作者:fan****@知道创宇404实验室********
时间:2024年3月27日
1 前言
参考资料
部门近期应急了一个 Zyxel VPN
未授权 RCE,在尝试进行漏洞复现的过程中,发现在 .bin
中无法提取文件系统,了解得知 .bin
文件是 ZIP
格式的固件映像受密码保护。通过如下文章学习到了Zyxel固件解密方法[1],以此篇文章记录并说明踩过的坑。
Zyxel VPN Firewall 是一种网络安全设备,由 Zyxel 通信公司提供。它结合了防火墙和 VPN(Virtual Private Network,虚拟专用网络)功能,旨在保护企业⽹络免受未经授权的访问和恶意活动的威胁,并提供安全的远程访问解决⽅案。
2 固件提取
参考资料
固件版本 VPN100_V5.30(ABFV)
解压 VPN100_V5.30(ABFV.0)C0.zip
图2-1 解压VPN100_5.30压缩文件
尝试在 .bin
文件中提取文件系统,并没有提取出文件系统。
$ binwalk -e 530ABFV0C0.bin$ cd _530ABFV0C0.bin.extracted/$ ls0.zip etc_writable fwversion wtp_imagecompress.img filechecksum kernelchecksum wtpinfodb filelist kernelvpn100.bin
因为文件 530ABFV0C0.bin
是 ZIP 格式的固件映像受密码保护,也没有找到有关 Zyxel 使用密码的信息,但是固件一起的PDF文章中有一段对 530ABFV0C0.ri
的描述如下:
图2-2 530ABFV0C0.ri作用描述
大致翻译为.ri
文件是一个二进制固件恢复映像文件,仅在系统固件损坏紧急情况下使用。如果正常的固件升级文件(.bin)不能使用,且系统无法启动,这个文件可以用于尝试恢复固件至可用状态。由于.ri文件通常用于恢复损坏的固件,它可能包含完整的系统映像,所以尝试分析 .ri
文件。
尝试使用binwalk
提取 bin
同目录下 .ri
文件。
$ binwalk -e 530ABFV0C0.ri
图2-3 binwalk提权.ri文件
ri
文件中提取出 240 和 240.7z。
图2-4 ri文件中提取出240和240.zip
240.7z 为 240 文件的压缩包,所以继续提取 240 文件。
$ cd _530ABFV0C0.ri.extracted/$ binwalk -e 240
图2-5 binwalk提权240文件
可以在提取到的 _240.extracted
文件夹下看到 zyinit 二进制文件,linux 常规的初始化启动进程就是init,所以将焦点放在了zyinit。
图2-6 240文件提取内容
参考文章中提到分析 zyinit 发现它启动了其他外部命令,特别是 zld_fsextract
命令。
在 zld_fsextract
二进制文件中搜索密码,有很多很好的分析点,这里就不多赘述感兴趣可以自行跟进。发现 unzip 二进制文件使用这些选项来解压缩具有特定密码的文件,该密码在参数-P
中定义。根据在线找到的信息并进行快速分析,二进制文件似乎根据二进制文件名称或二进制文件内容以某种方式计算解压缩密码。所以不需要密码, zld_fsextract
使用 unzip 即可拿到镜像文件。
现在可以模拟 MIPS 环境执行二进制文件并尝试提取文件了。
先来判断一下需要模拟什么环境,这里 N32
有一个比较大的坑。
$ file zld_fsextract zld_fsextract: ELF 32-bit MSB executable, MIPS, N32 MIPS64 rel2 version 1 (SYSV), statically linked, stripped
通过判断 zld_fsextract
文件类型, 一开始使用 qemu-system-mips
内核镜像选择 vmlinux-3.2.0-4-5kc-malta
结果环境启动不了。第二次换内核镜像为 vmlinux-2.6.32-5-4kc-malta
环境成功启动,但是运行 zld_fsextract
报错不兼容。
# ./zyinit-bash: ./zyinit: cannot execute binary file
分析得知 N32 是用在32位和64位 MIPS 处理器上的一种中间形式[2],它允许使用64位寄存器和内存寻址,但保持了32位数据模型,这样可以减少由于64位数据类型较大而带来的性能和内存使用上的开销。所以需要选择支持N32 ABI的MIPS64架构的模拟器来运行。
准备文件系统和内核镜像:
vmlinux-2.6.32-5-5kc-malta 内核镜像debian_squeeze_mips_standard.qcow2 文件系统
启动模拟环境:
$ qemu-system-mips64 -M malta -kernel vmlinux-2.6.32-5-5kc-malta -hda debian_squeeze_mips_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net tap,ifname=tap0,script=no,downscript=no -nographic
