智能设备-初探Qiling framework

前言

做完这些lab，对qiling的作用，这个framework的理解，更加的深，希望看到这里的读者可以自己去做一遍，不要纯看他人的wp，因为每道题都有着很多种解法，但是目标都是成功的hook或Hijack，Qiling还有着一些fuzz or 仿真的 example，我都会去做一遍的！同时接下来每周都有着很多考试，希望一切顺利~

What is Qiling

Qiling是一个先进的二进制仿真框架，具有以下特点：

• Qiling 这个框架对于模拟运行二进制程序时的 hook 非常方便
• 模拟多平台：Windows、MacOS、Linux、Android、BSD、UEFI、DOS、MBR、以太坊虚拟机
• 模拟多架构：8086、X86、X86_64、ARM、ARM64、MIPS、RISCV、PowerPC
• 内置调试器，具有逆向调试功能
• 提供深入的内存、寄存器、操作系统级和文件系统级API
• 细粒度检测：允许在各个级别进行挂钩（指令/基本块/内存访问/异常/系统调用/IO/等）
• 支持跨架构和平台调试能力
• 真正的Python框架，可以轻松地在其上构建定制的安全分析工具
• 等等

在qiling framework的github项目上还有几个示例demo，这里注意到了通过Qiling框架仿真模拟并对二进制程序进行hook可以更加方便的fuzz

Lab

challenge1

要求在0x1337地址上写入0x1337

Qiling给出了这些Managing memory的方法

内存在被访问之前必须被映射。 map方法将连续的内存区域绑定到指定位置，并设置其访问保护位。可以提供字符串标签以便在映射信息表上轻松识别

参数：-addr - 请求的映射基地址，应该在页面粒度上；- size - 映射大小（以字节为单位），必须是页面大小； - perms - 保护位图的乘积，定义此内存范围是否可读、可写和/或可执行（可选）； - info - 将字符串标签设置为映射范围以方便识别（可选）

主要也是关注前两个参数，这里显然是执行 ql.mem.map(0x1337// 4096 * 4096 , 0x1000);

参数： - addr - 要取消映射的区域基地址 - size - 区域大小（以字节为单位）

如果请求的内存范围未完全映射，则引发： QlMemoryMappedError

从部分内存范围中搜索字符串，begin和end参数均是可选的，去除则是整个内存范围

从内存中读取

写入内存

challenge2

要求在uname返回系统信息时的sysname == "QilingOS" and version == "ChallengeStart"。

需要通过劫持结构体

Hijack

POSIX 系统调用可以被挂钩以允许用户修改其参数、改变返回值或完全替换其功能。系统调用可以通过其名称或编号进行挂钩，并在一个或多个阶段进行拦截： - QL_INTERCEPT.CALL - ：当指定的系统调用即将被调用时，可用于完全替换系统调用功能；- QL_INTERCEPT.ENTER - ：在进入系统调用之前；可用于篡改系统调用参数值 - QL_INTERCEPT.EXIT - ：退出系统调用后，可能被用来篡改返回值

因此要通过ql.os.set_syscall中的QL_INTERCEPT.EXIT对返回值进行篡改

def my_uname_ret(ql ,*args): 
    '''
    struct utsname
    {
        char sysname[65];
        char nodename[65];
        char release[65];
        char version[65];
        char machine[65];
        char domainname[65];
    };
    '''
    rdi_value=ql.arch.regs.read("rdi")
    ql.mem.write(rdi_value,b'QilingOS\x00')
    ql.mem.write(rdi_value+65*3,b'ChallengeStart\x00')
    return 0

def challenge2(ql):
    ql.os.set_syscall("uname",my_uname_ret,QL_INTERCEPT.EXIT)

这里有个要注意的点，my_uname_ret的参数要能接受三个参数，不然会报错

这里看到qiling的一个example

onexit_hook(self.ql, *self.get_syscall_args())

Qiling都是通过一些函数，来进行hook的

Qiling的这些hook，都是一些在程序的hook，并不像正常的程序的输入输出，例如这里在退出的地方执行这个oxexit_hook函数（个人理解）

challenge3

这里的第一个想法就是hook掉getrandom，控制其函数体，然后将虚拟路径/dev/urandom映射到文件对象下

以下示例将虚拟路径/dev/urandom映射到托管系统上现有的/dev/urandom文件。当模拟程序访问/dev/random时，将访问映射文件。

from qiling import Qiling

if __name__ == "__main__":
    ql = Qiling([r'rootfs/x86_linux/bin/x86_fetch_urandom'], r'rootfs/x86_linux')

    ql.add_fs_mapper(r'/dev/urandom', r'/dev/urandom')
    ql.run()

