固件下载地址:

GitHub - ameng929/NOE77101_Firmware

文件目录结构,这里只列出了一些主要的文件信息:

├── bin

├── ftp

├── fw

├── rdt

├── webloader.ini

└── wwwroot

    ├── SchneiderTFE.zip

    ├── cgi-bin

    ├── classes

    ├── conf

    │   ├── Gcnftcop.sys

    │   ├── bootp

    │   ├── dhcp

    │   ├── diag

    │   │   └── chkdsk.out

    │   ├── exec

    │   │   ├── NOE77101.bin

    │   │   └── kerVer

    │   ...

    ├── html

    │   ├── config.js

    │   	...

    ├── rdt

    │   └── rdt.zip

    └── secure

注意到 wwwroot/conf/exec 目录下有一个文件 NOE77101.bin ,这就是要分析的固件文件。使用binwalk命令查看文件内容,是一个Zlib类型的压缩文件:

➜  exec binwalk NOE77101.bin

DECIMAL       HEXADECIMAL     DESCRIPTION

--------------------------------------------------------------------------------

901           0x385           Zlib compressed data, default compression

binwalk提取文件内容,binwalk会自动解压文件,得到文件夹 _NOE77101.bin.extracted

➜  exec binwalk -e NOE77101.bin

DECIMAL       HEXADECIMAL     DESCRIPTION

--------------------------------------------------------------------------------

901           0x385           Zlib compressed data, default compression

➜  exec ls

NOE77101.bin            _NOE77101.bin.extracted kerVer

binwalk自动提取了文件到_NOE77101.bin.extracted目录下,并对其进行解压。此时文件夹下就有两个文件,一个zlib和一个被解压出来的:

➜  _NOE77101.bin.extracted ls

385      385.zlib

然后再用binwalk查看385文件:

➜  _NOE77101.bin.extracted binwalk 385

DECIMAL       HEXADECIMAL     DESCRIPTION

--------------------------------------------------------------------------------

2054252       0x1F586C        EST flat binary

2088936       0x1FDFE8        HTML document header

2108532       0x202C74        HTML document footer

2110048       0x203260        HTML document header

2115564       0x2047EC        HTML document footer

2119528       0x205768        XML document, version: "1.0"

2119796       0x205874        XML document, version: "1.0"

2119912       0x2058E8        XML document, version: "1.0"

2192512       0x217480        Base64 standard index table

2192580       0x2174C4        Base64 standard index table

2211604       0x21BF14        VxWorks WIND kernel version "2.5"

2225264       0x21F470        Copyright string: "Copyright Wind River Systems, Inc., 1984-2000"

2321952       0x236E20        Copyright string: "copyright_wind_river"

3118988       0x2F978C        Copyright string: "Copyright, Real-Time Innovations, Inc., 1991.  All rights reserved."

3126628       0x2FB564        Copyright string: "Copyright 1984-1996 Wind River Systems, Inc."

3153524       0x301E74        VxWorks symbol table, big endian, first entry: [type: function, code address: 0x1FF058, symbol address: 0x27655C]

得知文件是VxWorks固件,符号表位置在0x301E74处,稍后会用到。

然后使用binwalk查看架构,得知是PowerPC big endian:

➜  _NOE77101.bin.extracted binwalk -A 385

....

2045960       0x1F3808        PowerPC big endian instructions, function epilogue

2045968       0x1F3810        PowerPC big endian instructions, function prologue

2046180       0x1F38E4        PowerPC big endian instructions, function epilogue

3150948       0x301464        PowerPC big endian instructions, function epilogue

之后用IDA打开385文件,在打开时设置架构:

然后要求设置RAM和ROM,其实就是设置加载基地址:

在IDA中无法识别出任何函数,需要在程序开头位置按一下 “c” 键,就可以显示部分函数,但没有解析出所有的函数:

此时可以通过三种方式获得加载基地址:

