vxworks固件分析
前言
vxworks
的固件分析流程
1.用binwalk查看固件基本信息并解压固件
2.获取固件相关信息, cpu架构,大小端
3.确定固件的加载地址
4.用IDA加载固件,并修复符号表
5. 分析固件
实战分析
一道CTF题
分析固件
用到的例子
http://www.icsmaster.org/wp-content/uploads/2018/01/2018013004153995.zip
首先用 binwalk
扫描下固件的信息
$ binwalk ctf_vxworks.bin
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
901 0x385 Zlib compressed data, default compression
发现就是 zlib
压缩的数据, 用 binwalk
直接解开, 然后用 binwalk
对解开后的文件扫描,发现 vxworks
关键信息, 于是拿到 vxworks
的固件。
$ binwalk 385
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
2054252 0x1F586C EST flat binary
2088936 0x1FDFE8 HTML document header
2108532 0x202C74 HTML document footer
2110048 0x203260 HTML document header
2115564 0x2047EC HTML document footer
2119528 0x205768 XML document, version: "1.0"
2119796 0x205874 XML document, version: "1.0"
2119912 0x2058E8 XML document, version: "1.0"
2192512 0x217480 Base64 standard index table
2192580 0x2174C4 Base64 standard index table
2211604 0x21BF14 VxWorks WIND kernel version "2.5"
2225264 0x21F470 Copyright string: "Copyright Wind River Systems, Inc., 1984-2000"
2321952 0x236E20 Copyright string: "copyright_wind_river"
3118988 0x2F978C Copyright string: "Copyright, Real-Time Innovations, Inc., 1991. All rights reserved."
3126628 0x2FB564 Copyright string: "Copyright 1984-1996 Wind River Systems, Inc."
3153524 0x301E74 VxWorks symbol table, big endian, first entry: [type: function, code address: 0x1FF058, symbol address: 0x27655C]
同时还扫到了符号表的位置
计算固件加载地址
固件加载地址的计算可以通过vxworks
固件中的符号表计算得出的。
固件的符号表一般在固件的最后,有明显的规律。
以 16个字节 为一组数据:
4个字节 符号对应字符串的内存地址
4个字节 符号的内存地址
4个字节 特征数据
4个字节
0x00
, 标识一组数据的结尾
计算加载地址的方法就是
加载地址 = 符号表中字符串的地址 - 相应字符串在固件中的偏移
这里还有一个小 tips
字符串表里面的最后一个字符串 在 符号表的第一项被引用
首先根据特征找到符号表, 根据 binwalk -A
可知固件为大端,所以 第一个符号表项对应字符串在内存中的地址为 0x27656c
然后找到字符串表中最后一个字符串所在偏移为 0x26656c
所以加载地址为
$ python -c "print hex(0x27656c - 0x26656c)"
0x10000
恢复符号表
拿到加载地址后,把固件用 IDA
加载起来,然后用 idapython
的脚本恢复即可、
from idaapi import *
from idc import *
loadaddress = 0x10000
eaStart = 0x301e64 + loadaddress
eaEnd = 0x3293a4 + loadaddress
ea = eaStart
eaEnd = eaEnd
while ea < eaEnd:
create_strlit(Dword(ea), BADADDR)
sName = get_strlit_contents(Dword(ea))
print sName
if sName:
eaFunc = Dword(ea + 4)
MakeName(eaFunc, sName)
MakeCode(eaFunc)
MakeFunction(eaFunc, BADADDR)
ea = ea + 16
就是遍历符号表项,在指定位置命名 + 设置函数。
参考
http://www.icsmaster.org/archives/ics/784
http://www.freebuf.com/vuls/177036.html
TP-Link wr886v6 分析
下载固件
网上可以搜到
http://www.drvsky.com/TP-Link/TL-WR886N.htm
分析固件
首先 binwalk
看看信息
这里 binwalk
只识别到了 u-boot
镜像,和一大堆 lzma
压缩的数据。通过 u-boot
的信息可以知道固件的加载地址为 0x80010000
发现其中有个 lzma
压缩的数据大小和其他的不在一个数量级, 把它拿出来解析。
41472 0xA200 LZMA compressed data, properties: 0x6E, dictionary size: 8388608 bytes, uncompressed size: 2365616 bytes
然后用 dd
把它 拿出来
dd if=wr886v6.bin of=large.lzma bs=1 skip=41472 count=749632
然后用 binwalk
解出来
$ binwalk _large.lzma.extracted/0
0 0.7z
$ binwalk _large.lzma.extracted/0
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
1846464 0x1C2CC0 Certificate in DER format (x509 v3), header length: 4, sequence length: 4
1853752 0x1C4938 Certificate in DER format (x509 v3), header length: 4, sequence length: 4
1899120 0x1CFA70 VxWorks operating system version "5.5.1" , compiled: "Oct 20 2017, 16:17:22"
1968188 0x1E083C Copyright string: "Copyright(C) 2001-2011 by TP-LINK TECHNOLOGIES CO., LTD."