以下示例将虚拟路径/dev/random映射到用户定义的文件对象，以允许对交互进行更细粒度的控制。请注意，映射对象扩展了QlFsMappedObject 。

注意到

这里其实是一个类，然后定义了一些函数，用self来代替/dev/urandom这个对象

challenge4

.text:0000000000000E1D                               ; __int64 challenge4()
.text:0000000000000E1D                               public challenge4
.text:0000000000000E1D                               challenge4 proc near                    ; CODE XREF: start+18F↓p
.text:0000000000000E1D
.text:0000000000000E1D                               var_18= qword ptr -18h
.text:0000000000000E1D                               var_8= dword ptr -8
.text:0000000000000E1D                               var_4= dword ptr -4
.text:0000000000000E1D
.text:0000000000000E1D                               ; __unwind {
.text:0000000000000E1D 55                            push    rbp
.text:0000000000000E1E 48 89 E5                      mov     rbp, rsp
.text:0000000000000E21 48 89 7D E8                   mov     [rbp+var_18], rdi
.text:0000000000000E25 C7 45 F8 00 00 00 00          mov     [rbp+var_8], 0
.text:0000000000000E2C C7 45 FC 00 00 00 00          mov     [rbp+var_4], 0
.text:0000000000000E33 EB 0B                         jmp     short loc_E40
.text:0000000000000E33
.text:0000000000000E35                               ; ---------------------------------------------------------------------------
.text:0000000000000E35
.text:0000000000000E35                               loc_E35:                                ; CODE XREF: challenge4+29↓j
.text:0000000000000E35 48 8B 45 E8                   mov     rax, [rbp+var_18]
.text:0000000000000E39 C6 00 01                      mov     byte ptr [rax], 1
.text:0000000000000E3C 83 45 FC 01                   add     [rbp+var_4], 1
.text:0000000000000E3C
.text:0000000000000E40
.text:0000000000000E40                               loc_E40:                                ; CODE XREF: challenge4+16↑j
.text:0000000000000E40 8B 45 F8                      mov     eax, [rbp+var_8]
.text:0000000000000E43 39 45 FC                      cmp     [rbp+var_4], eax
.text:0000000000000E46 7C ED                         jl      short loc_E35
.text:0000000000000E46
.text:0000000000000E48 90                            nop
.text:0000000000000E49 5D                            pop     rbp
.text:0000000000000E4A C3                            retn
.text:0000000000000E4A                               ; } // starts at E1D
.text:0000000000000E4A
.text:0000000000000E4A                               challenge4 endp

这里会是一个循环，我们想要的是使参数为真，而loc_E35块可以满足我们的要求，但是jl short loc_E35是显然无法满足的，因为-4和-8的位置都被置为0了是相等的，而jl是小于跳转，因此要想办法跳转到loc_E35块上

读寄存器

• 从字符串“eax”读取

• 从 Unicorn Engine const 读取

• 读eax

• 将 0xFF 写入“eax”

ql.arch.regs.write("EAX", 0xFF)

