海康智能分析服务器设置,【胖猴小玩闹】智能门锁与网关：海康萤石智能门锁的网关分析（三）...

1&＃xff0e;简介

本篇是关于海康萤石智能网关分析的第3篇&＃xff0c;在中&＃xff0c;我们完成了固件编辑和重打包工作。在我们自己修改的固件中&＃xff0c;海康萤石的智能网关上电启动之后会运行telnetd&＃xff0c;此后我们只要通过telnet远程连接网关即可使用shell&＃xff0c;不需要再连接不稳定的串口了。

继续上一篇的内容&＃xff0c;我们从本篇开始分析智能网关里面的关键应用&＃xff0c;研究一下智能网关到底与服务器通信了什么内容。

2&＃xff0e; 程序逆向分析

2.1 预处理

在海康萤石智能网关中执行ps指令&＃xff0c;查看所有正在运行的程序&＃xff0c;通过简单的排除法&＃xff0c;就可以确定我们要分析主程序是&＃xff1a;’/dav/davinci’(达芬奇&＃xff1f;达文西&＃xff1f;)&＃xff0c;如下图所示&＃xff1a;

图2-1 固件中运行的所有进程

通过逆向分析davinci程序&＃xff0c;我们可以发现该程序是有运行日志的&＃xff0c;只是把不重要的日志屏蔽了(debug、verbose等)&＃xff0c;只输出了较为严重的日志内容(fatal、error等)。那么我们修改几条指令&＃xff0c;使其跳过对日志严重程度的判断&＃xff0c;如下图&＃xff1a;

图2-2 patch日志输出代码

除了输出日志的函数需要patch之外&＃xff0c;还有另一个函数也需要做一些调整。davinci在启动之后&＃xff0c;初始化了一个线程操作看门狗&＃xff0c;该线程会不断向/dev/watchdog进行写操作。如果一段时间内/dev/watchdog没有收到任何数据&＃xff0c;那么整个设备就会重启。由于我们计划调试davinci程序&＃xff0c;如果在调试过程中&＃xff0c;触发断点导致看门狗线程挂起&＃xff0c;那么整个系统就会重启。为此&＃xff0c;我们先把该线程patch掉&＃xff0c;然后再弄一个写入/dev/watchdog的小脚本&＃xff0c;用以专门喂狗防止重启。相关位置的代码截图如下&＃xff1a;

图2-2 patch watchdog相关代码

喂狗的小脚本内容如下&＃xff1a;

图2-3 喂狗小脚本

相信脚本内容一眼就能够看懂&＃xff0c;所以我们不做太多的解释了。此外&＃xff0c;还有个guard.sh也是用于检测davinci程序是否运行的&＃xff0c;但它不影响我们的操作&＃xff0c;所以就不讨论该脚本了&＃xff0c;有兴趣的读者可以去看看。

完成上述操作之后&＃xff0c;就可以把被patch的davinci上传至海康萤石的智能网关&＃xff0c;此处我们不再采用烧录固件的方法&＃xff0c;因为过于麻烦。通过翻阅该设备的文件系统&＃xff0c;可以在设备中发现tftp程序&＃xff0c;这是一个使用tftp协议传输文件的程序&＃xff0c;可以用它从tftpd服务器上传或下载文件。我们使用从这个链接下载到的tftpd程序&＃xff1a;http://tftpd32.jounin.net/tftpd64_download.html&＃xff0c;运行后&＃xff0c;调整tftpd服务器的文件目录和监听网卡&＃xff0c;如下图&＃xff1a;

图2-4 配置tftpd程序

上图中&＃xff0c;被patch的davinci程序就在红框标识的目录中。然后在智能网关设备中使用tftp程序获取相关文件即可&＃xff0c;相关命令截图如下&＃xff1a;

图2-5 使用tftp下载文件

待相关文件下载到海康萤石的设备中之后&＃xff0c;就可以运行FeedWatchdog.sh脚本开始喂狗&＃xff0c;然后终止原本的davinci进程&＃xff0c;接着删除/home/pidfile文件&＃xff0c;该文件相当于互斥体&＃xff0c;用于控制davinci仅运行了一次&＃xff0c;最后启动我们自己的davinci_1进程&＃xff0c;相关命令如下&＃xff1a;

图2-6 启动patch之后的davinci进程

待程序运行一段时间之后&＃xff0c;就可以查看程序的运行日志&＃xff0c;然后通过日志分析程序的各种行为。

2.2 日志分析

待程序运行一段时间之后&＃xff0c;就会在‘/applog/devlog’目录下生成日志文件&＃xff0c;每个文件500KB左右&＃xff0c;如下图所示&＃xff1a;

