घिद्रा के लिए एक wasm लोडर लिखना। भाग 1: समस्या कथन और वातावरण की स्थापना

इस सप्ताह, NSA ( नेशनल सिक्योरिटी एजेंसी ) ने अचानक मानवता के लिए एक उपहार बनाया, जो अपने सॉफ्टवेयर रिवर्स इंजीनियरिंग ढांचे के स्रोत खोल रहा है। रिवर्स इंजीनियर और सुरक्षा विशेषज्ञों के समुदाय ने बड़े उत्साह के साथ नए खिलौने की खोज शुरू की। प्रतिक्रिया के अनुसार, यह वास्तव में आश्चर्यजनक उपकरण है, जो मौजूदा समाधानों जैसे कि आईडीए प्रो, आर 2 और जेईबी के साथ प्रतिस्पर्धा करने में सक्षम है। उपकरण को Ghidra कहा जाता है और पेशेवर संसाधन शोधकर्ताओं के छापों से भरे होते हैं। वास्तव में, उनके पास एक अच्छा कारण था: हर दिन सरकारी संगठन अपने आंतरिक उपकरणों तक पहुंच प्रदान नहीं करते हैं। खुद को एक पेशेवर रिवर्स इंजीनियर और मैलवेयर विश्लेषक के रूप में अच्छी तरह से पारित नहीं कर सका। मैंने एक या दो सप्ताह बिताने का फैसला किया और टूल की पहली छाप हासिल की। मैंने disassembly के साथ थोड़ा सा खेला था और उपकरण की एक्स्टेंसिबिलिटी की जांच करने का निर्णय लिया था। लेखों की इस श्रृंखला में, मैं Ghidra ऐड-ऑन के विकास की व्याख्या करूँगा, जो कस्टम प्रारूप को लोड करता है, जिसका उपयोग CTF कार्य को हल करने के लिए किया जाता है। जैसा कि यह एक बड़ा ढांचा है और मैंने काफी जटिल काम चुना है, मैं लेख को कई हिस्सों में तोड़ूँगा।

इस भाग के अंत तक मुझे विकास पर्यावरण की स्थापना और न्यूनतम मॉड्यूल का निर्माण करने की उम्मीद है, जो WebAssembly फ़ाइल के प्रारूप को पहचानने में सक्षम होगा और इसे संसाधित करने के लिए सही disassembler का सुझाव देगा।

चलिए कार्य विवरण के साथ शुरू करते हैं। पिछले साल सुरक्षा कंपनी फायरईईई ने सीटीएफ प्रतियोगिता की मेजबानी की थी, जिसका नाम फ्लेयर-ऑन था। प्रतियोगिता के दौरान शोधकर्ताओं को बारह कार्यों को हल करना था, जो रिवर्स-इंजीनियरिंग से संबंधित थे। कार्यों में से एक वेब-एप्लिकेशन का अनुसंधान करना था, जिसे वेबएस्प्रेम के साथ बनाया गया था। यह अपेक्षाकृत नया निष्पादन योग्य प्रारूप है, और जहाँ तक मुझे पता है, इससे निपटने के लिए कोई सही उपकरण नहीं है। चुनौती के दौरान, मैंने कई विभिन्न साधनों को आज़माने की कोशिश की। वे गितुब और ज्ञात अपघटन से सरल स्क्रिप्ट थे, जैसे कि आईडीए समर्थक और जेईबी। हैरानी की बात है, मैं क्रोम पर रोक दिया है, जो WebAssembly के लिए बहुत अच्छा disassembler और डीबगर प्रदान करता है। मेरा लक्ष्य गिद्धा के साथ चुनौती को हल करना है। मैं पूरी तरह से अध्ययन का वर्णन करने जा रहा हूं और अपने चरणों को पुन: उत्पन्न करने के लिए सभी संभव जानकारी दूंगा। हो सकता है, एक व्यक्ति के रूप में, जिसके पास साधन के साथ अधिक अनुभव नहीं है, मैं कुछ अनावश्यक विवरणों में जा सकता हूं, लेकिन यह है कि यह कैसा है।

