miniupnpd[7687]: Failed to init redirection engine. EXITING
```
-----------
# 0x03 qemu-系统模式
系统模式命令格式:`$qemu system-mips [option][disk_image]`
## MIPS系统网络配置
下载mips系统内核和虚拟机镜像 https://people.debian.org/~aurel32/qemu/
```
To use this image, you need to install QEMU 1.1.0 (or later). Start QEMU
with the following arguments for a 32-bit machine:
- qemu-system-mipsel -M malta -kernel vmlinux-2.6.32-5-4kc-malta -hda debian_squeeze_mipsel_standard.qcow2 -append "root=/dev/sda1 console=tty0"
- qemu-system-mipsel -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mipsel_standard.qcow2 -append "root=/dev/sda1 console=tty0"
```
**1. 安装依赖文件**`apt-get install uml-utilities bridge-utils`
**2. 修改主机网络配置**
```
auto lo
iface lo inet loopback
auto ens33
iface eth0 inet dhcp
#auto br0
iface br0 inet dhcp
bridge_ports ens33
bridge_maxwait 0
```
**3. 修改qemu网络接口启动脚本**
```
$ sudo vim /etc/qemu-ifup
$ sudo chmod a+x /etc/qemu-ifup
#!/bin/sh
echo "Executing /etc/qemu-ifup"
echo "Bringing $1 for bridged mode..."
sudo /sbin/ifconfig $1 0.0.0.0 promisc up
echo "Adding $1 to br0..."
sudo /sbin/brctl addif br0 $1
sleep 3
```
```
$ sudo /etc/init.d/networking restart
```
**4. qemu启动配置**
```
$ sudo ifdown ens33
$ sudo ifup br0
```
**5. 启动mips虚拟机**
`sudo qemu-system-mipsel -M malta -kernel vmlinux-3.2.0-4-4kc-malta -hda debian_wheezy_mipsel_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic,macaddr=00:16:3e:00:00:01 -net tap -nographic`
我自闭了ubuntu18根本没法联网于是我用了ubuntu14.0
------------
# 0x04 在mips虚拟机中调试
现在通过上面的配置我得到了这样一台虚拟机并通过ssh连接上去。
```shell
root@debian-mipsel:/home/user/mi_wifi_r3_112# ifconfig
eth1 Link encap:Ethernet HWaddr 00:16:3e:00:00:01
inet addr:192.168.31.246 Bcast:192.168.31.255 Mask:255.255.255.0
inet6 addr: fe80::216:3eff:fe00:1/64 Scope:Link
UP BROADCAST RUNNING MULTICAST MTU:1500 Metric:1
RX packets:89377 errors:75 dropped:360 overruns:0 frame:0
TX packets:9114 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:1000
RX bytes:103978997 (99.1 MiB) TX bytes:924287 (902.6 KiB)
Interrupt:10 Base address:0x1020
lo Link encap:Local Loopback
inet addr:127.0.0.1 Mask:255.0.0.0
inet6 addr: ::1/128 Scope:Host
UP LOOPBACK RUNNING MTU:16436 Metric:1
RX packets:8 errors:0 dropped:0 overruns:0 frame:0
TX packets:8 errors:0 dropped:0 overruns:0 carrier:0
collisions:0 txqueuelen:0
RX bytes:560 (560.0 B) TX bytes:560 (560.0 B)
```
已经把我的小米固件全部上传到这个虚拟机中
```shell
root@debian-mipsel:/home/user/mi_wifi_r3_112# ls
bin data dev etc extdisks lib libnvram-faker.so mnt opt overlay proc qemu-mipsel-static readonly rom root sbin sys tmp userdisk usr var www
```
和用户模式一样还是使用chroot因为目标二进制是和固件的库链接的很可能不能跟Debian的共享库一起工作。
```shell
root@debian-mipsel:/home/user/mi_wifi_r3_112# chroot . ./usr/sbin/miniupnpd
Usage:
./usr/sbin/miniupnpd [-f config_file] [-i ext_ifname] [-o ext_ip]
[-a listening_ip] [-p port] [-d] [-U] [-S] [-N]
[-u uuid] [-s serial] [-m model_number]
[-t notify_interval] [-P pid_filename]
[-B down up] [-w url] [-r clean_ruleset_interval]
[-A "permission rule"] [-b BOOTID]
Notes:
There can be one or several listening_ips.
Notify interval is in seconds. Default is 30 seconds.
Default pid file is '/var/run/miniupnpd.pid'.
Default config file is '/etc/miniupnpd.conf'.
With -d miniupnpd will run as a standard program.
-S sets "secure" mode : clients can only add mappings to their own ip
-U causes miniupnpd to report system uptime instead of daemon uptime.
-N enables NAT-PMP functionality.
-B sets bitrates reported by daemon in bits per second.
-w sets the presentation url. Default is http address on port 80
-A use following syntax for permission rules :
(allow|deny) (external port range) ip/mask (internal port range)
examples :
"allow 1024-65535 192.168.1.0/24 1024-65535"
"deny 0-65535 0.0.0.0/0 0-65535"
-b sets the value of BOOTID.UPNP.ORG SSDP header
-h prints this help and quits.
