0×01：前言

pwn的學習有一段時間了，今天來看看IOT的一些知識。此篇文章會介紹IOT相關的基礎知識，固件的概念以及IOT設備的文件系統，如何利用工具分析IOT設備。

[[418413]]

0×02：正文

1)物聯網設備層次模型看網絡風險

• 物理感知層(固件提取)
• 通信層
• 管理控制層

2)攻擊者角度看IOT信息收集

• 端口掃描
• 流量抓取、分析(外部嗅探、內部調試)
• 功能點評估

端口掃描中，我們可以注意一些私有協議，來進行分析。

所需技能

• 二進制逆向分析
• 滲透測試
• 硬件焊接

工具：IDA/Ghidra

流量分析：wireshark

固件分析攻擊：binwalk/qemu

固件概念

我們可以把他簡單的理解為操作系統。

固件的組成

Bootloader： 最開始運行的軟件，初始化硬件設備，建立內存空間映射圖，調節嵌入式的軟硬件。

內核：操作系統最基本的部分。

根文件系統：內核啟動時所mount的第一個文件系統，內核代碼映像文件保存在根文件系統中。

嵌入式固件使用的系統大部分為linux系統，存在的目錄：

/bin目錄

• 目錄下的命令在掛接其他文件系統之前就可以使用，所以/bin目錄必須與根文件系統在一個分區中。

/dev目錄

• 設備與設備接口的文件，設備文件是linux中特有的文件類型。

/etc目錄

• 系統主要的配置文件。root權限才有修改權限。

/lib

• 共享庫和驅動程序，共享庫用于啟動系統。 運行根文件系統中的可執行程序。

/var

• /var目錄中存放可變的數據，比如spool目錄(mail,news)，log文件，臨時文件。

/proc

• 空目錄，常作為proc文件系統的掛接點，proc文件系統是個虛擬的文件系統。

固件提取

binwalk提取固件

binwalk可以掃描許多不同嵌入式文件類型和文件系統的固件映像，只需給他一個要掃描的Binkwalk +文件 -e 對此文件進行分離。

提取出的內容會存放在.extracted文件里，其中squashfs-root就是我們想要的該固件的文件系統。

進入分離出來的固件系統

Squashfs文件系統簡介：

squashfs可以將整個文件系統或者某個單一的目錄壓縮在一起, 存放在某個設備, 某個分區或者普通的文件中。

沒有binwalk情況下提取固件：

1.利用hexdump 搜索hsqs的地址

hexdump -C RT-N300_3.0.0.4_378_9317-g2f672ff.trx | grep -i 'hsqs' 

2.利用dd命令截取地址之后的數據，保存到新文件中

if=RT-N300_3.0.0.4_378_9317-g2f672ff.trx bs=1 skip=925888 of=rt-n300-fs 

不識別16進制，因此我們轉換為10進制

3.最后，使用unsquashfs rt-n300-fs命令解析rt-n300-fs文件，得到的squashfs-root就是固件系統

unsquashfs rt-n300-fs 

此種方法與binwalk提取固件的結果是相同的。

靜態分析IOT的固件

拿到一個固件壓縮包，解壓之后發現了很多YAFFS2文件

我們利用binwalk對其進行分離

或者這里再介紹一個工具unyaffs

然后查看分離出來的文件

利用find命令查看 .conf配置文件

find . -name '*.conf' 

在/etc/inadyn-mt.conf下找到了賬號密碼

然后又看看/etc/shadow發現了root賬號和密碼

查看進程，這里有一個程序

用IDA打開

只要連接該固件的39889端口并發送HELODBG的字符串，就可以進行RCE。

0×03：總結

最近研究了IOT中固件的提取以及如何靜態分析固件，IOT的前期準備工作并不太難，在學習路程中發現需要的各方面機能很多，流量分析、電子取證、匯編與反匯編等技能也都是必不可少的，所以要廣學知識，提升自己的技能。