前言
众所周知,逆向的过程绝大程度上是一个符号还原的过程,掌握越多的符号信息对我们逆向破解目标越有利。但是,很多时候so文件采用静态链接系统或者一些开源的第三方库,这些库的函数就没有了符号,势必会导致我们浪费大量的时间在做无用功上。我读大学时石油工程专业的导师常常用铁人王进喜的名言激励我们“没有条件创造条件也要上”,同样,ELF文件中不包括这些函数的符号,我们就要给它创造符号。
对比
这里我们顺手用前几天爆出来的dirtycow(https://github.com/timwr/CVE-2016-5195) 这个run-as程序来玩玩。
它的代码如下:
#include <unistd.h>
#include <stdio.h>
#include <sys/capability.h>
int main(int argc, char **argv)
{
struct __user_cap_header_struct capheader;
struct __user_cap_data_struct capdata[2];
printf("running as uid %d\n", getuid());
memset(&capheader, 0, sizeof(capheader));
memset(&capdata, 0, sizeof(capdata));
capheader.version = _LINUX_CAPABILITY_VERSION_3;
capdata[CAP_TO_INDEX(CAP_SETUID)].effective |= CAP_TO_MASK(CAP_SETUID);
capdata[CAP_TO_INDEX(CAP_SETGID)].effective |= CAP_TO_MASK(CAP_SETGID);
capdata[CAP_TO_INDEX(CAP_SETUID)].permitted |= CAP_TO_MASK(CAP_SETUID);
capdata[CAP_TO_INDEX(CAP_SETGID)].permitted |= CAP_TO_MASK(CAP_SETGID);
if (capset(&capheader, &capdata[0]) < 0) {
printf("Could not set capabilities: %s\n", strerror(errno));
}
if(setresgid(0,0,0) || setresuid(0,0,0)) {
printf("setresgid/setresuid failed\n");
}
printf("uid %d\n", getuid());
return 0;
}
动态链接编译后,用IDA找到main函数,这里顺便指出下,就是IDA在反汇编android可执行程序时,不能很好的识别main函数,并且会把它的指令状态搞错,我们通过start函数找到main函数之后如下图:
我们需要先快捷键“U” undefine下这段,然后快捷键“ALT+G”切换到thumb指令状态(将T标志位设置1),如下图:
我们知道,IDA通过读取动态符号表.dynsym来获得这些符号的, .dynsym用来保存与动态链接相关的导入导出符号,不包括模块内部的符号。:
parker@ubuntu:~/workspace/CVE-2016-5195/libs/armeabi$ arm-linux-androideabi-readelf -s run-as
Symbol table '.dynsym' contains 23 entries:
Num: Value Size Type Bind Vis Ndx Name
0: 00000000 0 NOTYPE LOCAL DEFAULT UND
1: 00000000 0 FUNC GLOBAL DEFAULT UND __libc_init@LIBC (2)
2: 00000000 0 FUNC GLOBAL DEFAULT UND __cxa_atexit@LIBC (2)
3: 00000000 0 FUNC GLOBAL DEFAULT UND getuid@LIBC (2)
4: 00000000 0 FUNC GLOBAL DEFAULT UND printf@LIBC (2)
5: 00000000 0 FUNC GLOBAL DEFAULT UND memset@LIBC (2)
6: 00000000 0 FUNC GLOBAL DEFAULT UND capset@LIBC (2)
7: 00000000 0 FUNC GLOBAL DEFAULT UND __errno@LIBC (2)
8: 00000000 0 FUNC GLOBAL DEFAULT UND strerror@LIBC (2)
9: 00000000 0 FUNC GLOBAL DEFAULT UND setresgid@LIBC (2)
10: 00000000 0 FUNC GLOBAL DEFAULT UND puts@LIBC (2)
11: 00000000 0 FUNC GLOBAL DEFAULT UND setresuid@LIBC (2)
12: 00000000 0 FUNC GLOBAL DEFAULT UND __stack_chk_fail@LIBC (2)
13: 00000000 0 OBJECT GLOBAL DEFAULT UND __stack_chk_guard@LIBC (2)
14: 00000000 0 FUNC WEAK DEFAULT UND __gnu_Unwind_Find_exidx
15: 00000000 0 FUNC GLOBAL DEFAULT UND abort@LIBC (2)
16: 00000000 0 FUNC GLOBAL DEFAULT UND memcpy@LIBC (2)
17: 00000000 0 NOTYPE WEAK DEFAULT UND __cxa_begin_cleanup
18: 00000000 0 NOTYPE WEAK DEFAULT UND __cxa_type_match
19: 00000000 0 NOTYPE WEAK DEFAULT UND __cxa_call_unexpected
20: 00004000 0 NOTYPE GLOBAL DEFAULT ABS _edata
21: 00004000 0 NOTYPE GLOBAL DEFAULT ABS __bss_start
22: 00004004 0 NOTYPE GLOBAL DEFAULT ABS _end
但是如果我们采用静态链接libc来编译run-as,如下:
用对比IDA打开静态链接的程序和动态链接的程序,IDA无法识别这些getuid,printf函数了,这可能会在逆向的过程中导致我们对这些函数进行分析,多此一举。因此,我们需要制作sig文件让IDA认识这些函数。
制作sig文件
吾爱破解上分享的IDA6.8版本自带有签名工具flair68:http://www.52pojie.cn/thread-442702-1-1.html, 制作过程很简单,这里我们为android-ndk-r10e\platforms\android-21\arch-arm\usr\lib\libc.a制作sig文件为例
第一步 制作PAT文件
$ pelf libc.a libc.pat
libc.a: skipped 51, total 1977
生成pat文件, .pat文件说明各个模式的格式。
第二步 制作sig文件
$ sigmake libc.pat libc.sig
只要有两个函数的模式相同,就会发生冲突。如果不能解决冲突,在应用签名的过程中,我们就无法确定函数到底与哪一个签名相匹配。 只要存在冲存,sigmake生成的就不是.sig文件,而是一个排斥文件(.exc),.exc文件是文本文件,它详细说明了sigmake在处理模式文件时遇到的冲突 排斥文件是文本文件,它详细说明了sigmake在处理模式文件时遇到的冲突 。我们按照exc文件前面注释的要求解决模式冲突后,即可生成sig文件。
第三步 加载sig文件
将生成的sig文件放入IDA 目录\sig\arm下,快捷键“shift+F5”打开signatures subviews,右键“Apply new sigature...”加载我们生成的libc.sig,
总结
这里以libc为例子,一般都不会静态链接libc,静态链接libstlport等这些stl库会多一些,读者可以制作它们的sig文件,另外,除了通过签名来进行函数识别,还可以根据一些函数的系统调用号来识别该函数:
https://github.com/parkerpeng/IDA-Script-for-android
其它的函数识别思路:
https://github.com/cea-sec/Sibyl