Исследование прошивки Mi Router 4A Giga Version. Получение интерфейса командной оболочки Linux

Приветствую вас, дорогие читатели! Сегодня хочу рассказать вам о том, как я получил интерфейс командной оболочки Linux у wi-fi роутера Mi Router 4A Giga Version:

Рисунок 1 – wi-fi роутер

Рисунок 1 — wi-fi роутер

Разбор роутера и подключение к ноутбуку

Для начала я разберу роутер, чтобы определить какие порты, чипы и т. д. расположены на его плате:

Рисунок 2 - Материнская плата с компонентами wi-fi роутера

Рисунок 2 — Материнская плата с компонентами wi-fi роутера

Из интересного было обнаружено:

  • Порт UART:

    Рисунок 3 - UART порт

    Рисунок 3 — UART порт

  • Чип 25Q127CSIG (SPI):

    Рисунок 4 - Чип 25Q127CSIG

    Рисунок 4 — Чип 25Q127CSIG

После внимательного изучения платы я подключил роутер к ноутбуку, используя UART порт, чтобы определить, какая информация по нему передается. Для этого я припаял провода к UART порту:

Рисунок 5 - Припаянные провода к UART порту

Рисунок 5 — Припаянные провода к UART порту

а другой конец подключил к PL2303:

Рисунок 6 - Подключение проводов к PL2303

Рисунок 6 — Подключение проводов к PL2303

Затем установил на Windows 7 драйвер PL2303 и Putty:

Рисунок 7 - Драйвер и Putty

Рисунок 7 — Драйвер и Putty

Далее подключился к wi-fi роутеру с помощью Putty. Для этого необходимо проделать следующие шаги:

  1. Включить wi-fi роутер.

  2. Подключить PL2303 к ноутбуку:

    Рисунок 8 - Подключение PL2303 к ноутбуку

    Рисунок 8 — Подключение PL2303 к ноутбуку

  3. Выбрать параметры в Putty и нажать «Open»:

    Рисунок 9 - Выбор параметров Serial line = COM3(От компьютера к компьютеру может отличаться COM* порт), Speed = 115200, Connection type = Serial в Putty и нажатие

    Рисунок 9 — Выбор параметров Serial line = COM3(От компьютера к компьютеру может отличаться COM* порт), Speed = 115200, Connection type = Serial в Putty и нажатие «Open»

    После нажатия кнопки «Open» в Putty, можно увидеть процесс загрузки прошивки wi-fi роутера, но есть проблема — нет возможности передать информацию с помощью Putty. В следствие чего я не могу повлиять на процесс загрузки прошивки, выбрав один из пунктов меню (Рисунок 10), а также нет интерфейса командной оболочки после завершения загрузки прошивки (Рисунок 11).

    Рисунок 10. Пункты меню

    Рисунок 10. Пункты меню

    Рисунок 11. Конец загрузки прошивки

    Рисунок 11. Конец загрузки прошивки

Дамп прошивки

Чтобы решить проблему передачи информации с помощью Putty и последующего выбора одного из пунктов меню, я сделал дамп прошивки и изучил его. Итак, для дампа прошивки я подключил прищепку-коннектор к чипу 25Q127CSIG (SPI), как изображено на рисунке, красный провод к первой ноге чипа. Первая нога чипа там, где изображен круг на чипе 25Q127CSIG (SPI):

Рисунок 12 - Подключение прищепке-коннектор

Рисунок 12 — Подключение прищепке-коннектор

, а другой конец прищепки-коннектора подключил к программатору EZP2019+ через переходник:

Рисунок 13 - Подключение другого конца прищепки-коннектора к EZP2019+

Рисунок 13 — Подключение другого конца прищепки-коннектора к EZP2019+

а сам EZP2019+ к ноутбуку:

Рисунок 14 - Подключение EZP2019+ к ноутбуку

Рисунок 14 — Подключение EZP2019+ к ноутбуку

Далее установил на Windows 7 драйвер для EZP2019+ и EZP2019+.exe:

Рисунок 15 - Драйвер и EZP2019+.exe

Рисунок 15 — Драйвер и EZP2019+.exe

Затем запустил EZP2019+.exe и выбрал чип 25Q127C. Но так как его нет в списке, я взял ближайший к нему по характеристикам, под номером 25Q128C:

Рисунок 16 - Выбор чипа в EZP2019+.exe

Рисунок 16 — Выбор чипа в EZP2019+.exe

Потом нажал на кнопку «READ» в программе EZP2019+.exe, дождался, когда прошивка считается, и сохранил в файл spi.bin.

Исследование прошивки

После получения дампа прошивки, я приступил к его исследованию.  Начал с поиска места проверки вводимого через консоль числа, так как есть предположение, что пункт »3: Boot system code via Flash (default)» имеет константное значение, из-за чего я не могу выбрать любой другой пункт меню (Рисунок 17).

