原创 Paper | 探秘 Zyxel 设备：固件提取分析

作者：fan@知道创宇404实验室

时间：2024年3月27日

1 前言

参考资料

部门近期应急了一个 Zyxel VPN 未授权 RCE，在尝试进行漏洞复现的过程中，发现在 .bin 中无法提取文件系统，了解得知 .bin文件是 ZIP 格式的固件映像受密码保护。通过如下文章学习到了Zyxel固件解密方法[1]，以此篇文章记录并说明踩过的坑。

Zyxel VPN Firewall 是一种网络安全设备，由 Zyxel 通信公司提供。它结合了防火墙和 VPN（Virtual Private Network，虚拟专用网络）功能，旨在保护企业⽹络免受未经授权的访问和恶意活动的威胁，并提供安全的远程访问解决⽅案。

2 固件提取

参考资料

2.1 问题分析

固件版本 VPN100_V5.30(ABFV)

解压 VPN100_V5.30(ABFV.0)C0.zip

图2-1 解压VPN100_5.30压缩文件

尝试在 .bin文件中提取文件系统，并没有提取出文件系统。

$ binwalk -e 530ABFV0C0.bin
$ cd _530ABFV0C0.bin.extracted/
$ ls
0.zip         etc_writable  fwversion         wtp_image
compress.img  filechecksum  kernelchecksum    wtpinfo
db            filelist      kernelvpn100.bin

因为文件 530ABFV0C0.bin 是 ZIP 格式的固件映像受密码保护，也没有找到有关 Zyxel 使用密码的信息，但是固件一起的PDF文章中有一段对 530ABFV0C0.ri 的描述如下：

图2-2 530ABFV0C0.ri作用描述

大致翻译为.ri文件是一个二进制固件恢复映像文件，仅在系统固件损坏紧急情况下使用。如果正常的固件升级文件（.bin）不能使用，且系统无法启动，这个文件可以用于尝试恢复固件至可用状态。由于.ri文件通常用于恢复损坏的固件，它可能包含完整的系统映像，所以尝试分析 .ri 文件。

尝试使用binwalk提取 bin 同目录下 .ri 文件。

$ binwalk -e 530ABFV0C0.ri

图2-3 binwalk提权.ri文件

ri 文件中提取出 240 和 240.7z。

图2-4 ri文件中提取出240和240.zip

240.7z 为 240 文件的压缩包，所以继续提取 240 文件。

$ cd _530ABFV0C0.ri.extracted/
$ binwalk -e 240

图2-5 binwalk提权240文件

可以在提取到的 _240.extracted 文件夹下看到 zyinit 二进制文件，linux 常规的初始化启动进程就是init，所以将焦点放在了zyinit。

图2-6 240文件提取内容

参考文章中提到分析 zyinit 发现它启动了其他外部命令，特别是 zld_fsextract 命令。

在 zld_fsextract 二进制文件中搜索密码，有很多很好的分析点，这里就不多赘述感兴趣可以自行跟进。发现 unzip 二进制文件使用这些选项来解压缩具有特定密码的文件，该密码在参数-P中定义。根据在线找到的信息并进行快速分析，二进制文件似乎根据二进制文件名称或二进制文件内容以某种方式计算解压缩密码。所以不需要密码， zld_fsextract 使用 unzip 即可拿到镜像文件。

现在可以模拟 MIPS 环境执行二进制文件并尝试提取文件了。

2.2 QEMU 模拟

先来判断一下需要模拟什么环境，这里 N32 有一个比较大的坑。

$ file zld_fsextract 
zld_fsextract: ELF 32-bit MSB executable, MIPS, N32 MIPS64 rel2 version 1 (SYSV), statically linked, stripped

通过判断 zld_fsextract 文件类型， 一开始使用 qemu-system-mips 内核镜像选择 vmlinux-3.2.0-4-5kc-malta 结果环境启动不了。第二次换内核镜像为 vmlinux-2.6.32-5-4kc-malta 环境成功启动，但是运行 zld_fsextract 报错不兼容。

# ./zyinit
-bash: ./zyinit: cannot execute binary file

分析得知 N32 是用在32位和64位 MIPS 处理器上的一种中间形式[2]，它允许使用64位寄存器和内存寻址，但保持了32位数据模型，这样可以减少由于64位数据类型较大而带来的性能和内存使用上的开销。所以需要选择支持N32 ABI的MIPS64架构的模拟器来运行。