1997876 0x1E7C34 VxWorks WIND kernel version "2.6"
2042936 0x1F2C38 HTML document header
2043001 0x1F2C79 HTML document footer
2062828 0x1F79EC PEM certificate
2062884 0x1F7A24 PEM RSA private key
2072188 0x1F9E7C Base64 standard index table
2107248 0x202770 CRC32 polynomial table, big endian
2108272 0x202B70 CRC32 polynomial table, big endian
2109296 0x202F70 CRC32 polynomial table, big endian
2110320 0x203370 CRC32 polynomial table, big endian
2130920 0x2083E8 XML document, version: "1.0"
2150332 0x20CFBC SHA256 hash constants, big endian
2248421 0x224EE5 StuffIt Deluxe Segment (data): f
2248452 0x224F04 StuffIt Deluxe Segment (data): fError
2248533 0x224F55 StuffIt Deluxe Segment (data): f
可以看到有 vxworks
的字符串,前面已经拿到了固件的基地址,用 ida
加载。
恢复符号表
使用 grep
来找符号表
$ binwalk -Me wr886v6.bin
........
$ cd _wr886v6.bin.extracted/
$ grep -r bzero
Binary file C2E3A matches
然后打开 C2E3A
看看
开头 8 字节表示文件大小和符号表大小, 然后就是符号表了, 0x9d00
为字符串表的位置。
然后用脚本恢复
# coding=utf-8
import idc
import idaapi
import idautils
sym_file = open("PATH OF SYM FILE", 'rb').read()
table_data = sym_file[0x08:0x9f80]
print(table_data[-8:].encode('hex'))
string_table = sym_file[0x9f80:]
def get_string(offset):
string = ""
while True:
if string_table[offset] != '\x00':
string += string_table[offset]
offset += 1
else:
break
return string
def get_sym_data():
sym_data = []
for offset in range(0, len(table_data), 8):
table = table_data[offset: offset + 8]
flag = table[0]
# print('flag: %s' % flag)
string_offset = int(table[1:4].encode('hex'), 16)
# print('string_offset: %s' % string_offset)
string = get_string(string_offset)
# print('string: %s' % string)
target_address = int(table[-4:].encode('hex'), 16)
# print('target_address: %s' % hex(target_address))
sym_data.append([flag, string, target_address])
return sym_data
def fix_idb(sym_data):
for sym in sym_data:
flag, string, target_address = sym
idc.MakeName(target_address, string)
if flag == '\x54':
print("Start fix Function %s at %s" % (string, hex(target_address)))
idc.MakeCode(target_address)
idc.MakeFunction(target_address, idc.BADADDR)
# print('flag: %s' % flag)
# print('string: %s' % string)
# print('target_address: %s' % hex(target_address))
if __name__ == '__main__':
sym_data = get_sym_data()
fix_idb(sym_data)
参考
https://www.secpulse.com/archives/75635.html
vxworks固件分析的更多相关文章
- 固件分析工具Binwalk
固件分析工具Binwalk 固件是保存在嵌入式设备存储器的程序.它负责设备运行和功能,如路由器等设备.通过分析固件文件,可以了解设备的工作方式,并且确认是否存在漏洞.Binwalk是Kali Li ...
- 【转】VxWorks信号量分析
Wind内核中有二进制信号量.计数信号量和互斥信号量三种类型,为了是运用程序具有可移植性,还提供了POSIX(可移植操作系统接口)信号量 .在VxWorks中,信号量是实现任务同步的主要手段,也是解决 ...
