逆向工程 - 中兴反向工程config.bin文件问题 - 吾爱随笔录

中兴反向工程config.bin文件问题

逆向工程艾达拆卸二元分析开箱包装工

2021-06-14 08:39:40

我刚刚得到了一个中兴ZXHN F660 GPON ONT Wireless路由器，我的光纤互联网由我的电信提供商提供。

我的第一个发现是ethLAN 端口变砖了，这意味着我一次只能使用一个 LAN，并且有一个telnet默认用户和密码，我无法删除或更改 - 好吧，我可以这样做，但只能提供：
我能够使用 telnet 绕过该问题和busybox 控制台，但不幸的是修复是临时的。每次路由器重新启动时都会安装旧配置，我认为这是正常的。

我决定进行更多调查，并进行了配置备份，将 webui 扔给了我一个.bin文件。使用 binwalk 我看到有 3 个数据块用zlib. 我在 python 中制作了一个快速而肮脏的脚本来解压它们并将它们连接到一个XML文件中，该文件提供了所有路由器的设置。

我设法修改并重新打包它，但问题是：标头包含一些信息，使配置升级每次都失败。使用十六进制编辑器，我注意到在每个压缩zlib块之前，包的十六进制值膨胀和收缩，因此我能够更正它们。在没有标题CRC32的每个zlib压缩包的连接的标题 a中，我也能够在重新打包新文件时更正它。
但在它旁边有一个我认为是 other CRC32，但我无法找出那CRC32是什么，所以在这一点上欢迎任何帮助。

我已经从我的路由器下载了httpd和cspd文件并尝试使用 IDA 反汇编它们，但是我发现的循环让我晕船，这超出了我的实际技能，所以如果能得到一些关于如何重新打包的帮助和解释，那就太好了xml文件到bin文件中。

感谢您的任何帮助或建议。

这是我的虚拟config.bin文件的第一个偏移量：

Offset(h) 00 01 02 03 04 05 06 07 08 09 0A 0B 0C 0D 0E 0F
00000000  04 03 02 01 00 00 00 00 00 00 00 04 46 36 36 30  ............F660
00000010  01 02 03 04 00 00 00 00 00 02 37 AB 00 00 36 79  ..........7«..6y
00000020  00 01 00 00 97 10 5B C9 6E 6F 53 12 00 00 00 00  ....—.[ÉnoS.....
00000030  00 00 00 00 00 00 00 00 00 00 00 00 00 00 00 00  ................
00000040  00 00 00 00 00 00 00 00 00 00 00 00 00 01 00 00  ................
00000050  00 00 16 B8 00 00 17 00 78 DA ED 3D 5B 77 DB 38  ...¸....xÚí=[wÛ8
00000060  73 EF FD 15 69 DA 3E 75 D7 E6 4D F4 E5 7C DB 53  sïý.iÚ>u×æMôå|ÛS
00000070  99 94 1D 9D 95 14 46 94 AD AF FB E2 03 53 B0 CC  ™”..•.F”.¯ûâ.S°Ì
00000080  13 1A 64 49 CA 97 FD F5 05 A8 1B 05 02 20 48 C9  ..dIÊ—ýõ.¨... HÉ
00000090  B2 94 D2 49 6C 47 33 04 06 83 B9 01 1C 60 FE 61  ²”ÒIlG3..ƒ¹..`þa
000000A0  5F FD D7 BF FC 63 F4 10 7C 41 E0 19 FE F1 D5 BE  _ý×¿ücô.|Aà.þñÕ¾
000000B0  BA 02 09 FC FA 65 18 BE 5A E1 0C A5 7F 7C 55 BF  º..üúe.¾Zá.¥.|U¿
000000C0  62 04 FC DF 2F 83 F0 8F AF 0A F9 8F DD 5F 20 77  b.üß/ƒð.¯.ù.Ý_ w
000000D0  AF BB E8 31 FC FA E5 05 04 18 A4 E2 3F 9A A2 64  ¯»è1üúå...¤â?š¢d
000000E0  FF 94 EC 67 DB 30 F0 67 F8 CB 50 8C 6B F2 F3 EB  ÿ”ìgÛ0ðgøËPŒkòóë
000000F0  29 7E FC 14 37 46 7E E0 4E 37 BA 1E B7 07 76 BE  )~ü.7F~àN7º.·.v¾
00000100  63 8D DF F1 9D 0F 5F 07 F8 B7 45 D7 DD 1B FB 64  c.ßñ.._.ø·E×Ý.ûd
00000110  6C AB 59 EB 2B 1C D2 DC E8 3D 5A E2 18 05 A8 65  l«Yë+.ÒÜè=Zâ..¨e
00000120  5B 20 F2 FC F4 7D 81 41 3D 3F 8A FD E9 14 C6 1D  [ òüô}.A=?Šýé.Æ.
00000130  04 1E 02 B8 81 B2 18 C0 92 34 B5 9C 34 4D 48 9A  ...¸.².À’4µœ4MHš

