Kérdés:
IDA Pro a MIPS képhez
ytti
2013-11-21 15:57:34 UTC
view on stackexchange narkive permalink

Megvan ez a fájl: 

  [ytti @ lintukoto ~ / tmp / ida]% file cat3k_caa-universalk9.SPA.03.03.00.SE.150-1.EZ.bincat3k_caa- universalk9.SPA.03.03.00.SE.150-1.EZ.bin: data

A Cisco Catalyst 3650 kapcsoló képe. Maga a kapcsoló a Caviumot, valószínűleg a Cavium Octeon CPU-t futtatja Linuxon.

Úgy gondolom, hogy a tetején lévő fájlnak van néhány saját fejléce (a fájl integritásának lehetséges hashja is). Ha eltávolítom a véleményem szerint fejlécek, ezt kapom: 

  cat3k.mips: az mc68010 igényelt lapozott futtatható fájl nincs lecsupaszítva

Nem tudom megnyitni az IDA Pro alkalmazásban, mivel azt mondja, hogy ez bináris fájl, és ki kell választanom a belépési pontot.

Biztos vagyok benne, hogy öndekompresszív kép, ezért valószínűleg azt is szeretném, ha képes lennék kicsomagolni. De legalább a kibontás és a gzip meghiúsul.

Amit megpróbálok megvalósítani, a kapcsoló rendelkezik egy bizonyos paranccsal, amelyet a saját folyamat elől való meneküléshez és a Linux héj eléréséhez használ, mielőtt a parancs végrehajtja, és bemutatja kihívással, és megfelelő választ kell adnia, különben nincs leves ^ Wshell az Ön számára.

Arra gondoltam, hogy megtalálom a hibás válaszra panaszkodó karakterláncot, látva, hogy a kód melyik része ugrik oda. Arra számítottam, hogy találok ott néhány összehasonlítást, aztán csak körbeforgatom az összehasonlítást. A kívánt eredményekkel, amelyekkel a jövőben a helytelen válasz sikeres lesz (és a helyes válasz nem sikerül).
A Cisco-tól nem várok különösebb erőfeszítéseket annak megakadályozására, hogy az ügyfelek saját készletüket szándékosan feltörjék, ezt könnyebb bizonyítani nekik, ez az ügyfél nem véletlenül törte meg azzal, hogy a linux shellbe ment és megölt valamilyen folyamatot.

Ha van valamilyen integritási teszt a fájlról, akkor lehet, hogy nekem szar a szerencse.

De nagyon szeretnék néhány tippet, hogyan lehet ezt ténylegesen

  1. kibontani
  2. értelmes módon megnyitni az IDA Pro-ban

Kérésre megoszthatom a fájlt (a kapcsoló nélkül használhatatlan, és ha a kapcsoló a sajátja, akkor jogosult a képre, ezért nem tartom 'warez' -nak).

A kihívás a következőképpen néz ki: 

  SWITCH # kérelem a rendszerhéjra. A shellben való tevékenység veszélyeztetheti a rendszer működését. Biztosan folytatja? [Y / n] yChallenge: aa1344d4d0dfbf85b22a719e54fe1365b5be267344223bd66c3b6368b3bd2b7f6b8b03fe87ab57e6360634d8fb>586c42c0918a3786f81a3a60Please adja meg a shell hozzáférési válasz alapján a fenti kihívás (nyomja meg az "Enter", amikor do>ne vagy kilép.): KakkaKey ellenőrzés sikertelen
Egy válasz:
ixje
2013-11-21 18:21:59 UTC
view on stackexchange narkive permalink

Először a fájl entrópiáját ábrázolnám, például a binwalk használatával, amely szintén a firmware-mod-kit része. Ez ötletet ad a fájl elrendezéséről (bootloader, 2. szakasz, main fw stb.), Valamint arról, hogy a fájl egyes részei vagy egésze titkosítva / tömörítve van-e. Ezután használhatja ugyanazt az eszközt, és hagyhatja, hogy megpróbálja automatikusan megtalálni az ismert fájlt típusok és / vagy tömörítési algoritmus (ok) aláírások alapján.

Ezt a 2 lépést egyben kombinálhatja a 

  binwalk -B -E <input>   
 A binwalk használatával kapcsolatos további információkért lásd a GYIK / Wiki oldalt. Ettől kezdve kiválaszthatja a független blokkokat, és betöltheti őket az IDA-ba.
Nagyon köszönöm, a binwalk epikus, nem voltam tudatában. Most nem a problémám van, nem tudom, mit tegyek tovább, az a problémám, hogy a következő lépés melyikét tervezi először végrehajtani :)


Ezt a kérdést és választ automatikusan lefordították angol nyelvről.Az eredeti tartalom elérhető a stackexchange oldalon, amelyet köszönünk az cc by-sa 3.0 licencért, amely alatt terjesztik.
Loading...