准备文件系统和内核镜像：

vmlinux-2.6.32-5-5kc-malta  内核镜像
debian_squeeze_mips_standard.qcow2  文件系统

启动模拟环境:

$ qemu-system-mips64 -M malta -kernel vmlinux-2.6.32-5-5kc-malta -hda debian_squeeze_mips_standard.qcow2 -append "root=/dev/sda1 console=tty0" -net nic -net tap,ifname=tap0,script=no,downscript=no -nographic

启动后用户名和密码都是root即可登录模拟系统。

接下来在宿主机创建一个网卡，是 qemu 内能和宿主机通信。

宿主机安装依赖:

$ sudo apt-get install bridge-utils uml-utilities

将如下代码保存为 net.sh 并运行即可:

sudo sysctl -w net.ipv4.ip_forward=1
sudo iptables -F
sudo iptables -X
sudo iptables -t nat -F
sudo iptables -t nat -X
sudo iptables -t mangle -F
sudo iptables -t mangle -X
sudo iptables -P INPUT ACCEPT
sudo iptables -P FORWARD ACCEPT
sudo iptables -P OUTPUT ACCEPT
sudo iptables -t nat -A POSTROUTING -o ens33 -j MASQUERADE
sudo iptables -I FORWARD 1 -i tap0 -j ACCEPT
sudo iptables -I FORWARD 1 -o tap0 -m state --state RELATED,ESTABLISHED -j ACCEPT
sudo ifconfig tap0 192.168.100.254 netmask 255.255.255.0

然后配置 qemu 虚拟系统的路由，在 qemu 虚拟系统运行如下 net.sh 并运行。

#！/bin/sh
ifconfig eth0 192.168.100.2 netmask 255.255.255.0
route add default gw 192.168.100.254

//虚拟系统可能没有 vim 或 nano，使用 echo 一行一行写。

这样宿主机和模拟环境就可以网络互通了。

2.3 QEMU 固件提取

将刚才问题分析时在宿主机上整个文件夹上传到 qemu 系统.

$ scp -r VPN100/ root@192.168.100.2:VPN100

这样就可以在虚拟机使用 zld_fsextract 二进制文件获取固件映像信息了，记得将 530ABFV0C0.bin 移动到 zld_fsextract 同目录下。

# cp 530ABFV0C0.bin _530ABFV0C0.ri.extracted/_240.extracted/
# cd _530ABFV0C0.ri.extracted/_240.extracted/
# ./zld_fsextract 530ABFV0C0.bin -s list

使用 zld_fsextract 二进制文件提取固件且无需指定密码。

# ./zld_fsextract 530ABFV0C0.bin ./unzip -s extract -e code

这时会在 /rw/ 路径下生成 compress.img ，将这个文件传输到宿主机使用 binwalk 提取即可得到 squashfs-root 文件系统。

# ls -al /rw/
total 94480
drwxr-xr-x  3 root root     4096 Mar 19 07:58 .
drwxr-xr-x 23 root root     4096 Mar 19 07:59 ..
-r--r--r--  1 root root 96575488 Apr 19  2022 compress.img
drwxr-xr-x  6 root root     4096 Apr 19  2022 etc_writable
-rw-r--r--  1 root root      139 Apr 19  2022 filechecksum
-rw-r--r--  1 root root    35655 Apr 19  2022 filelist
-rw-r--r--  1 root root      327 Apr 19  2022 fwversion
-rw-r--r--  1 root root     8375 Apr 19  2022 wtpinfo

这里是宿主机提取 compress.img 得到 squashfs-root 截图。

图2-7 镜像中提取出文件系统

拿到固件就可以开开心心进行漏洞复现和分析啦。

2.4 总结

参考文章中不仅提到了固件提取，还进行了密码分析。读者如果感兴趣可以跟着继续深度学习，这里只是将实操过程中的步骤进行更详细的展示，也是一次学习过程的笔记记录。

3 参考链接

参考资学完了前面三个程序后，可以说已经入门了单片机开发，能进行以下几种基础操作：控制端口输出，编写中断函数，通过uart口输出调试信息。

[1]Zyxel固件提取和密码分析

https://security.humanativaspa.it/zyxel-firmware-extraction-and-password-analysis/

[2] MIPS ABI n32意味着什么

https://www.cnblogs.com/yorkwoo/p/4709772.html