```
直接运行起来还是只打印出usage这里我注意到之前忽视的地方`Default config file is '/etc/miniupnpd.conf'.`,所以我不再使用`-f`参数来指定,而是把配置文件放在默认目录下,在小米路由器里,`ext_ifname`是外部ip`listening_ip`是内部ip。但是我这里还没有开启两个所以都赋值为一张网卡。
```shell
ext_ifname=eth1
listening_ip=eth1
port=5351
enable_natpmp=yes
enable_upnp=yes
secure_mode=no
system_uptime=yes
lease_file=/tmp/upnp.leases
bitrate_down=8388608
bitrate_up=4194304
uuid=e1f3a0ec-d9d4-4317-a14b-130cdd18d092
allow 1024-65535 0.0.0.0/0 1024-65535
deny 0-65535 0.0.0.0/0 0-65535
```
在这个配置下运行miniupnp还是被告知`daemon(): No such file or directory`
```
root@debian-mipsel:/home/user/mi_wifi_r3_112# chroot . ./usr/sbin/miniupnpd
root@debian-mipsel:/home/user/mi_wifi_r3_112# daemon(): No such file or directory
```
我起初猜测是因为缺乏`NVRAM`
> 在运行系统服务如Web服务器或UPnP守护进程时缺乏NVRAM。非易失性RAM通常是包含配置参数的设备快速存储器的一个分区。当一个守护进程启动时它通常会尝试查询NVRAM获取其运行时配置信息。有时一个守护进程会查询NVRAM的几十甚至上百个参数。
于是我运行二进制程序时使用LD_PRELOAD对nvram-faker库进行预加载。它会拦截通常由libnvram.so提供的`nvram_get()`调用。nvram-faker会查询你提供的一个INI风格的配置文件而不是试图查询NVRAM。
这里有一个链接https://github.com/zcutlip/nvram-faker
```shell
root@debian-mipsel:/home/user/mi_wifi_r3_112# chroot . /bin/sh -c "LD_PRELOAD=/libnvram-faker.so /usr/sbin/miniupnpd"
root@debian-mipsel:/home/user/mi_wifi_r3_112# daemon(): No such file or directory
```
问题依然存在daemon是在miniupnpd中常出现的词猜测会不会某些函数没有实现这部分会比较麻烦需要反汇编。
但是我们不是可以拿到路由器的shell吗干嘛还要用qemu模拟再调试直接上真机
---------------
# 0x05 设备上调试程序
> 1、有shell权限
> 2、有静态编译的gdbserver或者gdb
>
只要满足上面两个条件,我们就可以通过在路由器上运行`gdbserver_mipsle --attach 0.0.0.0:port PID` 以及 在你的电脑上使用 **gdb-multiarch** 进行调试(先指定架构然后使用remote功能)轻松地调试设备上地mips程序。
```
pwndbg> set architecture mips (但大多数情况下这一步可以省略, 似乎 pwndbg 能自动识别架构)
pwndbg> target remote localhost:1234
```
能根据固件中的bin得知这是一个小端mips指令集的设备gdbserver也不用自己编译直接下载编译好的: https://github.com/rapid7/embedded-tools/tree/master/binaries/gdbserver
把gdbserver.mipsbe通过tftp上传到路由器的/tmp目录下然后找到目标程序PID
```
root@XiaoQiang:/# ps |grep miniupnp
12517 root 1772 S grep miniupnp
28284 root 1496 S /usr/sbin/miniupnpd -f /var/etc/miniupnpd.conf
```
**gdbserver attach**这个进程,就可以通过**gdb**或者**IDA**远程调试这个程序

10
source/_posts/小米固件工具mkxqimage.md
View File

@ -17,12 +17,18 @@ mkxqimg [-o outfile] [-p private_key] [-f file] [-f file [-f file [-f file ]]]
[-x file]
[-I]
```
## 固件解包
固件工具mkxqimage完成对固件的解包在解包前先检查Checksum是否正确然后利用RSA公钥/usr/share/xiaoqiang/public.pem检查RSA签名这两个步骤通过后根据[0x0C]的固件类型,以及[0x10]、[0x14]、[0x18]和[0x1C]的4个偏移量拆分固件。
## 固件打包
小米官方在打包固件时用RSA私钥计算出固件的RSA签名小米路由器下载固件后用RSA公钥来验证RSA签名有效地防止固件被篡改。
## 固件解包
固件工具mkxqimage完成对固件的解包在解包前先检查Checksum是否正确然后利用RSA公钥/usr/share/xiaoqiang/public.pem检查RSA签名这两个步骤通过后根据[0x0C]的固件类型,以及[0x10]、[0x14]、[0x18]和[0x1C]的4个偏移量拆分固件。
## 固件更新签名校验
小米路由器进行固件更新时同样会进行签名校验,文件/usr/share/xiaoqiang/public.pem是它的公钥用来校验签名正确与否。正因为这样黑客如果想在不拆机的前提下刷入已植入木马的固件只有两条路可走一是通过入侵、社工或破解得到对应的私钥然后对修改后的固件进行签名再刷入二是通过漏洞挖掘新的漏洞或者刷入有漏洞的旧版固件然后再通过漏洞利用得到root shell进而刷入任意固件。一般来讲第一条路是很难的而为了堵住第二条路可以通过限制降级来实现。
由此可见,在限制降级的前提下,在固件更新时进行签名校验,能有效地防止路由器被植入木马。
## [固件格式](http://www.iptvfans.cn/wiki/index.php/%E5%B0%8F%E7%B1%B3%E8%B7%AF%E7%94%B1%E5%99%A8%E5%9B%BA%E4%BB%B6%E5%88%86%E6%9E%90)
路由固件的格式,基本是基于 openwrt 的 trx 这个简单的二进制文件格式
```