编者按：本文节选自华章网络空间安全技术丛书《物联网渗透测试》一书中的部分章节。

固件分析方法

固件是控制IoT设备的核心，这也是我们在分析IoT设备的其他组件之前，希望从固件分析开始的原因。根据IoT设备所面向的行业，提取固件镜像并且对其内容进行反汇编的过程可能非常简单。与之类似，对于某些行业的垂直细分领域而言，其采取了专用保护措施，而这些保护措施可能会导致逆向分析过程更加困难或更加耗时。尽管如此，固件分析时还是存在一些通用模式的。通常，测试人员在固件分析时最关注的内容主要包括：

口令。
API Token。
API Endpoint（URL）。
存在漏洞的服务。
后门账户。
配置文件。
源代码。
私钥。
数据的存储方式。

在后面的章节中，进行固件分析时我们也会重点关注这些内容。本节将向读者概要介绍固件正向分析与逆向分析的方法。

下面列出了IoT固件分析时所用到的基本方法：

1）固件提取。

2）固件分析。

3）文件系统提取。

4）文件系统加载。

5）文件系统分析。

6）基于固件仿真的动态分析。

固件提取

在对固件内容进行分析前，我们首先需要获取固件的二进制文件。本节将会对目标设备固件提取所涉及的各种技术进行介绍。

准备工作

提取固件的过程中我们会用到多个工具。由于Kali Linux中已经默认安装了所需要的大多数工具，因此在这里将主要使用Kali Linux系统。下面是需要用到的工具：

Kali Linux：Kali Linux可以从网站https://www.kali.org/downloads/直接下载。如果读者使用VMware或者VirtualBox虚拟机，那么建议从链接https://www.offensive-security.com/kali-linux-vmware-virtualbox-imagedownload/下载Kali的虚拟镜像。
Ettercap：虽然Kali Linux中已经默认安装了Ettercap，但是也可以从链接https://ettercap.github.io/ettercap/downloads.html下载。
Wireshark：Wireshark也默认包含在Kali Linux中，也可以从链接http://www.wire-shark.org下载。
SSLstrip：Kali Linux中已经默认安装了SSLstrip，也可以从链接https://github.com/moxie0/sslstrip下载。
Flashrom：Kali Linux中并未默认安装Flashrom，但是可以执行以下命令方便地安装该工具：

```
apt-get install flashrom
```

此外，还可以通过链接https://www.flashrom.org/Downloads下载Flashrom。

测试流程

目前，从IoT设备中提取固件的方法有很多。我们将在本节中对其中的大部分方法进行介绍。固件镜像的获取方法主要包括：

从厂商网站下载。
代理或镜像设备更新时的流量。
直接从设备转储固件。
通过Google搜索引擎搜索/科研渠道。
反编译与之相关的移动应用。

从厂商网站下载

获取固件最简单的方法就是从厂商网站下载固件。

图1～图5中的截图展示了如何从厂商网站获取固件：

1）进入目标厂商的网站。

2）在搜索栏中输入目标设备，如图1所示。

3）选择Support选项卡，如图2所示。

4）单击Drivers&Tools按钮，如图3所示。

5）单击下载链接，如图4所示。

6）用户也可以选择Copy Link Address，在测试主机上直接执行wget（wget <http://URL.com>）命令进行文件下载，如图5所示。

图　1

图　2

图　3

图　4

图　5

代理或镜像设备更新时的流量

有时候厂商网站可能并不支持固件下载，此时读者可以选择第2种方法（即在设备固件更新过程中，代理转发设备更新时的流量），或者选择第3种方法（直接从设备转储固件）。为了在设备更新过程中实现对固件更新流量的代理转发，读者必须在更新期间实施中间人（Man-In-The-Middile，MITM）攻击或者镜像设备流量。或者，读者也可以代理转发Web或移动应用的流量，从中提取出固件下载的URL地址。

众所周知，厂商会对固件下载请求中的user-agent字段进行验证，所以读者可能还需要调整数据包首部中的user-agent字段。以下是针对IoT设备实施MITM攻击进而监控设备流量的基本步骤，用到的工具包括Kali Linux、Ettercap、Wireshark和SSLstrip。其中Kali Linux中已经安装了本节中需要用到的所有工具。