图2-7 程序运行时生成的日志

用tftp程序将日志取回&＃xff0c;然后打开程序日志&＃xff0c;在日志中搜索litedev.ys7.com&＃xff0c;这个地址是智能网关上电之后第一个访问的地址&＃xff0c;我们在本专题第9篇&＃xff0c;也就是分析海康萤石智能网关的第一篇中介绍过。搜索结果如下图&＃xff1a;

图2-8 与litedev.ys7.com有关的日志

上图中&＃xff0c;我们可以看到由litedev.ys7.com解析而来的ip地址&＃xff1a;115.231.107.14&＃xff0c;这与我们用wireshark抓包时得到的结果是相同的。

继续翻看日志&＃xff0c;在距离图2-8不远的地方&＃xff0c;可以看到另一条日志&＃xff0c;看起来像是与海康萤石MQTT服务器相关的日志内容&＃xff0c;截图如下&＃xff1a;

图2-9 与MQTT服务器有关的日志

从图中&＃xff0c;我们可以看到另一个ip地址&＃xff1a;101.71.30.172&＃xff0c;该地址同样与我们wireshark抓包的结果吻合。MQTT通信协议是构建于TCP/IP协议之上的一种轻量级通信协议&＃xff0c;经常出现在IoT设备系统中设备端与云端的通信过程中。

结合这两条日志内容和wireshark的抓包结果&＃xff0c;我们可以进一步确认设备的工作流程&＃xff1a;与litedev.ys7.com通信&＃xff0c;获取了MQTT服务器的地址&＃xff1b;然后与MQTT服务器通信&＃xff0c;实现设备的逻辑功能。

在图2-8和图2-9中&＃xff0c;我们分别用红框标识了一个关键字符串。在海康萤石智能网关的文件系统中&＃xff0c;二进制搜索其中一个字符串“lbs_connect”&＃xff0c;确认该字符串出现在libmicrokernel.so.1中。用IDA加载该so文件&＃xff0c;可以发现此动态链接库中&＃xff0c;有一个函数名字即为lbs_connect&＃xff0c;查找该函数的交叉引用&＃xff0c;可以看到有多处代码调用了此函数&＃xff0c;我们随便找一处点开看下&＃xff0c;如下图所示&＃xff1a;

图2-10 调用lbs_connect函数

可以看到在lbs_connect函数返回成功之后&＃xff0c;就会调用send_authentication_i函数。这个函数看起来就是加密和认证相关的函数。

3&＃xff0e; 程序调试

找到了关键点之后&＃xff0c;就需要进一步分析这些函数的功能和作用了。在本专题之前的文章中&＃xff0c;我们都是纯静态分析&＃xff0c;所以在本篇中&＃xff0c;我们就不再单纯地进行静态分析&＃xff0c;而是想办法调试一下这个程序。

对于嵌入式Linux操作系统&＃xff0c;我们通常选用gdb和gdbserver作为调试工具。gdb是一个应用非常广泛的调试器&＃xff0c;在以后的文章中也会反复出现&＃xff0c;其全称是GNU Project Debugger&＃xff0c;其官网是https://www.gnu.org/software/gdb/&＃xff1b;gdbserver是gdb的一部分&＃xff0c;常用于解决交叉编译环境下的远程调试问题。我们可以直接在设备上使用gdb进行本地调试&＃xff0c;但gdb程序体积比较大&＃xff0c;而且直接在设备上运行gdb会有很多不方便的地方&＃xff0c;所以我们选择通过gdbserver进行远程调试。为了完成调试工作&＃xff0c;我们首先需要一个可以运行在海康萤石智能网关设备上的gdbserver程序。

在此前关于海康萤石智能网关分析的第二篇文章中&＃xff0c;我们下载了MT7688 SDK相关的资料。在进一步翻阅相关的资料之后&＃xff0c;我们发现官方MT7688开发板是内置了gdbserver程序。因此&＃xff0c;我们下载了官方提供的固件包&＃xff0c;并用binwalk提取了固件内容&＃xff0c;最后找到了gdbserver程序。但此gdbserver程序运行之后没有任何输出&＃xff0c;推测是官方定制了gdbserver的代码&＃xff0c;导致我们无法使用该程序调试&＃xff0c;截图如下&＃xff1a;

图3-1 官方gdbserver无法使用

所以&＃xff0c;就只能去找一找有没有其他可以正常运行在海康萤石智能网关中的gdbserver程序了&＃xff0c;毕竟自己编译一个有点太麻烦了。幸运的是&＃xff0c;在rapid7官方github账户上有一些已经编译好的gdbserver程序&＃xff0c;链接如下&＃xff1a;https://github.com/rapid7/embedded-tools/tree/master/binaries/gdbserver&＃xff0c; 我们选择下载mipsle版本的gdbserver。截图如下&＃xff1a;

