摘要:
前言 固件的符号表通常在固件末尾具有明显的规则。参考资源http://www.icsmaster.org/archives/ics/784http://www.freebuf.com/vuls/177036.htmlTP-可以在线找到Linkwr886v6分析下载固件http://www.drvsky.com/TP-Link/TL-WR886N.htm首先,分析固件。看看binwalk中的信息。在这里,binwalk只识别u-boot映像和大量lzma压缩数据。从u-boot信息中,我们可以知道固件的加载地址是0x80010000。我们发现其中一个lzma压缩数据大小与其他数据大小的数量级不同,因此我们可以对其进行分析。
vxworks 的固件分析流程
1.用binwalk查看固件基本信息并解压固件
2.获取固件相关信息, cpu架构,大小端
3.确定固件的加载地址
4.用IDA加载固件,并修复符号表
5. 分析固件
一道CTF题
分析固件
用到的例子
http://www.icsmaster.org/wp-content/uploads/2018/01/2018013004153995.zip
首先用 binwalk 扫描下固件的信息
$ binwalk ctf_vxworks.bin
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
901 0x385 Zlib compressed data, default compression
发现就是 zlib 压缩的数据, 用 binwalk 直接解开, 然后用 binwalk 对解开后的文件扫描,发现 vxworks 关键信息, 于是拿到 vxworks 的固件。
$ binwalk 385
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
2054252 0x1F586C EST flat binary
2088936 0x1FDFE8 HTML document header
2108532 0x202C74 HTML document footer
2110048 0x203260 HTML document header
2115564 0x2047EC HTML document footer
2119528 0x205768 XML document, version: "1.0"
2119796 0x205874 XML document, version: "1.0"
2119912 0x2058E8 XML document, version: "1.0"
2192512 0x217480 Base64 standard index table
2192580 0x2174C4 Base64 standard index table
2211604 0x21BF14 VxWorks WIND kernel version "2.5"
2225264 0x21F470 Copyright string: "Copyright Wind River Systems, Inc., 1984-2000"
2321952 0x236E20 Copyright string: "copyright_wind_river"
3118988 0x2F978C Copyright string: "Copyright, Real-Time Innovations, Inc., 1991. All rights reserved."
3126628 0x2FB564 Copyright string: "Copyright 1984-1996 Wind River Systems, Inc."
3153524 0x301E74 VxWorks symbol table, big endian, first entry: [type: function, code address: 0x1FF058, symbol address: 0x27655C]
同时还扫到了符号表的位置
计算固件加载地址
固件加载地址的计算可以通过vxworks固件中的符号表计算得出的。
固件的符号表一般在固件的最后,有明显的规律。
以 16个字节 为一组数据:
4个字节 符号对应字符串的内存地址
4个字节 符号的内存地址
4个字节 特征数据
4个字节
0x00, 标识一组数据的结尾
计算加载地址的方法就是
加载地址 = 符号表中字符串的地址 - 相应字符串在固件中的偏移
这里还有一个小 tips
字符串表里面的最后一个字符串 在 符号表的第一项被引用
首先根据特征找到符号表, 根据 binwalk -A 可知固件为大端,所以 第一个符号表项对应字符串在内存中的地址为 0x27656c
然后找到字符串表中最后一个字符串所在偏移为 0x26656c
所以加载地址为
$ python -c "print hex(0x27656c - 0x26656c)"
0x10000
恢复符号表
拿到加载地址后,把固件用 IDA 加载起来,然后用 idapython 的脚本恢复即可、
from idaapi import *
from idc import *
loadaddress = 0x10000
eaStart = 0x301e64 + loadaddress
eaEnd = 0x3293a4 + loadaddress
ea = eaStart
eaEnd = eaEnd
while ea < eaEnd:
create_strlit(Dword(ea), BADADDR)
sName = get_strlit_contents(Dword(ea))
print sName
if sName:
eaFunc = Dword(ea + 4)
MakeName(eaFunc, sName)
MakeCode(eaFunc)
MakeFunction(eaFunc, BADADDR)
ea = ea + 16
就是遍历符号表项,在指定位置命名 + 设置函数。
参考
http://www.icsmaster.org/archives/ics/784
http://www.freebuf.com/vuls/177036.html
TP-Link wr886v6 分析
下载固件
网上可以搜到
http://www.drvsky.com/TP-Link/TL-WR886N.htm
分析固件
首先 binwalk 看看信息
这里 binwalk 只识别到了 u-boot 镜像,和一大堆 lzma 压缩的数据。通过 u-boot 的信息可以知道固件的加载地址为 0x80010000
发现其中有个 lzma 压缩的数据大小和其他的不在一个数量级, 把它拿出来解析。
41472 0xA200 LZMA compressed data, properties: 0x6E, dictionary size: 8388608 bytes, uncompressed size: 2365616 bytes