启动后用户名和密码都是root
即可登录模拟系统。
接下来在宿主机创建一个网卡,是 qemu
内能和宿主机通信。
宿主机安装依赖:
$ sudo apt-get install bridge-utils uml-utilities
将如下代码保存为 net.sh
并运行即可:
sudo sysctl -w net.ipv4.ip_forward=1sudo iptables -Fsudo iptables -Xsudo iptables -t nat -Fsudo iptables -t nat -Xsudo iptables -t mangle -Fsudo iptables -t mangle -Xsudo iptables -P INPUT ACCEPTsudo iptables -P FORWARD ACCEPTsudo iptables -P OUTPUT ACCEPTsudo iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADEsudo iptables -I FORWARD 1 -i tap0 -j ACCEPTsudo iptables -I FORWARD 1 -o tap0 -m state --state RELATED,ESTABLISHED -j ACCEPTsudo ifconfig tap0 192.168.100.254 netmask 255.255.255.0
然后配置 qemu
虚拟系统的路由,在 qemu
虚拟系统运行如下 net.sh
并运行。
#!/bin/shifconfig eth0 192.168.100.2 netmask 255.255.255.0route add default gw 192.168.100.254
//虚拟系统可能没有 vim
或 nano
,使用 echo
一行一行写。
这样宿主机和模拟环境就可以网络互通了。
将刚才问题分析时在宿主机上整个文件夹上传到 qemu
系统.
$ scp -r VPN100/ root@192.168.100.2:VPN100
这样就可以在虚拟机使用 zld_fsextract
二进制文件获取固件映像信息了,记得将 530ABFV0C0.bin
移动到 zld_fsextract
同目录下。
# cp 530ABFV0C0.bin _530ABFV0C0.ri.extracted/_240.extracted/# cd _530ABFV0C0.ri.extracted/_240.extracted/# ./zld_fsextract 530ABFV0C0.bin -s list
使用 zld_fsextract
二进制文件提取固件且无需指定密码。
# ./zld_fsextract 530ABFV0C0.bin ./unzip -s extract -e code
这时会在 /rw/
路径下生成 compress.img
,将这个文件传输到宿主机使用 binwalk
提取即可得到 squashfs-root
文件系统。
# ls -al /rw/total 94480drwxr-xr-x 3 root root 4096 Mar 19 07:58 .drwxr-xr-x 23 root root 4096 Mar 19 07:59 ..-r--r--r-- 1 root root 96575488 Apr 19 2022 compress.imgdrwxr-xr-x 6 root root 4096 Apr 19 2022 etc_writable-rw-r--r-- 1 root root 139 Apr 19 2022 filechecksum-rw-r--r-- 1 root root 35655 Apr 19 2022 filelist-rw-r--r-- 1 root root 327 Apr 19 2022 fwversion-rw-r--r-- 1 root root 8375 Apr 19 2022 wtpinfo
这里是宿主机提取 compress.img
得到 squashfs-root
截图。
图2-7 镜像中提取出文件系统
拿到固件就可以开开心心进行漏洞复现和分析啦。
参考文章中不仅提到了固件提取,还进行了密码分析。读者如果感兴趣可以跟着继续深度学习,这里只是将实操过程中的步骤进行更详细的展示,也是一次学习过程的笔记记录。
3 参考链接
参考资学完了前面三个程序后,可以说已经入门了单片机开发,能进行以下几种基础操作:控制端口输出,编写中断函数,通过uart口输出调试信息。
[1]Zyxel固件提取和密码分析
https://security.humanativaspa.it/zyxel-firmware-extraction-and-password-analysis/
[2] MIPS ABI n32意味着什么
https://www.cnblogs.com/yorkwoo/p/4709772.html
作者名片
往 期 热 门
(点击图片跳转)
戳“阅读原文”更多精彩内容!