• 通过 Unicorn Engine const 将 0xFF 写入 eax

• 将 0xFF 写入 eax

还有一些跨架构寄存器的获取方法

• 获取当前arch寄存器表列表

• 在 64 位环境中，这将返回 64

• 在 64 位环境中，这将返回 32

Hook

挂钩具体地址。执行指定地址时将调用已注册的回调。

ql.hook_address（回调：可调用，地址：int）

挂钩所有说明。注册的回调将在每个汇编指令执行之前调用

ql.hook_code（回调：可调用， user_data ：任何=无）

还有一些hook，例如挂钩一段代码、挂钩中断号以调用自定义函数、拦截特定类型的指令等等

我的想法是在

.text:0000000000000E43 39 45 FC                      cmp     [rbp+var_4], eax

这个地址执行前，在eax里写入1，这样就使得jl条件达成，就成功跳转到成功片段

challenge5

这里就是让rand的返回值为0即可

这里不是系统调用的劫持，而是劫持libc函数，这里看个例子

与系统调用一样，POSIX libc 函数可以以类似的方式挂钩，从而允许用户控制其功能。

challenge6

.text:0000000000000EF6                               public challenge6
.text:0000000000000EF6                               challenge6 proc near                    ; CODE XREF: start+1D7↓p
.text:0000000000000EF6
.text:0000000000000EF6                               var_18= qword ptr -18h
.text:0000000000000EF6                               var_5= byte ptr -5
.text:0000000000000EF6                               var_4= dword ptr -4
.text:0000000000000EF6
.text:0000000000000EF6                               ; __unwind {
.text:0000000000000EF6 55                            push    rbp
.text:0000000000000EF7 48 89 E5                      mov     rbp, rsp
.text:0000000000000EFA 48 89 7D E8                   mov     [rbp+var_18], rdi
.text:0000000000000EFE C7 45 FC 00 00 00 00          mov     [rbp+var_4], 0
.text:0000000000000F05 C6 45 FB 01                   mov     [rbp+var_5], 1
.text:0000000000000F09 EB 07                         jmp     short loc_F12                   ; 零扩展
.text:0000000000000F09
.text:0000000000000F0B                               ; ---------------------------------------------------------------------------
.text:0000000000000F0B
.text:0000000000000F0B                               loc_F0B:                                ; CODE XREF: challenge6+22↓j
.text:0000000000000F0B C7 45 FC 01 00 00 00          mov     [rbp+var_4], 1
.text:0000000000000F0B
.text:0000000000000F12
.text:0000000000000F12                               loc_F12:                                ; CODE XREF: challenge6+13↑j
.text:0000000000000F12 0F B6 45 FB                   movzx   eax, [rbp+var_5]                ; 零扩展
.text:0000000000000F16 84 C0                         test    al, al
.text:0000000000000F18 75 F1                         jnz     short loc_F0B
.text:0000000000000F18
.text:0000000000000F1A 48 8B 45 E8                   mov     rax, [rbp+var_18]
.text:0000000000000F1E C6 00 01                      mov     byte ptr [rax], 1
.text:0000000000000F21 90                            nop
.text:0000000000000F22 5D                            pop     rbp
.text:0000000000000F23 C3                            retn
.text:0000000000000F23                               ; } // starts at EF6
.text:0000000000000F23
.text:0000000000000F23                               challenge6 endp

这里会有一个无限循环，movzx eax, [rbp+var_5] 先eax零扩展赋值为1，之后test al, al对al进行逻辑与的运算，结果存入ZF中，而jnz是ZF不为0则跳转，显然会有跳转，之后便是无限循环，我的想法 便是hook rax为0即可

challenge7

.text:0000000000000F24                               public challenge7
.text:0000000000000F24                               challenge7 proc near                    ; CODE XREF: start+1FB↓p
.text:0000000000000F24
.text:0000000000000F24                               var_8= qword ptr -8
.text:0000000000000F24
.text:0000000000000F24                               ; __unwind {
.text:0000000000000F24 55                            push    rbp
.text:0000000000000F25 48 89 E5                      mov     rbp, rsp
.text:0000000000000F28 48 83 EC 10                   sub     rsp, 10h
.text:0000000000000F2C 48 89 7D F8                   mov     [rbp+var_8], rdi
.text:0000000000000F30 48 8B 45 F8                   mov     rax, [rbp+var_8]
.text:0000000000000F34 C6 00 01                      mov     byte ptr [rax], 1
.text:0000000000000F37 BF FF FF FF FF                mov     edi, 0FFFFFFFFh                 ; seconds
.text:0000000000000F3C E8 0F FB FF FF                call    _sleep
.text:0000000000000F3C
.text:0000000000000F41 90                            nop
.text:0000000000000F42 C9                            leave
.text:0000000000000F43 C3                            retn
.text:0000000000000F43                               ; } // starts at F24
.text:0000000000000F43
.text:0000000000000F43                               challenge7 endp

这里有两种想法，第一种便是修改rdi，在call sleep前将rdi改为0，第二种便是hook掉sleep，直接return

challenge8

这一题的target是**Unpack the struct and write at the target address.**解包结构体，然后写入目标地址

那么我的想法就是在malloc之后hook将rax返回值存入，但是我突然想到，之前我们不是刚学了如何搜索内存的吗，那么我们先通过搜索内存获得地址，然后再写入a1会不会更高端一点

challenge9

第一个想法就是直接hook掉strcmp函数，或者也可以hook掉tolower函数

这里尽量hook tolower函数，不然下题就做不了啦~~~

challenge10

想法就是hook掉strcmp，但是上个challenge已经成功hook掉strcmp了，因此就劫持cmdline成一个结构体，直接返回qilinglab即可

challenge11

.text:0000000000001195 89 75 D0                      mov     [rbp+var_30], esi
.text:0000000000001198 89 4D CC                      mov     [rbp+var_34], ecx
.text:000000000000119B 89 45 D4                      mov     [rbp+var_2C], eax
.text:000000000000119E 81 7D D0 51 69 6C 69          cmp     [rbp+var_30], 696C6951h
.text:00000000000011A5 75 19                         jnz     short loc_11C0
.text:00000000000011A5
.text:00000000000011A7 81 7D CC 6E 67 4C 61          cmp     [rbp+var_34], 614C676Eh
.text:00000000000011AE 75 10                         jnz     short loc_11C0
.text:00000000000011AE
.text:00000000000011B0 81 7D D4 62 20 20 20          cmp     [rbp+var_2C], 20202062h
.text:00000000000011B7 75 07                         jnz     short loc_11C0
.text:00000000000011B7
.text:00000000000011B9 48 8B 45 B8                   mov     rax, [rbp+var_48]
.text:00000000000011BD C6 00 01                      mov     byte ptr [rax], 1

就是让esi==696C6951h && ecx==614C676Eh && eax=20202062h，就可以解决了，所以直接hook掉1195，使得这些寄存器为相应的值

如此便解决了所有的挑战

exp