0×01：前言

pwn的學(xué)習(xí)有一段時(shí)間了，今天來(lái)看看IOT的一些知識(shí)。此篇文章會(huì)介紹IOT相關(guān)的基礎(chǔ)知識(shí)，固件的概念以及IOT設(shè)備的文件系統(tǒng)，如何利用工具分析IOT設(shè)備。

[[418413]]

0×02：正文

1)物聯(lián)網(wǎng)設(shè)備層次模型看網(wǎng)絡(luò)風(fēng)險(xiǎn)

• 物理感知層(固件提取)
• 通信層
• 管理控制層

2)攻擊者角度看IOT信息收集

• 端口掃描
• 流量抓取、分析(外部嗅探、內(nèi)部調(diào)試)
• 功能點(diǎn)評(píng)估

端口掃描中，我們可以注意一些私有協(xié)議，來(lái)進(jìn)行分析。

所需技能

• 二進(jìn)制逆向分析
• 滲透測(cè)試
• 硬件焊接

工具：IDA/Ghidra

流量分析：wireshark

固件分析攻擊：binwalk/qemu

固件概念

我們可以把他簡(jiǎn)單的理解為操作系統(tǒng)。

固件的組成

Bootloader： 最開(kāi)始運(yùn)行的軟件，初始化硬件設(shè)備，建立內(nèi)存空間映射圖，調(diào)節(jié)嵌入式的軟硬件。

內(nèi)核：操作系統(tǒng)最基本的部分。

根文件系統(tǒng)：內(nèi)核啟動(dòng)時(shí)所mount的第一個(gè)文件系統(tǒng)，內(nèi)核代碼映像文件保存在根文件系統(tǒng)中。

嵌入式固件使用的系統(tǒng)大部分為linux系統(tǒng)，存在的目錄：

/bin目錄

• 目錄下的命令在掛接其他文件系統(tǒng)之前就可以使用，所以/bin目錄必須與根文件系統(tǒng)在一個(gè)分區(qū)中。

/dev目錄

• 設(shè)備與設(shè)備接口的文件，設(shè)備文件是linux中特有的文件類型。

/etc目錄

• 系統(tǒng)主要的配置文件。root權(quán)限才有修改權(quán)限。

/lib

• 共享庫(kù)和驅(qū)動(dòng)程序，共享庫(kù)用于啟動(dòng)系統(tǒng)。 運(yùn)行根文件系統(tǒng)中的可執(zhí)行程序。

/var

• /var目錄中存放可變的數(shù)據(jù)，比如spool目錄(mail,news)，log文件，臨時(shí)文件。

/proc

• 空目錄，常作為proc文件系統(tǒng)的掛接點(diǎn)，proc文件系統(tǒng)是個(gè)虛擬的文件系統(tǒng)。

固件提取

binwalk提取固件

binwalk可以掃描許多不同嵌入式文件類型和文件系統(tǒng)的固件映像，只需給他一個(gè)要掃描的Binkwalk +文件 -e 對(duì)此文件進(jìn)行分離。

提取出的內(nèi)容會(huì)存放在.extracted文件里，其中squashfs-root就是我們想要的該固件的文件系統(tǒng)。

進(jìn)入分離出來(lái)的固件系統(tǒng)

Squashfs文件系統(tǒng)簡(jiǎn)介：

squashfs可以將整個(gè)文件系統(tǒng)或者某個(gè)單一的目錄壓縮在一起, 存放在某個(gè)設(shè)備, 某個(gè)分區(qū)或者普通的文件中。

沒(méi)有binwalk情況下提取固件：

1.利用hexdump 搜索hsqs的地址

hexdump -C RT-N300_3.0.0.4_378_9317-g2f672ff.trx | grep -i 'hsqs' 

2.利用dd命令截取地址之后的數(shù)據(jù)，保存到新文件中

if=RT-N300_3.0.0.4_378_9317-g2f672ff.trx bs=1 skip=925888 of=rt-n300-fs 

不識(shí)別16進(jìn)制，因此我們轉(zhuǎn)換為10進(jìn)制

3.最后，使用unsquashfs rt-n300-fs命令解析rt-n300-fs文件，得到的squashfs-root就是固件系統(tǒng)

unsquashfs rt-n300-fs 

此種方法與binwalk提取固件的結(jié)果是相同的。

靜態(tài)分析IOT的固件

拿到一個(gè)固件壓縮包，解壓之后發(fā)現(xiàn)了很多YAFFS2文件

我們利用binwalk對(duì)其進(jìn)行分離

或者這里再介紹一個(gè)工具unyaffs

然后查看分離出來(lái)的文件

利用find命令查看 .conf配置文件

find . -name '*.conf' 

在/etc/inadyn-mt.conf下找到了賬號(hào)密碼

然后又看看/etc/shadow發(fā)現(xiàn)了root賬號(hào)和密碼

查看進(jìn)程，這里有一個(gè)程序

用IDA打開(kāi)

只要連接該固件的39889端口并發(fā)送HELODBG的字符串，就可以進(jìn)行RCE。

0×03：總結(jié)

最近研究了IOT中固件的提取以及如何靜態(tài)分析固件，IOT的前期準(zhǔn)備工作并不太難，在學(xué)習(xí)路程中發(fā)現(xiàn)需要的各方面機(jī)能很多，流量分析、電子取證、匯編與反匯編等技能也都是必不可少的，所以要廣學(xué)知識(shí)，提升自己的技能。