- 转载 USB固件分析
http://1438431234.spaces.eepw.com.cn/articles/article/item/114022 0x00000000 0x0001fff0 大小 0x1fff1 = ...
- [工控安全]西门子S7-400 PLC固件逆向分析(一)
不算前言的前言:拖了这么久,才发现这个专题没有想象中的简单,学习的路径大致是Step7->S7comm->MC7 code->firmware,我会用尽量简短的语言把前两部分讲清楚, ...
- 技术分析:Femtocell家庭基站通信截获、伪造任意短信
阿里移动安全团队与中国泰尔实验室无线技术部的通信专家们一起,联合对国内运营商某型Femtocell基站进行了安全分析,发现多枚重大漏洞,可导致用户的短信.通话.数据流量被窃听.恶意攻击者可以在免费申领 ...
- 路由器逆向分析------firmware-mod-kit工具安装和使用说明
本文博客地址:http://blog.csdn.net/qq1084283172/article/details/68061957 一.firmware-mod-kit工具的安装 firmware-m ...
- 施耐德NOE77101后门漏洞分析
固件下载地址: GitHub - ameng929/NOE77101_Firmware 文件目录结构,这里只列出了一些主要的文件信息: ├── bin ├── ftp ├── fw ├── rdt ├ ...
- TP-Link TL-WR841N v14 CVE-2019-17147 缓冲区溢出漏洞分析笔记v2018.12.31
0x00 背景 Httpd服务中的缓冲区溢出漏洞 复现参考文章https://www.4hou.com/posts/gQG9 Binwalk -Me 解压缩 File ./bin/busybox文件类 ...
- OWASP固件安全性测试指南
OWASP固件安全性测试指南 固件安全评估,英文名称 firmware security testing methodology 简称 FSTM.该指导方法主要是为了安全研究人员.软件开发人员.顾问. ...
随机推荐
- POJ 2376
#include<iostream>//by chengdacaizi. #include<stdio.h> #define MAXN 25005 using namespac ...
- syslog之一:Linux syslog日志系统详解
目录: <syslog之一:Linux syslog日志系统详解> <syslog之二:syslog协议及rsyslog服务全解析> <syslog之三:建立Window ...
- spring boot的拦截器简单使用
1.spring boot拦截器默认有: HandlerInterceptorAdapter AbstractHandlerMapping UserRoleAuthorizationIntercept ...
- Android侧滑菜单和轮播图之滑动冲突
接手一个项目,有一个问题需要修改:轮播图不能手动滑动,手动滑动轮播图只会触发侧滑菜单. 猜测:viewpager控件(轮播图)的触摸事件被SlidingMenu控件(侧滑菜单,非第三方项目,乃是上个开 ...
- QMYSQL driver not loaded
QT5 连接 QMYSQL 数据库时出现错误:QMYSQL driver not loaded. 解决方法如图:(图中使用指令:ldd libqsqlmysql.so) 从结果图显示中:libmysq ...
- android studio生成aar包并在其他工程引用aar包
1.aar包是android studio下打包android工程中src.res.lib后生成的aar文件,aar包导入其他android studio 工程后,其他工程可以方便引用源码和资源文件 ...
- 酷派大神F2使用QPST进行nv备份恢复,解决无信号问题
测试机器: 大神F2联通版 8675_W00 系统COOLUI55 写贴原因: 自己无意间刷错了包,结果手机无信号,进入工程模式怎么设置都没有用.尝试过系统还原(备份过).刷新的ROM.线刷, ...
- unity 图片 粉碎效果 破碎效果
效果: 点击按钮后: 这些碎片具有物理碰撞效果,下面会有隐形的支柱垫着碎片,n秒后支柱消失,碎片落下 当然你也可以控制生成的碎片,让他们从下而上一块一块地落下 插件源码: https://github ...
- Ruby中Time的常用函数
Time的常用函数 时间对象. Time.now返回当前时间. 1.Time.at Time.at(time[, usec]) 返回time所指时间的Time对象. time可以是Time对象,也 ...
- FSM有限状态机
1.什么是有限状态机 有限状态机(Finite State Machine),简称FSM,它由一组有限个状态.输入和根据输入及现有状态转换为下一个状态的转换函数组成,当然,通常每个状态机都必须有一个初 ...