[+]redrain//**/

汪汪汪

Embedded devices hacking --IPCAM hacking

Embedded devices hacking

--IPCAM hacking

authou:redrain

之前发在360播报平台http://bobao.360.cn/learning/detail/84.html,现在放回到博客做下记录

  • 主要分析流程

    通过binwalk分析识别固件文件

    分离提取固件

    把提取的elf载入到分析软件(IDA)

    开始分析研究吧~

binwalk和fmk学习

  • binwalk

    binwalk xxx.bin

    binwalk output screenshot (image unavailable)

    最简单的分析命令,通过签名匹配来识别固件中的文件,可是单单通过这样的简单匹配可能有其他的文件类型不能识别,所以有时可以使用插件--enable-plugin=***

    可以从图中看出,0x32E8的便宜位置是gzip的压缩包文件,0x8A6A88的便宜位置是linux内核镜像的头部,可以看到他的一些信息

    binwalk xxx.bin --dd=类型:保存下来的扩展名

    这样,会把gzip的文件保存到本地以.gzip命名

    也可以用binwalk自动化递归提取binwalk xxx.bin -eM

    之后iou就可以通过解包等行为分析我们提取出来的文件了,不过,在一些简单的分析情况下,我们这样识别,分析,提取,过滤,解包,有些繁杂,此时就可以用fmk来帮我们很快的完成这些工作

    p.s. 除了通过binwalk的内置函数进行提取,我们还可以通过dd命令来提取文件

    dd if=xxx.bin bs=1 skip=[***] count=[***] of=outfilename

  • firmware-mod-kit

通过svn安装fmk,我们来认识一下这个套件用到的东西

extract-firmware.sh使用来解包固件

build-firmware.sh使用来重新封包

check_for_upgrade.sh用来检查更新

unsquashfs_all.sh使用来解包提取出来的squashfs文件

./extract-firmware.sh xxx.bin

可以很方便的帮我们提取文件

之后,我们可以在当前目录的fmk下找到提取出来的文件

logs目录下还给我们提供了binwalk的log

rootfs下就是固件解包提取的文件了

IPCAM hacking

网络摄像头hacking其实和其他嵌入式设备hacking类似,尤其和各种路由器的玩法相似,我们此处简要以一个运用非常广泛的网络摄像头为例,3s的摄像头,在分析中,我发现了其厂商自带的后门以及一个RCE,篇幅所限,第一篇笔记我们只提到后门(其实就是懒,不想码字...)

通过上述过程解包提取文件,在/home/3s/bin/ 下,找到了他的webservice-httpd,在/home/3s/www/ 下是他的源码

将httpd丢入IDA

很快看到有奇怪的东西乱入了...system.anonymousptz....why are u so diao

官方后门get,shodan上搜一搜发现在今年上半年已经有老外发过了,但是貌似这个后门至今3s公司依旧在其他的摄像头型号里使用...给跪

影响所有N10xx到N50xx型号的摄像头

留一笔下篇笔记写这批型号摄像头的Remote Command Execution

Last

本文属于介绍科普向,作为Embedded devices hacking的记录开端

hacking 4 fun :)

Tagged in: hacking, embedded devices, ipcam
comments powered by Disqus