Рисунок 17 - Пункты меню

Рисунок 17 — Пункты меню

Когда я открыл файл spi.bin с помощью  binwalk, меня заинтересовала строка «U-Boot version string, «U-Boot 1.1.3 (Aug 18 2020 — 11:10:29)» (Рисунок 18) по смещению 0×17DA0 от начала файла spi.bin. Эта строка указывает на то, что секция загрузчика в этой прошивке U-Boot.

Рисунок 18 – Открытие файла spi.bin с помощью  binwalk

Рисунок 18 — Открытие файла spi.bin с помощью  binwalk

Далее нашел начало секции загрузчика U-Boot в файле spi.bin. Эту информацию я узнал, посмотрев на процессе загрузки прошивки wi-fi роутера в Putty. В момент загрузки прошивки wi-fi роутера, я увидел, что U-Boot от компании Ralink версии 5.0.0.0 (Ralink UBoot Version: 5.0.0.0). Поискав в интернете данную версию, я нашел проект на github (https://github.com/cidermole/ralink-uboot), в котором есть описание начала секции загрузчика U-Boot. Сверив свое начало файла с проектом на github, я пришел к выводу, что они совпадают (Рисунок 19). Значит это — начало секции загрузчика U-Boot в файле spi.bin по смещению 0×00000000.

Рисунок 19 - Начало секции

Рисунок 19 — Начало секции

Следом я открыл файл spi.bin в IDA Pro, но перед тем, как это сделать, определил архитектуру (x86, x64, ARM, MIPS) файла spi.bin. Это можно сделать, взяв любой бинарный файл из файла spi.bin. Для этого воспользовался binwalk с параметрами –Me:

  • -M — рекурсивное сканирование извлеченных файлов.

  • -e —  автоматическое извлечение известных типов файлов.

    Рисунок 20 - binwalk

    Рисунок 20 — binwalk

После выполнения команды binwalk –Me создается директория _spi.bin.extracted, в которой можно найти исполняемые файлы операционной системы Linux, одним из которых является wpad:

Рисунок 21 - wpad

Рисунок 21 — wpad

Этот файл я открыл с помощью IDA Pro x86 и посмотрел, какие параметры выбирает IDA Pro:

Рисунок 22 - Открытие wpad в IDA Pro

Рисунок 22 — Открытие wpad в IDA Pro

Узнав, какие параметры выбирает IDA Pro в момент открытия файла wpad, я могу открыть файл spi.bin в IDA Pro x86 с такими же параметрами (Рисунок 23).

Рисунок 23  - Открытие spi.bin в IDA Pro

Рисунок 23 — Открытие spi.bin в IDA Pro

После того как я открыл файл spi.bin в IDA Pro, его необходимо разметить (преобразовать из байт кода в читабельный ассемблерный (assembler) код). Во-первых, я отсчитал от начала файла 0×1000 байт, чтобы не наткнуться на служебную область. Во-вторых, выделил несколько тысяч байт, например, с 0×1000 до 0×4000. Это необходимо для того, чтобы IDA Pro могла автоматически преобразовать из байт кода в ассемблерный код   (Рисунок 24):

Рисунок 24 – Начало и конец выделенного участка

Рисунок 24 — Начало и конец выделенного участка

И нажал на клавиатуре «C», чтобы появилось диалоговое окно, и следом нажал на кнопку «Analyze»:

Рисунок 25 - Analyze

Рисунок 25 — Analyze

В результате получил ассемблерный код:

Рисунок 26 - Assembler code

Рисунок 26 — Assembler code

Дальше необходимо понять, какой Imagebase (это базовый адрес загрузки программы) для того, чтобы IDA Pro могла создать перекрёстные ссылки (это информация о том, где в коде используется функция или строка), относящиеся к строкам и функциям. Это можно сделать, посмотрев на dword (Рисунок 27) или посмотреть в hex-rays (это функциональная возможность IDA Pro, позволяющая конвертировать assembler code в псевдо-код,  наподобие языка программирования С) (Рисунок 28). Чтобы перейти в hex-rays, необходимо нажать на клавиатуре «F5».

Рисунок 27 – Поиск Imagebase в dword

Рисунок 27 — Поиск Imagebase в dword

Рисунок 28 - Поиск Imagebase в hex-rays

Рисунок 28 — Поиск Imagebase в hex-rays

Из вышесказанного (Рисунок 27, Рисунок 28), можно сделать вывод, что Imagebase начинается с 0xBFC*, а вот четвертый байт я нашел перебором от 0 до 9. Правильный байт можно определить, посмотрев на строки, они должны преобразоваться в следующий вид и иметь перекрестные ссылки (Рисунок 29).

Рисунок 29 – Корректные строки

Рисунок 29 — Корректные строки

Теперь необходимо изменить Imagebase в IDA Pro. Для этого я перешёл в Edit → Segments → Rebase program… и изменил Imagebase на 0xBFC10000:

Рисунок 30 - Rebase program

Рисунок 30 — Rebase program

Далее приступил к решению проблемы в передаче информации с помощью Putty и последующем выборе одного из пунктов меню. Начал я с поиска строки »3: Boot system code via Flash (default)» в файле spi.bin с помощью IDA Pro:

Рисунок 31 – Найденная строка в IDA Pro

Рисунок 31 — Найденная строка в IDA Pro

Затем я нажал на aDBootSystemCod (Рисунок 32).