  • 通过跳转表获得基地址、通过字符串引用获得基地址

固件安全之加载地址分析 – 绿盟科技技术博客

  • 使用IDA的Vxhunter插件

vxhunter/firmware_tools at master · PAGalaxyLab/vxhunter

这里为了方便选择Vxhunter插件,选择python版本下载后复制到plugin文件夹下,然后运行插件:

得到加载地址是0x10000:

然后发现依然没有解析函数,此时需要恢复函数名称。使用IDA脚本:

#coding=utf-8

from idaapi import *

from idc import *

symbol_interval = 16 #符号表间隔

load_address = 0x10000 #固件内存加载基址

symbol_table_start = 0x31eec4 + load_address   #符号表起始地址

symbol_table_end = 0x348114 + load_address #符号表结束地址

ea = symbol_table_start

eaEnd = symbol_table_end

while ea < eaEnd:

   offset = 0   #4个字节为一组数据

   #将函数名指针位置的数据转换为字符串

   create_strlit(get_wide_dword(ea-offset), BADADDR)

   #将函数名赋值给变量sName

   sName = get_strlit_contents(get_wide_dword(ea))

   print(sName)

   if sName:

       #开始修复函数名

       eaFunc = get_wide_dword(ea - offset +4)

       set_name(eaFunc, sName)

       create_insn(eaFunc)

       ida_funcs.add_func(eaFunc, BADADDR)

   ea += symbol_interval

代码中的符号表起始地址和符号表结束地址需要手动修改一下,可以在16进制编辑器中查看。在binwalk分析的时候得到符号表地址为0x301E74,然后在文件中找到这个位置,0x301E74即起始位置:

符号表每0x10为一组,一直找到结束的位置0x3293a4:

然后执行IDA脚本:

最后恢复完成:

usrAppInit函数中发现多处loginUserAdd添加用户,这些字符串即后门账号和密码:

总结

此固件分析关键点在于确定程序基地址和如何恢复符号信息,只要恢复了符号信息就和阅读源码无异了。

References

固件符号表恢复

https://bbs.pediy.com/thread-266803-1.htm

固件安全之加载地址分析 – 绿盟科技技术博客

施耐德PLC以太网模块后门账户解密 – 灯塔实验室

https://p1kk.github.io/2021/06/11/iot/施耐德 NOE771/

施耐德NOE77101后门漏洞分析的更多相关文章

  1. Java反序列化漏洞分析

    相关学习资料 http://www.freebuf.com/vuls/90840.html https://security.tencent.com/index.php/blog/msg/97 htt ...

  2. CVE-2018-7600 Drupal核心远程代码执行漏洞分析

    0x01 漏洞介绍 Drupal是一个开源内容管理系统(CMS),全球超过100万个网站(包括政府,电子零售,企业组织,金融机构等)使用.两周前,Drupal安全团队披露了一个非常关键的漏洞,编号CV ...

  3. linux漏洞分析入门笔记-bypass_PIE

    ubuntu 16.04 IDA 7.0 docker 0x00:漏洞分析 1.ASLR的是操作系统的功能选项,作用于executable(ELF)装入内存运行时,因而只能随机化stack.heap. ...

  4. PhpStudy2018后门漏洞预警及漏洞复现&检测和执行POC脚本

    PhpStudy2018后门漏洞预警及漏洞复现&检测和执行POC脚本 phpstudy介绍 Phpstudy是国内的一款免费的PHP调试环境的程序集成包,其通过集成Apache.PHP.MyS ...

  5. 3 CVE-2017-11882漏洞分析

    CVE-2017-11882漏洞分析 操作系统:Windows7 32/64位 专业版.Linux 软件:office 2003 sp3 工具:OD.IDA.Python模块.msfconsole 1 ...

  6. 威胁快报|Bulehero挖矿蠕虫升级,PhpStudy后门漏洞加入武器库

    概述 近日,阿里云安全团队监控到Bulehero挖矿蠕虫进行了版本升级,蠕虫升级后开始利用最新出现的PHPStudy后门漏洞作为新的攻击方式对Windows主机进行攻击,攻击成功后会下载门罗币挖矿程序 ...