当前有多种方法和工具可以对目标设备发起MITM攻击，进而实现流量转发。下面介绍的就是其中一种捕获设备流量的方法。

1）启用IP转发功能：

echo 1 > /proc/sys/net/ipv4/ip_forward

2）配置iptables，将目的端口80的流量重定向至SSLstrip监听的端口10000。

intables -t nat -p tcp -A PREROUTING --dport 80 -j REDIRECT --to-port 10000

3）启动SSLstrip：

ssltrip -a

4）启动Ettercap GUI：

ettercap -G

5）图6展示了上述操作的运行结果。

图　6

6）单击菜单栏中的Sniff菜单，再单击Unified sniffing选项，如图7所示。

图　7

7）选择所要监听的网卡，如图8所示。

图　8

8）选择Scan for hosts选项，如图9所示。

图　9

9）此时即启动Wireshark程序，可以看到部分接口有流量通过，如图10所示。

10）单击Start capturing packets按钮开始捕获目标设备的网络流量，如图11所示。

图　10

图　11

11）根据实际需求过滤出所关注的网络报文。在本例中，目标设备的IP地址为192.168.1.137，如图12所示。

图　12

直接从设备转储固件

如果通过厂商网站或者流量代理的方法均无法获取固件，还可以尝试通过UART、SPI或者JTAG接口直接转储固件。直接进行固件转储需要拿到物理设备，并拆解设备找到其中的闪存芯片。找到闪存芯片之后，读者可以直接通过UART接口也可以使用SOIC8测试夹来连接芯片进而转储固件，其中用到了工具Flashrom以及支持SPI的硬件开发板，例如Shikra¹。图13展示了如何使用SOIC测试夹和Shikra连接设备。

¹ Shikra 是一款用于固件分析的硬件设备，用户借助Shikra 可以与不同的底层数据接口（通过USB 接口）进行交互。—译者注

图　13

^{图片来源：http://www.xipiter.com/uploads/2/4/4/8/24485815/9936671_orig.jpg562}

将固件内容转储为bin文件的命令如下所示：

$ flashrom -p ft2232_spi:type=232H -r spidump.bin

使用Flashrom或者前面介绍的某种方法提取到了设备固件之后，分析人员就可以开始对固件的二进制文件进行分析了。

Google搜索

如果出于某些原因，我们难以借助前面介绍的方法提取出固件镜像，那么最后的选择就是求助于Google搜索。可以直接在Google中输入想要查找的固件名称，搜索是否存在目标固件的下载链接，也可以搜索一下其他人的工作成果，看看是否已经有人对该设备的固件进行了研究。此外，设备厂商在岗或者离职的工作人员也可能会将固件文件上传到其个人的存储空间或Web服务器上。无论哪种情况，都可以使用Google dorking技术缩小指定目标设备的搜索范围。我们还可以通过链接https://www.exploit-db.com/google-hacking-database利用Google Hacking数据库来搜索固件或设备。

测试分析

在本节中，我们简要介绍了如何通过厂商站点、部署MITM测试环境捕获设备流量、直接从设备转储固件以及Google搜索等方法来获取固件。现在，我们来解释下为什么需要通过这些方法获取固件，难道不是直接从厂商网站下载就行了吗？

当从厂商网站下载固件时，通常情况下，用户可以通过厂商提供的服务链接、文件共享或社区论坛下载到需要的固件。但有时厂商在下载固件前要求用户提供口令，或者将固件打包为需要口令才能解压的ZIP文件。如果碰到了这种情况，为了节省时间我们就可以直接采用其他方法获取固件。

接下来，我们简要介绍了如何使用Kali Linux、SSLstrip、Ettercap和Wireshark搭建MITM测试环境，以在设备更新期间捕获设备流量。

图书简介：https://item.jd.com/12623610.html

相关阅读

物联网渗透测试（一）：简介

物联网渗透测试（二）：IoT 中的 Web 应用

物联网渗透测试（三）：IoT 中的移动应用

物联网渗透测试（四）：IoT 渗透测试环境的部署

物联网渗透测试（五）：威胁建模概念简介

物联网渗透测试（六）：IoT 设备威胁建模剖析

物联网渗透测试（七）：固件威胁建模

物联网渗透测试（八）：IoT Web 应用威胁建模

物联网渗透测试（九）：IoT 移动应用威胁建模

创作场景

物联网渗透测试（十）：固件分析方法