欢迎来到 黑吧安全网 聚焦网络安全前沿资讯,精华内容,交流技术心得!

逆向破解研究探讨Aura睡眠闹钟

来源:本站整理 作者:佚名 时间:2017-09-20 TAG: 我要投稿

你会发明,本来这个嵌入式Linux体系中的一切文件咱们都可以或许拜访到!我做的第一件工作固然便是反省/etc/shadow文件的内容啦!我起首测验考试用John the Ripper来破解暗码,但几分钟以后我废弃了,由于我感到暗码非常的繁杂。
FPKG文件格局
既然一切的文件我都可以或许拜访到,以是咱们应当可以或许懂获得FPKG布局。跟固件更行和FPKG文件无关的函数存在于两个同享库中,即libfpkg.so和libufw.so。在停止了一些反编译工作以后,我获患了如下图所示的文件布局。

对付此类文件布局的先容可以或许参考这份【ksy文件】。
将这类文件布局应用到以前我所获获得的文件中:

这份文件是颠末署名的,以是我还无奈用它来更新我的固件。
拿到Root SSH拜访权
在获得固件镜像以后,接下来便是要拿到SSH拜访权了。我对代码的运转状况停止了察看,而后测验考试从中寻找到网安漏洞破绽bug。
目次遍历进击
此中有一个名叫seqmand的保卫进程引起了我的留意。seqmand卖力从长途办事器主动下载音频文件,它的工作机制如下:
1.       装备启动时,seqmand会下载一个csv文件:
GET /content/aura/sequences-v3/aura_seq_list.csv HTTP/1.1
Host: XXXXXXXXXXXXXXXXXXX
Accept: */*
2.       aura_seq_list.csv文件大抵如下所示:

3.       对付csv中的每一行,seqmand都邑将相应的文件下载到一个暂时目次中:
download "http://XXXXXXX/content/aura/sequences-v3/WAKEUP_4/v3_audio_main_part_2.mp3" to "/tmp/sequences/WAKEUP_4/v3_audio_main_part_2.mp3"
download "http://XXXXXXX/content/aura/sequences-v3/WAKEUP_4/v3_audio_main_part_1.mp3" to "/tmp/sequences/WAKEUP_4/v3_audio_main_part_1.mp3"
download "http://XXXXXXX/content/aura/sequences-v3/WAKEUP_3/v3_audio_main_part_2.mp3" to "/tmp/sequences/WAKEUP_3/v3_audio_main_part_2.mp3"
4.       暂时文件终极会被挪动到/usr/share/sequences文件夹中。
我将seqmand的HTTP哀求重定向到了我自己搭建的HTTP办事器,而后供给了一个自定义的aura_seq_list.csv文件。接下来,我敏捷发明了目次遍历进击也许是可行的。
比如说,假如我应用如下csv文件,此中包括一个test文件和有用的MD5值:

seqmand将会实现如下义务:

download "http://XXXXXXX/content/test" to "/tmp/sequences/WAKEUP_42/../../../test"
我应用一个动态编译的qemu在笔记本电脑上仿照了一个保卫进程,并创立了一个/test文件。起首,我想要用我自己的暗码重写/etc/shadow文件:

目次遍历PoC
在阐发的进程中我发明,操纵体系运转在一个只读分区中,但其他的部门照样可写的。下面的代码来自于/etc/init.d/prepare_services剧本:

/var/service/sshd/的内容如下所示:

运转的文件算是一个启动剧本,当办事启动以后该剧本也会被履行,而supervice/目次下的一切法式都将可以或许与办事进程交互。接下来,我筹备重写/var/service/sshd/run剧本。然则这还远远不敷,由于该剧本只会在装备启动时运转,以是我根本来不及重写它。我的想方法强迫SSH保卫进程重启,比如说如许;
$ echo k > /var/service/sshd/supervise/control
$ echo u > /var/service/sshd/supervise/control
此时我就能够或许停止并重启sshd办事,并再次运转剧本了。
接下来,我所应用的csv文件如下:

我的办事器托管了如下运转文件:

不出所料,进击是胜利的,我也拿到了root SSH拜访权,我所应用的剧本可以或许点击【这里】获得。

上一页  [1] [2] [3]  下一页

【声明】:黑吧安全网(http://www.myhack58.com)登载此文出于传递更多信息之目的,并不代表本站赞同其观点和对其真实性负责,仅适于网络安全技术爱好者学习研究使用,学习中请遵循国家相关法律法规。如有问题请联系我们,联系邮箱admin@myhack58.com,我们会在最短的时间内进行处理。
  • 最新更新
    • 相关阅读
      • 本类热门
        • 最近下载