  7. [javaweb]strut2-001漏洞分析

    Strut2-001 漏洞描述 框架解析JSP页面标签时会对用户输入的Value值获取,在获取对应的Value值中递归解析%{.}造成了二次解析,最终触发表达式注入漏洞,执行任意代码 影响版本 2.0 ...

  8. Zabbix 漏洞分析

    之前看到Zabbix 出现SQL注入漏洞,自己来尝试分析. PS:我没找到3.0.3版本的 Zabbix ,暂用的是zabbix 2.2.0版本,如果有问题,请大牛指点. 0x00 Zabbix简介 ...

  9. PHPCMS \phpcms\modules\member\index.php 用户登陆SQL注入漏洞分析

    catalog . 漏洞描述 . 漏洞触发条件 . 漏洞影响范围 . 漏洞代码分析 . 防御方法 . 攻防思考 1. 漏洞描述2. 漏洞触发条件 0x1: POC http://localhost/p ...

随机推荐

  1. day 19 C语言顺序结构基础2

    (1).算术运算符和圆括号有不同的运算优先级,对于表达式:a+b+c*(d+e),关于执行步骤,以下说法正确的是[A] (A).先执行a+b的r1,再执行(d+e)的r2,再执行c*r2的r3,最后执 ...

  2. Julia语言介绍

    官网:https://julialang.org/ 中文社区:https://cn.julialang.org/ Julia 是一个面向科学计算的高性能动态高级程序设计语言. 首先定位是通用编程语言, ...

  3. IPOPT安装

    1.安装工具coinbrew 打开网页,找到以下网址 将网站中的内容全部复制到自己创建的coinbrew文件中,并且赋予权限 chmod u+x coinbrew 或者执行 git clone htt ...

  4. 利用栈实现括号匹配(python语言)

    原理: 右括号总是与最近的左括号匹配 --- 栈的后进先出 从左往右遍历字符串,遇到左括号就入栈,遇到右括号时,就出栈一个元素与其配对 当栈为空时,遇到右括号,则此右括号无与之匹配的左括号 当最终右括 ...

  5. 【算法】KMP

    @ 目录 一. 暴力匹配 二.KMP的基本思想 三.next[]的求法 1. 暴力求解 2. 递推求解 四.KMP算法 一. 暴力匹配 字符串匹配的最直接的方法就是暴力匹配,而KMP算法也是基于暴力算 ...

  6. Cesium入门3 - Cesium目录框架结构

    Cesium入门3 - Cesium目录框架结构 Cesium中文网:http://cesiumcn.org/ | 国内快速访问:http://cesium.coinidea.com/ app目录 下 ...

  7. IoC容器-Bean管理XML方式(p名称空间注入)

    5,p名称空间注入(简化xml配置) (1)使用p名称空间注入,可以简化基于xml配置方式 (了解实际用不多) 第一步 添加 p 名称空间在配置文件中   第二步 进行属性注入,在bean标签里面进行 ...

  8. 【webpack4.0】---webpack的基本使用(一)

    一.初识webpack 1.什么是webpack? WebPack可以看做是模块打包机:它做的事情是,分析你的项目结构,找到JavaScript模块以及其它的一些浏览器不能直接运行的拓展语言(Scss ...

  9. Android开发----开发工具的安装与TextView组件

    开发工具的安装 选择使用Android Studio进行开发,Android Studio 是谷歌推出的一个Android集成开发工具,基于IntelliJ IDEA. 类似 Eclipse ADT, ...

  10. Codeforces Round #740 Div. 2

    题目跳转链接 A. Simply Strange Sort 题意 定义一个函数\(f_{i}\) : 如果\(a_i \ge a_{i+1}\) swap(\(a_i\) \(a_{i+1}\)) 定 ...