मैं अध्ययन के लिए उपयोग करने जा रहा कार्य flareon5 चुनौती साइट से डाउनलोड कर सकता हूं। वहाँ फ़ाइल 05_web2point0.7z है: संग्रह एक डरावना शब्द संक्रमित के साथ एन्क्रिप्टेड। संग्रह में तीन फाइलें हैं: index.html, main.js और test.wasm। आइए एक ब्राउजर में फाइल इंडेक्स। खोलें और रिजल्ट देखें:



खैर, यही मैं काम करूंगा। आइए html अध्ययन से शुरू करें, खासकर क्योंकि यह चुनौती का सबसे आसान हिस्सा है। Html कोड में main.js स्क्रिप्ट को लोड करने के अलावा कुछ भी नहीं है।

<!DOCTYPE html> <html> <body> <span id="container"></span> <script src="./main.js"></script> </body> </html> 

स्क्रिप्ट कुछ भी जटिल नहीं है, इसके बावजूद यह थोड़ा अधिक क्रियात्मक है। यह सिर्फ फ़ाइल test.wasm को लोड करता है और WebAssembly उदाहरण बनाने के लिए इसका उपयोग करता है। फिर यह url से पैरामीटर "q" को पढ़ता है और इसे इंस्टालेशन द्वारा निर्यात किए गए विधि मिलान में भेजता है। यदि पैरामीटर में स्ट्रिंग गलत है, तो स्क्रिप्ट हमें ऊपर दिखाई गई छवि को दिखाती है, फायरआई डेवलपर्स के संदर्भ में जिसे "पू का ढेर" कहा जाता है।

  let b = new Uint8Array(new TextEncoder().encode(getParameterByName("q"))); let pa = wasm_alloc(instance, 0x200); wasm_write(instance, pa, a); let pb = wasm_alloc(instance, 0x200); wasm_write(instance, pb, b); if (instance.exports.Match(pa, a.byteLength, pb, b.byteLength) == 1) { // PARTY POPPER document.getElementById("container").innerText = "🎉"; } else { // PILE OF POO document.getElementById("container").innerText = "ðŸ'"; } 

कार्य का समाधान पैरामीटर q का मान खोजना है जो फ़ंक्शन "मैच" रिटर्न "ट्रू" बनाता है। ऐसा करने के लिए, मैं फ़ाइल test.wasm को डिसाइड करने जा रहा हूं और फ़ंक्शन मैच के एल्गोरिथ्म का विश्लेषण कर रहा हूं।

कोई आश्चर्य की बात नहीं है, और मैं इसे घिद्रा में करने की कोशिश करूंगा। लेकिन पहले मुझे इसे स्थापित करना होगा। स्थापना को (और) https://ghidra-sre.org/ से डाउनलोड किया जा सकता है। चूंकि यह जावा में लिखा है, स्थापना के लिए लगभग कोई विशेष आवश्यकता नहीं है, इसे स्थापित करने के लिए किसी विशेष प्रयास की आवश्यकता नहीं है। आपको जो कुछ भी चाहिए वह संग्रह को अनपैक करने और एप्लिकेशन को चलाने के लिए है। केवल आवश्यक चीज जेडीके और जेआरई को 11 संस्करण में अपडेट करना है।

आइए नई ग़िद्रा परियोजना बनाएं ( फ़ाइल-> नई परियोजना ), और इसे "एमएम" / कहें



फिर फ़ाइल test.wasm ( फ़ाइल → आयात फ़ाइल ) को प्रोजेक्ट करने के लिए जोड़ें और देखें कि गिद्ध इससे कैसे निपट सकता है



खैर, यह कुछ नहीं कर सकता। यह प्रारूप की पहचान नहीं करता है और किसी भी चीज को डिसाइड नहीं कर सकता है, इसलिए यह इस कार्य से निपटने के लिए बिल्कुल शक्तिहीन है। अंत में हम लेख के विषय पर आए हैं। ऐसा करने के लिए कुछ भी नहीं बचा है, लेकिन एक मॉड्यूल लिखें, जो wasm फ़ाइल को लोड करने में सक्षम है, इसका विश्लेषण करें और इसके कोड को अलग करें।