Рисунок 32 - Нажатие на aDBootSystemCod

Рисунок 32 — Нажатие на aDBootSystemCod

и следом нажал на клавиатуре «X», затем появляется окно, в котором можно увидеть, где используется данная строка.

Рисунок 33 - Место использования строки

Рисунок 33 — Место использования строки «Boot system code via Flash (default).»

Потом нажал на строчку sub_BFC028C0+6C (Рисунок 33) и провалился в функцию sub_BFC028C0:

Рисунок 34 - Функция sub_BFC028C0

Рисунок 34 — Функция sub_BFC028C0

Дальше нажал на функцию sub_BFC028C0 (Рисунок 34), затем на клавиатуре «X» и посмотрел, куда ведёт эта функция. Она привела в место проверки введённого числа (Рисунок 35). Также из документации по U-Boot следует, что bootdelay — это количество секунд, данное на ввод числа, для выбора одного из пунктов. А вот описания boot_wait в документации не обнаружено.

Рисунок 35 - Место проверки введённого числа

Рисунок 35 — Место проверки введённого числа

Вернемся к проблеме, описанной выше. Я не мог передать информацию с помощью Putty и выбрать пункт меню, так как в коде есть константное значение (Рисунок 35 — строка 259) и нет возможности передачи информации роутеру с помощью Putty, потому что переменная v33 равна «off»  (Рисунок 35 — строка 239). Исходя из этого есть два варианта: изменить константное значение на необходимое мне, или удалить «off». Я выбрал второй вариант, так как он позволит более гибко выбирать пункты меню (Рисунок 10) и удалил «off» в файле spi.bin:

Рисунок 36 - Удаление

Рисунок 36 — Удаление «off» в файле spi.bin

Перепрошивка роутера и получение командной оболочки Linux

Следом перепрошил wi-fi роутер полученным дампом прошивки. Для этого подключил прищепку-коннектор к чипу 25Q127CSIG (SPI), как было описано выше. Затем запустил EZP2019+.exe и выбрал чип 25Q128C. Потом нажал на кнопку «OPEN», выбрал файл spi_fix.bin. Далее нажал на кнопку «WRITE» и дождался, когда прошивка загрузится:

Рисунок 37 – Перепрошивка роутера

Рисунок 37 — Перепрошивка роутера

После загрузки прошивки я подключился к wi-fi роутеру с помощью Putty.exe и выбрал пункт »4: Entr boot command line interface» (Рисунок 38). Пункт 4 позволяет зайти в интерфейс командной оболочки загрузчика и используя командную оболочку загрузчика попасть в интерфейс командной оболочки Linux.

Рисунок 38 - Выбор пункта 4

Рисунок 38 — Выбор пункта 4

Теперь необходимо разобраться, как из комодный оболочки U-Boot, получить командную оболочку Linux. Я начал с чтения документации по U-Boot, поскольку в ней есть описание переменной bootargs. В документации сказано, что содержимое этой переменной передается ядру Linux в качестве параметра загрузки. Далее я посмотрю в IDA Pro, где используется эта переменная:

Рисунок 39 - Код заполнения bootargs

Рисунок 39 — Код заполнения bootargs

После изучения кода, отвечающего за содержимое переменной bootargs, меня заинтересовали переменные (Рисунок 40), описание которых я не обнаружил в документации.

Рисунок 40 - Неизвестные переменные

Рисунок 40 — Неизвестные переменные

Названия этих переменных наталкнули меня на мысль, что они отвечают за включение и отключение определенного функционала у роутера. Чтобы проверить эту гипотезу, я зашёл в командную оболочку U-Boot и посмотрел, чему равняются эти переменные (Рисунок 41), и поменял содержимое этих переменных на противоположные (Рисунок 42). Затем перезагрузил роутер командой «bootm».

Рисунок 41 - Содержимое переменных

Рисунок 41 — Содержимое переменных

Рисунок 42 - Изменение переменных

Рисунок 42 — Изменение переменных

При загрузке прошивки wi-fi роутера я выбрал пункт »3: Boot system code via Flash (default)» и после окончания загрузки прошивки получил командную оболочку Linux:

Рисунок 43 - Выбор пункта 3 и получение командной оболочки Linux

Рисунок 43 — Выбор пункта 3 и получение командной оболочки Linux

Если кому-то стала интересна данная тема, то предлагайте свои идеи в комментариях, что можно посмотреть в прошивке или сделать с ней.  Например, я мог бы посмотреть какую информацию отправляет роутер на сервера производителя, поискать бинарные уязвимости или уязвимости, связанные с web частью.

© Habrahabr.ru