Hello, Stranger

1. binwalk명령어를 사용하여 파일시스템 오프셋 확인

• 명령어 : binwalk [binary]
• 아래의 사진을 보면 " Squashfs filesystem, little endian, version 4.0, c"라는 파일시스템이 offset 1345582에 위치한 것을 확인할 수 있다.

2. dd 명령어로 파일시스템 추출

• 명령어 : dd if=binary of=output bs=1 skip=[filesystem offset]
• file명령어로 output파일을 확인한 결과 Squashfs 파일이 정상적으로 추출된 것을 확인할 수 있다.

3. 파일시스템 mount

• 명령어 : unsquashfs output
• squashfs-root디렉토리가 생성되었고 내부에 각 파일들이 존재한다.

# Download 'unsquashfs 
sudo apt-get install lzma-dev 
sudo apt-get install liblzma-dev 
tar -zxvf squashfs4.2.tar.gz 
cd squashfs4.2/squashfs-tools
: Edit Makefile and uncomment this line "LZMA_XZ_SUPPORT = 1" 

make
sudo make install 
sudo unsquashfs <path/lzma_filename_to_unsquash>

exploit 문제나 개발할 경우 데이터를 입력했는데 buffer에 들어가지 않은 경우가 종종 있을겁니다.

각 함수별로 어떠한 값들을 받지 않는지 간단히 정리했습니다 :D

- scanf( "%s", buf );
  : \x09, \x0a, \x0b, \x0c, \x0d, \x20 전까지 입력받고 종료
  : 위의 값들은 버퍼에 들어가지 않음

- gets( buf );
  : \x0a 전까지 입력받고 종료
  : \x0a는 버퍼에 들어가지 않음

- fgets( buf, size, stdin )
  : \x0a 까지 입력받고 입력 종료
  : 모든값 입력 가능

 - read( fd, buf, size  )
  : \x0a 까지 입력받고 입력 종료
  : 모든값 입력 가능

본 자료는 경남권 정보보안 포럼인, 시원포럼에서 발표한 자료입니다.

앱 추출부터 리패키징까지 내용을 다뤘습니다!! :D

이해 안되는 부분이 있으면 댓글을 달아주시구요~

분석하는데 도움이 되었으면 좋겠네요ㅎㅎ

<intel x86>

jmp esp ff e4 

jmp $$  eb fe

nop     90

<arm> - thumb mode( opcode가 2byte )

jmp $$ fe e7

nop 00 00

<arm> - arm mode( opcode가 4byte )

jmp $$ fe ff ff ea