सबसे पहले मैंने सभी उपलब्ध प्रलेखन का अध्ययन किया है। दरअसल, ऐड-ऑन डेवलपमेंट की प्रक्रिया दिखाते हुए केवल एक उपयुक्त दस्तावेज है: GhidraAdvancedDevelopment स्लाइड। मैं ब्लो-बाय-ब्लो विवरण देते हुए दस्तावेज़ का पालन करने जा रहा हूं।

दुर्भाग्य से, ऐड-ऑन विकास के लिए ग्रहण के उपयोग की आवश्यकता होती है। ग्रहण के साथ मेरा सारा अनुभव 2012 में एंड्रॉइड के लिए दो gdx गेम्स का विकास है। दर्द और पीड़ा से भरे दो सप्ताह हो गए थे, जिसके बाद मैंने इसे अपने दिमाग से मिटा दिया। 7 साल के विकास के बाद आशा है कि यह पहले की तुलना में बेहतर है।

आइए आधिकारिक साइट से ग्रहण डाउनलोड करें और इंस्टॉल करें।

फिर, गिद्ध विकास के लिए विस्तार स्थापित करें:

गोटो ग्रहण सहायता → नया सॉफ़्टवेयर मेनू स्थापित करें , बटन जोड़ें पर क्लिक करें और / एक्सटेंशन / ग्रहण / GhidraDev / से GhidraDev.zip चुनें। इसे इंस्टॉल करें और एक्सटेंशन को पुनरारंभ करें। विस्तार, नए प्रोजेक्ट मेनू में टेम्प्लेट जोड़ता है, ग्रहण से मॉड्यूल को डिबग करने और वितरण पैकेज के लिए मॉड्यूल संकलित करने की अनुमति देता है।

चूंकि यह डेवलपर्स डॉक्स से आता है, नए बाइनरी प्रारूप को संसाधित करने के लिए मॉड्यूल को जोड़ने के लिए निम्न चरणों का पालन करना चाहिए:

• डेटा संरचना का वर्णन करते हुए कक्षाएं बनाएं
• लोडर विकसित करें। लोडर को क्लास से प्राप्त किया जाना चाहिए AbstractLibrarySupportLoader । यह फ़ाइल से सभी आवश्यक डेटा पढ़ता है, डेटा अखंडता की जांच करता है और द्विआधारी डेटा को आंतरिक प्रतिनिधित्व में परिवर्तित करता है, इसे विश्लेषण के लिए तैयार करता है
  
• विश्लेषक का विकास करें। एनालाइज़र को एब्स्ट्रैनल एनालाइज़र से विरासत में मिला है। यह लोडर द्वारा तैयार किए गए डेटा संरचनाओं को लेता है और उन्हें एनोटेट करता है (मैं वास्तव में निश्चित नहीं हूं कि इसका क्या मतलब है, लेकिन मुझे विकास के दौरान समझने की उम्मीद है)
  
• प्रोसेसर जोड़ें। घिद्रा में एक अमूर्तन है: प्रोसेसर। यह आंतरिक घोषणात्मक भाषा में लिखा गया है और निर्देश सेट, मेमोरी लेआउट और अन्य वास्तुशिल्प सुविधाओं का वर्णन करता है। मैं इस विषय को कवर करने जा रहा हूं, डिस्सेम्बलर लिख रहा हूं।
  

अब, जब हमारे पास सभी आवश्यक सिद्धांत हैं, तो मॉड्यूल प्रोजेक्ट बनाने का समय आ गया है। पहले से स्थापित ग्रहण विस्तार GhidraDev के लिए धन्यवाद, हमारे पास फ़ाइल-> नई परियोजना मेनू में मॉड्यूल टेम्पलेट सही है।



जादूगर पूछते हैं कि किन घटकों की आवश्यकता है। जैसा कि पहले वर्णित था, हमें उनमें से दो की आवश्यकता होगी: लोडर और विश्लेषक।



