酷应用

利用UART串口调试提取360路由器固件

百家作者：Chamd5安全团队 2021-01-12 09:46:21

概括

在智能设备漏洞挖掘过程中，固件提取是分析的第一步，也是迈向成功的第一步。目前，已有多种关于固件提取的思路和技术，具体可参考看雪2018峰会回顾[1]。

我以前分析的设备，固件存储于tsop8角封装的nor flash，可以直接通过芯片夹夹取，或者直接焊下flash利用芯片座提取，然后无脑binwalk获得整个文件系统。但最近分析的设备，固件存储于tsop48角封装的nand flash，没有对应的芯片夹，而且要求有一定的焊接技术。此外，由于nandflash存储的特性[2]（如OOB数据的干扰），即使成功进行了物理提取，后续的数据处理也相当复杂。（在这里也希望有师傅能出一篇物理提取nand flash固件过程的教程，我实在不会TAT）

接下来，我将结合最近的实验，与各位分享下本人在nand flash固件提取过程中，摸索和总结出来的一种利用UART串口调试提取固件的方法。由于本人能力有限，如有错误，还请各位师傅提出指正。

前提条件

UART串口调试，可进入linux系统命令行。

基本概念

MTD（MemoryTechnology Device），存储技术设备，用于访问存储设备（ROM，flash）的Linux子系统。

通过proc文件系统查看mtd设备的分区情况，可以发现mtdN和mtdblockN描述的是同一个MTD分区，对应同一个硬件分区。两者是同一个MTD分区的两种不同描述：mtdN是实现MTD分区所对应的字符设备，而mtdblockN设备则是在对应生成的块设备，两者内容一致，但具体的ioctl命令操作是不同的。

实例

出于保密性，在这里不透露具体型号。通过简要分析和丝印查阅，可以得知固件存储于红色框的flash中，如下图所示。

但幸运的是，电路板上留存了UART调试串口，并且标注了各个接口的属性（GND、RX、TX等）。接下来就可以通过连接UART进行串口调试的操作。

连接后，我使用的是SecureCRT与其进行通信。选择好正确的串口号和波特率（波特率的测试一般是从9600开始，可参照SecureCRT提供的常见波特率进行测试，如下图所示）。当界面有输出，且为正常字符，则连接正确。

但是值得注意的是，系统在启动成功后，是关闭了UART调试shell的，此时只能看到系统日志的输出，而无法输入相关的命令对其进行操作，如下图所示。

仔细观察设备启动的全过程，我们发现其bootloader启动时，给我们提供了一次进入系统的机会，即在某个时候按下f可进入failsafe mode，而在该模式下，我们可获取其中的linux shell并进行命令输入，即可“看”到整个设备的文件系统，如下图所示。

然而，由于此时设备并没有完全启动成功，所以其与外界是断联的，无法与外界进行通信。而这显然不能很好地帮助我们进行分析。那么如何在断网的情况下，导出整个文件系统，则是接下来需要解决的问题。

通过查看/proc/mtd，可以得知各个mtd分区的基本信息描述，其中mtd10，mtd11，mtd13则有可能是我们所需分析的文件系统，如下图所示。

由于此时设备与我们的交互只能停留在命令行的回显中，一个很巧妙的方法则是将对应的mtd分区内容转换为可见字符（如hexdump，base64），我们记录命令行的输出回显则可以获取整个文件系统。但是这里需要注意的是，由于mtd分区内容较多，且嵌入式设备处理性能有限，只能通过结合SecureCRT脚本编写，分段记录mtd分区。

关键代码如下：

def send_cmd(fp,offset,step): 
    crt.Screen.Synchronous = True  

    # Send the initial command then throw out the first linefeed that we  
    # see by waiting for it.  
   
    crt.Screen.Send("hexdump {} -s {} -n {}\n".format("/dev/mtdN",offset,step))  
    crt.Screen.WaitForString("\n")  
  
    # Create an array of strings to wait for.  
    promptStr = "root"   
    waitStrs = ["\n", promptStr]  
  
    row = 1  
 
    while True:  

        # Wait for the linefeed at the end of each line, or the shell  
        # prompt that indicates we're done.  
        result = crt.Screen.WaitForStrings( waitStrs )  
 
        # If we saw the prompt, we're done.  
        if result == 2:  
            break  
        # The result was 1 (we got a linefeed, indicating that we  
        # received another line of of output). Fetch current row number  
        # of the cursor and read the first 20 characters from the screen  
        # on that row.   
        #   
        # This shows how the 'Get' function can be used to read  
        # line-oriented output from a command, Subtract 1 from the  
        # currentRow to since the linefeed moved currentRow down by one.  
        #    
        screenrow = crt.Screen.CurrentRow - 1  
        readline = crt.Screen.Get(screenrow, 1, screenrow, 48)  
        readline = readline.strip()  
        
        # NOTE: We read 48 characters from the screen 'readline' may  
        # contain trailing whitespace if the data was less than 48  
        # characters wide.  
 
        # Write the line out with an appended end-of-line sequence  
        fp.write(readline)  
   
        crt.Screen.Synchronous = False