然后用 dd 把它 拿出来
dd if=wr886v6.bin of=large.lzma bs=1 skip=41472 count=749632
然后用 binwalk 解出来
$ binwalk _large.lzma.extracted/0
0 0.7z
$ binwalk _large.lzma.extracted/0
DECIMAL HEXADECIMAL DESCRIPTION
--------------------------------------------------------------------------------
1846464 0x1C2CC0 Certificate in DER format (x509 v3), header length: 4, sequence length: 4
1853752 0x1C4938 Certificate in DER format (x509 v3), header length: 4, sequence length: 4
1899120 0x1CFA70 VxWorks operating system version "5.5.1" , compiled: "Oct 20 2017, 16:17:22"
1968188 0x1E083C Copyright string: "Copyright(C) 2001-2011 by TP-LINK TECHNOLOGIES CO., LTD."
1997876 0x1E7C34 VxWorks WIND kernel version "2.6"
2042936 0x1F2C38 HTML document header
2043001 0x1F2C79 HTML document footer
2062828 0x1F79EC PEM certificate
2062884 0x1F7A24 PEM RSA private key
2072188 0x1F9E7C Base64 standard index table
2107248 0x202770 CRC32 polynomial table, big endian
2108272 0x202B70 CRC32 polynomial table, big endian
2109296 0x202F70 CRC32 polynomial table, big endian
2110320 0x203370 CRC32 polynomial table, big endian
2130920 0x2083E8 XML document, version: "1.0"
2150332 0x20CFBC SHA256 hash constants, big endian
2248421 0x224EE5 StuffIt Deluxe Segment (data): f
2248452 0x224F04 StuffIt Deluxe Segment (data): fError
2248533 0x224F55 StuffIt Deluxe Segment (data): f
可以看到有 vxworks 的字符串,前面已经拿到了固件的基地址,用 ida 加载。
恢复符号表
使用 grep 来找符号表
$ binwalk -Me wr886v6.bin
........
$ cd _wr886v6.bin.extracted/
$ grep -r bzero
Binary file C2E3A matches
然后打开 C2E3A 看看
开头 8 字节表示文件大小和符号表大小, 然后就是符号表了, 0x9d00 为字符串表的位置。
然后用脚本恢复
# coding=utf-8
import idc
import idaapi
import idautils
sym_file = open("PATH OF SYM FILE", 'rb').read()
table_data = sym_file[0x08:0x9f80]
print(table_data[-8:].encode('hex'))
string_table = sym_file[0x9f80:]
def get_string(offset):
string = ""
while True:
if string_table[offset] != 'x00':
string += string_table[offset]
offset += 1
else:
break
return string
def get_sym_data():
sym_data = []
for offset in range(0, len(table_data), 8):
table = table_data[offset: offset + 8]
flag = table[0]
# print('flag: %s' % flag)
string_offset = int(table[1:4].encode('hex'), 16)
# print('string_offset: %s' % string_offset)
string = get_string(string_offset)
# print('string: %s' % string)
target_address = int(table[-4:].encode('hex'), 16)
# print('target_address: %s' % hex(target_address))
sym_data.append([flag, string, target_address])
return sym_data
def fix_idb(sym_data):
for sym in sym_data:
flag, string, target_address = sym
idc.MakeName(target_address, string)
if flag == 'x54':
print("Start fix Function %s at %s" % (string, hex(target_address)))
idc.MakeCode(target_address)
idc.MakeFunction(target_address, idc.BADADDR)
# print('flag: %s' % flag)
# print('string: %s' % string)
# print('target_address: %s' % hex(target_address))
if __name__ == '__main__':
sym_data = get_sym_data()
fix_idb(sym_data)
参考
https://www.secpulse.com/archives/75635.html