0×01:前言
pwn的学习有一段时间了,今天来看看IOT的一些知识。此篇文章会介绍IOT相关的基础知识,固件的概念以及IOT设备的文件系统,如何利用工具分析IOT设备。
0×02:正文
1)物联网设备层次模型看网络风险
- 物理感知层(固件提取)
- 通信层
- 管理控制层
2)攻击者角度看IOT信息收集
- 端口扫描
- 流量抓取、分析(外部嗅探、内部调试)
- 功能点评估
端口扫描中,我们可以注意一些私有协议,来进行分析。
所需技能
- 二进制逆向分析
- 渗透测试
- 硬件焊接
工具:IDA/Ghidra
流量分析:wireshark
固件分析攻击:binwalk/qemu
固件概念
我们可以把他简单的理解为操作系统。
固件的组成
Bootloader: 最开始运行的软件,初始化硬件设备,建立内存空间映射图,调节嵌入式的软硬件。
内核:操作系统最基本的部分。
根文件系统:内核启动时所mount的第一个文件系统,内核代码映像文件保存在根文件系统中。
嵌入式固件使用的系统大部分为linux系统,存在的目录:
/bin目录
- 目录下的命令在挂接其他文件系统之前就可以使用,所以/bin目录必须与根文件系统在一个分区中。
/dev目录
- 设备与设备接口的文件,设备文件是linux中特有的文件类型。
/etc目录
- 系统主要的配置文件。root权限才有修改权限。
/lib
- 共享库和驱动程序,共享库用于启动系统。 运行根文件系统中的可执行程序。
/var
- /var目录中存放可变的数据,比如spool目录(mail,news),log文件,临时文件。
/proc
- 空目录,常作为proc文件系统的挂接点,proc文件系统是个虚拟的文件系统。
固件提取
binwalk提取固件
binwalk可以扫描许多不同嵌入式文件类型和文件系统的固件映像,只需给他一个要扫描的Binkwalk +文件 -e 对此文件进行分离。
提取出的内容会存放在.extracted文件里,其中squashfs-root就是我们想要的该固件的文件系统。
进入分离出来的固件系统
Squashfs文件系统简介:
squashfs可以将整个文件系统或者某个单一的目录压缩在一起, 存放在某个设备, 某个分区或者普通的文件中。
没有binwalk情况下提取固件:
1.利用hexdump 搜索hsqs的地址
- hexdump -C RT-N300_3.0.0.4_378_9317-g2f672ff.trx | grep -i 'hsqs'
2.利用dd命令截取地址之后的数据,保存到新文件中
- if=RT-N300_3.0.0.4_378_9317-g2f672ff.trx bs=1 skip=925888 of=rt-n300-fs
不识别16进制,因此我们转换为10进制
3.最后,使用unsquashfs rt-n300-fs命令解析rt-n300-fs文件,得到的squashfs-root就是固件系统
- unsquashfs rt-n300-fs
此种方法与binwalk提取固件的结果是相同的。
静态分析IOT的固件
拿到一个固件压缩包,解压之后发现了很多YAFFS2文件
我们利用binwalk对其进行分离
或者这里再介绍一个工具unyaffs
然后查看分离出来的文件
利用find命令查看 .conf配置文件
- find . -name '*.conf'
在/etc/inadyn-mt.conf下找到了账号密码
然后又看看/etc/shadow发现了root账号和密码
查看进程,这里有一个程序
用IDA打开
只要连接该固件的39889端口并发送HELODBG的字符串,就可以进行RCE。
0×03:总结
最近研究了IOT中固件的提取以及如何静态分析固件,IOT的前期准备工作并不太难,在学习路程中发现需要的各方面机能很多,流量分析、电子取证、汇编与反汇编等技能也都是必不可少的,所以要广学知识,提升自己的技能。