这里一个复制的虚拟的config.bin，cspd和httpd我的路由器的文件：

config.bin、cspd、httpd 文件

1个回答

第二个CRC是从0x10to开始的头的CRC 0x28。以下脚本根据dbcCfgFileDecry函数检查配置文件，从 offset 验证和解压配置文件0x10。

import sys
import binascii
import struct
import zlib

if (len(sys.argv) < 1):
    print 'usage: check_config.py config_file'

cf = open(sys.argv[1], 'rb')
h = cf.read(0x4c)

#--------------------
# read the header
if (h[0:4] != '\x04\x03\x02\x01'):
    print 'Invalid magic'
    sys.exit(-1)

if (h[0x10:0x14] != '\x01\x02\x03\x04'):
    print 'Invalid magic'
    sys.exit(-1)

h2 = h[0x10:]
hcrc_calc = binascii.crc32(h2[0:0x18])&0xffffffff
hcrc_store = struct.unpack('!L', h2[0x18:0x1c])[0]
print 'calc: %x - stored: %x'%(hcrc_calc, hcrc_store)
if (hcrc_calc != hcrc_store):
    print 'Invalid header CRC'
    sys.exit(-2)

block_buffer_size = struct.unpack('!L', h2[0x10:0x14])[0]
# used to allocate memory for temp buffers
print 'block buffer size: %x'%(block_buffer_size)

#--------------------
# read the blocks
fout = open('%s.xml'%(sys.argv[1]), 'wb')
cumulate_crc = 0
while (True):
    bheader = cf.read(0x0c)
    if (len(bheader) == 0):
        break
    block_size = struct.unpack('!L', bheader[0x04:0x08])[0]
    print 'block size: %x'%(block_size)

    # read the whole block to previously allocated buffer
    # Possible heap based buffer overflow, because the size was not checked in
    # the dbcCfgFileDecry function!
    block = cf.read(block_size)
    cumulate_crc = binascii.crc32(block, cumulate_crc)&0xffffffff
    decompressed = zlib.decompress(block)
    fout.write(decompressed)

stored_cumulate_crc = struct.unpack('!L', h2[0x14:0x18])[0]
print 'cumulate crc: calc: %x - stored: %x'%(cumulate_crc, stored_cumulate_crc)
if (cumulate_crc != stored_cumulate_crc):
    print 'Invalid cumulate CRC'
    sys.exit(-3)

cf.close()
fout.close()

作为旁注，该dbcCfgFileDecry函数包含一个基于堆的缓冲区溢出漏洞，因为它没有检查当前块是否适合分配的缓冲区。

其它你可能感兴趣的问题

上一篇有没有办法通过研究源代码找出哪个哈希标准？下一篇解压 IpCam 固件 - Binwalk 提取问题