0x01前言
本文主要介绍在研究路由器固件安全时常用的两种调试方法,分别是IDA远程调试和gdb远程调试。这里需要注意,由于路由器基本都是mips架构,所以下文是以mips为例展开的,不过如果碰到了arm的,也是同理的。
0x02
IDA Pro远程调试
使用qemu-system模式运行的脚本如下:
这里涉及的两个文件分别是内核文件和磁盘镜像文件
这里注意,我们这里涉及到的固件是大端格式的,如下所示:
所以是用*mips,而不是*mipsel
为了后面的调试,我们还需要准备好gdbserver,可以自己编译,不过我建议使用网上已经静态编译好的gdbserver。这里给出rapid7放出来的:
https://github.com/rapid7/embedded-tools
这次用到的是大端的,所以使用gdbserver.mipe即可
在运行该脚本之前,除了准备好这两个文件之外,还要执行下图的命令
将其复制到当前目录下
此时路径下的文件包括:
这样就可以启动了
启动成功后如图所示
输入root/root即可
查看ip
将之前提取出的文件系统通过scp上传到机器上
再将gdbserver上传
回到debian看到上传成功
然后将gdbserver复制到squashfs-root目录下
接下来挂载根文件系统
这样,文件系统在mips系统中就成功挂载并运行了
接下来通过gdbserver进行远程调试:
命令中的ip就是debian的ip,端口号自行设置,后面跟着的是要调试的程序
然后在win中打开ida,载入本地的cgibin,在main下断点
接着debugger->select a debugger
选择remote gdb debugger
点击ok即可
debugger->process options
上面填入在debian中的路径,下面是ip以及对应的端口,点击ok即可
debugger->attach to process
选择第一个,点击ok后,即可进行调试
点击左上角的箭头后,就会自动运行,命中下的断点
说明调试环境已经搭建好了。
0x03
GDB远程调试
打开两个终端:
一个终端使用qemu-user模式运行stack_bof_01
与直接运行不同,这里通过-g指定了端口
接下来在另一个终端通过gdb调试
-multiarch是为了支持其他架构用的,比如我们这里的mips架构
接下来首先设置架构为mips
然后设置ip和端口
通过pwndbg的扩展,我们就可以很方便的进行调试了
0x04
看完这篇文章,其实大家都知道我的重点放在了ida动态调试上,个人觉得这是最可靠的调试方案。不过这期间涉及到的功能实现都是有很多方案可以备选的:比如在上传文件系统,gdbserver到debian时我用的scp,当然还可以用其他的,ftp也可以,用python也行(python -m SimpleHTTPServer)
如果是新手看到这篇文章的话,一定要注意,文中我虽然是qemu-system模式和IDA远程调试结合进行分析,qemu-user模式和gdb-multiarch结合进行分析。但是实际上,是可以自由组合的。另外,radare2也是可以用于mips的调试的,但是就我个人经验而言没有必要,所以就不再介绍。
最后给出一篇扩展的文章:https://www.ringzerolabs.com/2018/03/the-wonderful-world-of-mips.html
里面介绍了qemu的两种模式仿真,与radare2本地/远程调试,gdb远程/本地调试,ida远程调试等一共九种组合方案的实现。学有余力的话可以去看看。