图3-2 rapid7官方github页面中的embedded-tools仓库

下载完毕之后&＃xff0c;通过tftp下载至海康萤石智能网关的设备中&＃xff0c;并尝试执行此程序。截图如下&＃xff1a;

图3-3 执行gdbserver.mipsle程序

程序没有报错&＃xff0c;看来是可以顺利执行的。接下来就用此程序开始调试吧。

首先&＃xff0c;使用 gdbserver启动davinci。如果直接用 gdbserver附加davinci进程&＃xff0c;很可能会错过davinci程序与服务器通信的认证过程。所以我们直接使用gdbserver启动程序&＃xff0c;这样一来&＃xff0c;在远程调试器连接之前&＃xff0c;davinci程序将处于挂起状态。命令如下&＃xff1a;

图3-4 通过gdbserver启动程序

此时&＃xff0c;gdbserver就开始监听23946端口&＃xff0c;等待远程调试器的连接。

接下来&＃xff0c;我们可以选择gdb或IDA作为远程调试器连接gdbserver。IDA提供图形界面&＃xff0c;可以帮助我们理解程序的逻辑&＃xff1b;但gdb要更稳定&＃xff0c;可以有效避免IDA调试时出现的奇怪错误。我们这里直接选择gdb作为远程调试器&＃xff0c;在后续的文章中会有介绍用IDA作为调试器的例子。

由于我们需要调试的是MIPS指令集的程序&＃xff0c;而gdb默认情况下&＃xff0c;仅支持调试与当前环境采用相同指令集的程序(i386)&＃xff0c;所以我们需要安装可以调试MIPS指令集的gdb程序。安装方法比较简单&＃xff0c;直接输入sudo apt install gdb-multiarch即可。还可以给gdb程序加一个pwndbg插件&＃xff0c;用于辅助我们的调试工作&＃xff0c;该插件的官方地址是&＃xff1a;https://github.com/pwndbg/pwndbg&＃xff0c;只需要下载下来&＃xff0c;然后运行./setup.sh即可。此插件并非必需品&＃xff0c;但是推荐装上。

完成gdb的配置工作之后&＃xff0c;就可以使用gdb连接gdbserver开始远程调试了。gdb的调试命令非常多&＃xff0c;可以直接搜索到很多整理好的常用命令&＃xff0c;在这里&＃xff0c;我们就遇见什么指令就解释什么指令吧。运行gdb-multiarch&＃xff0c;截图如下&＃xff1a;

图3-5 运行gdb-multiarch程序

上图中&＃xff0c;我们分别设置architecture为MIPS&＃xff0c;读取davinci的符号文件&＃xff0c;在main函数设置断点&＃xff0c;并连接远程的gdbserver&＃xff0c;关键位置已用绿框圈出。然后&＃xff0c;我们用快捷键c(continue)&＃xff0c;让程序开始执行&＃xff0c;截图如下&＃xff1a;

图3-6 程序运行到main时中断

上图中&＃xff0c;红框部分表示触发了main函数中的断点。此时&＃xff0c;我们加载libmicrokernel.so.1的符号文件&＃xff0c;同样用file命令&＃xff0c;就不截图了。然后&＃xff0c;我们在lbs_connect函数下个断点&＃xff0c;并继续执行程序&＃xff0c;如下图&＃xff1a;

图3-7 在lbs_connect函数下断点

稍等片刻&＃xff0c;就会看到程序断在lbs_connect函数中&＃xff0c;等待我们的调试命令&＃xff0c;截图如下&＃xff1a;

图3-8 程序命中lbs_connect断点

从图中可以看到&＃xff0c;程序是从lbs_redirect调用过来的&＃xff0c;可以在外层函数下断点&＃xff0c;继续调试&＃xff0c;帮助我们理解程序的逻辑&＃xff0c;但是本篇内容先到此为止。

4&＃xff0e; 小结

从本篇起&＃xff0c;我们开始分析海康萤石智能网关的固件程序。在我们的分析过程中&＃xff0c;程序的日志给我们提供了很多帮助。借助日志的输出内容&＃xff0c;我们很快定位到了通信加密相关的代码。接着为了进一步研究设备是如何认证和加密的&＃xff0c;我们尝试使用gdb和gdbserver调试固件中的程序。关于进一步的分析内容将在下一篇分析中展开讨论。

作者&＃xff1a;Yimi Hu & Light &＃64; PwnMonkeyLabs