विज़ार्ड सभी आवश्यक भागों के साथ प्रोजेक्ट कंकाल बनाता है: फ़ाइल WasmAnalyzer.java में रिक्त विश्लेषक, फ़ाइल WasmLoader.java में खाली लोडर और निर्देशिका / डेटा / भाषाओं में भाषा कंकाल।



लोडर के साथ शुरू करते हैं। जैसा कि यह उल्लेख किया गया था, इसे एब्स्ट्रैक्ट क्लाससुपरस्पोर्टलॉल्डर से विरासत में लिया जाना चाहिए और इसमें ओवरलोड होने के तीन तरीके हैं:

• getName - इस विधि में लोडर का आंतरिक नाम होना चाहिए। Ghidra इसे विभिन्न स्थानों पर उपयोग करता है, उदाहरण के लिए, लोडर को प्रोसेसर से बांधने के लिए
• जब उपयोगकर्ता ने फ़ाइल को आयात करने के लिए चुना, तब findSupportedLoadSpecs - कॉलबैक, निष्पादित किया गया। इस कॉलबैक लोडर में यह तय करना चाहिए कि क्या यह फाइल लोड करने में सक्षम है और क्लास लोडस्पीक का रिटर्न इंस्ट्रूमेंट बता रहा है कि फाइल को कैसे प्रोसेस किया जा सकता है।
• लोड - कॉलबैक, निष्पादित, उपयोगकर्ता लोड की गई फ़ाइल के बाद। इस विधि में लोडर पार्स फाइल लोड करता है और गिड्रा में लोड करता है। अगले लेख में अधिक विवरण में इसका वर्णन करेंगे

पहला और सबसे सरल तरीका getName है, यह सिर्फ लोडर का नाम देता है

  public String getName() { return "WebAssembly"; } 

लागू करने के लिए दूसरी विधि है findSupportedLoadSpecs। यह फ़ाइल के आयात के दौरान टूल द्वारा कहा जाता है और यह सत्यापित करना चाहिए कि लोडर फ़ाइल को संसाधित करने में सक्षम है या नहीं। अगर यह लोड करने वाली कक्षा की ऑब्जेक्ट रिटर्न करने में सक्षम विधि है, तो यह बताना कि फ़ाइल लोड करने के लिए किस वस्तु का उपयोग किया जाता है और प्रोसेसर किस कोड को डिसाइड करेगा।

प्रारूप सत्यापन से विधि शुरू होती है। जैसा कि यह कल्पना से है , wasm फ़ाइल के पहले आठ बाइट्स पर हस्ताक्षर "\ 0asm" और संस्करण होने चाहिए।

हेडर को पार्स करने के लिए, मैंने क्लास वाशेमर बनाया, इंटरफ़ेस स्ट्रक्चरकॉन्सर को लागू किया, जो संरचित डेटा का वर्णन करने के लिए बेस इंटरफ़ेस है। वाशमहेंडर का कंस्ट्रक्टर बाइनरीरएडर - एब्स्ट्रैक्शन को प्राप्त करता है, जिसका विश्लेषण बाइनरी सोर्स के डेटा को पढ़ने के लिए किया जाता है। कन्स्ट्रक्टर इसका उपयोग इनपुट फ़ाइल के हेडर को पढ़ने के लिए करता है

  private byte[] magic; private byte [] version; public WasmHeader(BinaryReader reader) throws IOException { magic = reader.readNextByteArray(WASM_MAGIC_BASE.length()); version = reader.readNextByteArray(WASM_VERSION_LENGTH); } 

लोडर फ़ाइल के हस्ताक्षर को सत्यापित करने के लिए इस ऑब्जेक्ट का उपयोग करता है। फिर, सफलता के मामले में, उचित प्रोसेसर की खोज करता है। यह क्लास QueryOpinionService की विधि क्वेरी को कॉल करता है, और इसे लोडर ("Webassembly") का नाम देता है। OpinionService इस लोडर से जुड़े प्रोसेसर की तलाश में है और इसे वापस लौटाता है।

 List<QueryResult> queries = QueryOpinionService.query(getName(), MACHINE, null); 

