路由固件分析

先用binwalk提取固件re.bin

binwalk re.bin -eM
title

得到以下文件 title 其中120200.squashfs即是该固件文件系统,squashfs-root即是该固件文件系统解压后的文件夹,但是这里是空的,需要使用firmware-mod-kit作进一步提取


fireware-mod-kit安装:

git clone https://github.com/mirror/firmware-mod-kit.git  

# 进入源码目录  
cd firmware-mod-kit/src  

# 执行configure文件生成Makefile文件然后make编译生成可执行文件  
./configure && make  
使用unsquashfs_all.sh提取文件系统至squashfs-root目录下:
./unsquashfs_all.sh ../_re.bin.extracted/120200.squashfs ../_re.bin.extracted/squashfs-root
title

可以看到squashfs-root已有文件了 titletmp目录下发现后门backdoor title 先看下字符串:

strings backdoor
title 发现upx加壳,用upx脱壳后再查看:
upx -d backdoor
strings backdoor
title 脱壳成功 翻查一下内容,发现后门地址: title 可以用GDB或者IDA继续分析