निश्चित बात यह है कि कुछ भी नहीं है, क्योंकि ghidra प्रोसेसर को नहीं जानता है, जिसे WebAssembly कहा जाता है और इसे परिभाषित करने की आवश्यकता है। जैसा कि मैंने पहले बताया, विज़ार्ड ने डायरेक्टरी डेटा / भाषाओं में भाषा का कंकाल बनाया।



वर्तमान चरण में दो फाइलें हैं जो दिलचस्प हो सकती हैं: Webassembly.opinion और Wbassembly.ldefs। फ़ाइल .opinon लोडर और प्रोसेसर के बीच पत्राचार सेट करता है।

 <opinions> <constraint loader="WebAssembly" compilerSpecID="default"> <constraint primary="1" processor="Webassembly" size="16" /> </constraint> </opinions> 

इसमें कुछ विशेषताओं के साथ सरल xml है। इसे लोड करने वाले का नाम "लोडर" और प्रोसेसर का नाम विशेषता "प्रोसेसर" में सेट करने की आवश्यकता है, दोनों "वेबसाइड" हैं। इस कदम पर मैं अन्य मापदंडों को यादृच्छिक मूल्यों के साथ भर दूंगा। जैसे ही मैं Webassembly प्रोसेसर आर्किटेक्चर के बारे में अधिक जानता हूं, मैं उन्हें सही मानों में बदल दूंगा।

फ़ाइल .ldefs प्रोसेसर की विशेषताओं का वर्णन करता है, जिसे फ़ाइल से कोड निष्पादित करना चाहिए।

 <language_definitions> <language processor="Webassembly" endian="little" size="16" variant="default" version="1.0" slafile="Webassembly.sla" processorspec="Webassembly.pspec" id="wasm:LE:16:default"> <description>Webassembly Language Module</description> <compiler name="default" spec="Webassembly.cspec" id="default"/> </language> </language_definitions> 

विशेषता "प्रोसेसर" फ़ाइल .opinion से विशेषता प्रोसेसर के समान होना चाहिए। आइए अन्य क्षेत्रों को अछूता छोड़ दें। लेकिन अगली बार याद रखें कि रजिस्ट्री बिटकॉइन (विशेषता "आकार") सेट करना संभव है, प्रोसेसर "प्रोसेसरस्पेक" की वास्तुकला का वर्णन करने वाली फ़ाइल और फ़ाइल, जिसमें विशेष घोषणापत्र भाषा "स्लैफ़ाइल" में कोड का विवरण है। यह disassembly पर काम करने के लिए काम आएगा।

अब, लोडर के वापस आने और लोडर के विनिर्देश को वापस लाने का समय आ गया है।

टेस्ट रन के लिए सब कुछ तैयार है। GhidraDev के लिए प्लगइन ने रन ऑप्शन जोड़ा है " रन → रन अस → घिद्रा " ग्रहण करने के लिए:



यह डिबग मोड में ग़िद्रा चलाता है और वहाँ मॉड्यूल को तैनात करता है, उपकरण के साथ काम करने का एक बड़ा अवसर देता है और उसी समय विकसित किए जा रहे मॉड्यूल में त्रुटियों को ठीक करने के लिए डीबगर का उपयोग करता है। लेकिन इस सरल चरण में डिबगर का उपयोग करने का कोई कारण नहीं है। पहले की तरह, मैं नई परियोजना बनाऊंगा, फ़ाइल आयात करूँगा और देखूंगा कि मेरे प्रयासों का भुगतान हुआ या नहीं। पिछली बार के विपरीत, फ़ाइल को WebAssembly के रूप में मान्यता प्राप्त है, और लोडर इसके लिए इसी प्रोसेसर का प्रस्ताव करता है। इसका मतलब है कि सब कुछ काम करता है, और मेरा मॉड्यूल प्रारूप को पहचानने में सक्षम है।



अगले लेख में मैं लोडर का विस्तार करूंगा, और इसे न केवल पहचान दूंगा, बल्कि यह wasm फ़ाइल की संरचना का भी वर्णन करेगा। मुझे लगता है कि इस स्तर पर, पर्यावरण स्थापित होने के बाद, यह करना आसान होगा।

मॉड्यूल का कोड जीथब रिपॉजिटरी में उपलब्ध है।