一种Wasm逆向静态分析方法


前言

WebAssembly(缩写为Wasm)是基于堆栈的虚拟机的二进制指令格式。Wasm被设计为可编程C/ C ++ /Rust等高级语言的可移植目标,可在Web上部署客户端和服务器应用程序。

随着wasm的逐渐流行,在最近的ctf比赛中出现了很多wasm类型的逆向题。没接触过wasm的人会比较苦手。即使对wasm有一定的了解,由于wasm的汇编语言可读性十分差,逆向起来会非常的痛苦。本文以刚刚结束的defconquals中的一道题和其他一些题为例,介绍一种wasm的优化分析方法,初步探究wasm逆向。

wasm汇编简介

wasm是基于堆栈的虚拟机的二进制指令格式。与x86架构的汇编又很大的区别。反倒更加类似python的opcode

下面分别是C++,wat,以及由用g++编译的x86 assembly代码,让我们首先对wasm汇编有个初步印象。

WebAssembly Explorer可以在线编译wasm

C++代码:

    int testFunction(int* input, int length) {
      int sum = 0;
      for (int i = 0; i < length; ++i) {
        sum += input[i];
      }
      return sum;
    }

wat代码:

    (module
     (table 0 anyfunc)
     (memory $0 1)
     (export "memory" (memory $0))
     (export "_Z12testFunctionPii" (func $_Z12testFunctionPii))
     (func $_Z12testFunctionPii (; 0 ;) (param $0 i32) (param $1 i32) (result i32)
      (local $2 i32)
      (set_local $2
       (i32.const 0)
      )
      (block $label$0
       (br_if $label$0
        (i32.lt_s
         (get_local $1)
         (i32.const 1)
        )
       )
       (loop $label$1
        (set_local $2
         (i32.add
          (i32.load
           (get_local $0)
          )
          (get_local $2)
         )
        )
        (set_local $0
         (i32.add
          (get_local $0)
          (i32.const 4)
         )
        )
        (br_if $label$1
         (tee_local $1
          (i32.add
           (get_local $1)
           (i32.const -1)
          )
         )
        )
       )
      )
      (get_local $2)
     )
    )

使用gcc编译的x86汇编:

   push    rbp
   mov     rbp, rsp
   mov     [rbp-18h], rdi
   mov     [rbp-1Ch], esi
   mov     dword ptr [rbp-8], 0
   mov     dword ptr [rbp-4], 0
   mov     eax, [rbp-4]
   cmp     eax, [rbp-1Ch]
   jge     short loc_400766
   mov     eax, [rbp-4]
   cdqe
   lea     rdx, ds:0[rax*4]
   mov     rax, [rbp-18h]
   add     rax, rdx
   mov     eax, [rax]
   add     [rbp-8], eax
   add     dword ptr [rbp-4], 1
   jmp     short loc_01
loc_01:
   mov     eax, [rbp-8]
   pop     rbp
   retn

可以看到,不同于x86使用的寄存器加栈的架构,wasm主要基于栈。局部变量被保存在local内,全局变量保存在global中,对变量的操作则使用get_local入栈,操作完再使用set_local设置局部变量。

接下来我们以DEF CON CTF 2019 Quals中的wasm为例,讲解一种wasm的逆向分析方法

拿到网址后f12把wasm下载下来,得到wasm.wasm

反汇编

就像x86汇编,wat的每一句机器码都能唯一的对应一句wasm汇编语句。

幸运的是,ida自带webassembly的处理器模块。wasm文件可以直接被反汇编。

或是使用wasm2wat,将生成一份文本格式的.wat文件。

./wasm2wat wasm.wasm -o wasm.wat

然而没有人愿意对着”低级”的汇编代码分析,我们更情愿看”高级”一点的语言。

有关wat文本格式的文章:理解WebAssembly文本格式

反编译

ida当然没有反编译模块。(事实上,正常情况下ida只支持x86和arm架构的反编译)

好在,我们可以用wasm2c来生反编译

这里是wabt的项目仓库,可以基本实现wasm,wat,c之间的相互转换

编译好后,用如下指令得到c代码:

./wasm2c wasm.wasm -o wasm.c

得到wasm.c和wasm.h

然而此工具得到的c代码并不尽如人意,光是行数已经很吓人了,这道nodb反编译出来的c文件由12000+行!

而且代码几乎和wat内容没啥区别

随便截取其中的几行,似乎只是把局部变量与全局变量换了个名字,省略了出入栈的操作。

    //...
      u32 i0, i1, i2;
      i0 = g12;
      l64 = i0;
      i0 = p1;
      l45 = i0;
      i0 = p0;
      l55 = i0;
      i0 = l45;
      i1 = l55;
      i0 ^= i1;
      l56 = i0;
      i0 = l56;
      i1 = 3u;
      i0 &= i1;
      l57 = i0;
      i0 = l57;
      i1 = 0u;

    //...

优化

这种代码显然是无法分析的,我们需要优化

这里提供一种比较简单的优化方式:用gcc编译后在用ida反编译

将之前反编译出来的wasm.c,wasm.h,以及wabt项目内的wasm-rt.h,wasm-rt-impl.c,wasm-rt-impl.h三个文件放到同一个文件夹。

直接gcc wasm.c会报错,因为很多wasm的函数没有具体的实现。但是我们可以只编译不链接,我们关心的只是程序本身的逻辑,不需要真正编译出能运行的elf来。

    $ gcc -c wasm.c -o wasm.o

得到的还未连接的elf文件wasm.o

现在可以丢进ida来分析了,比之前的wasm.c友好很多。

尽管和原始的代码差别较大,但好歹可以开始分析了。

{% ads 3 %}

常量

搜索字符串是每个逆向手接触一个程序的第一步

对于wasm,所有的字符串会被存放在二进制文件的末尾,以此能获取一些关键的信息。

同时也能在wasm.c中看到这些字符串的定义

直接对字符串查找引用是找不到引用的,因为并不是直接对地址的引用,想找到这些字符串会困难一些。

然而开头的常量比较可疑,比赛的flag格式是OOO{},这里开头又有连续三个一样的字节,让人联想到异或或者只是一个偏移。抱着试试看的态度减了一下,直接出了flag。。。

除了这种偷鸡的做法,细心看看代码也能看出一点端倪。

在f24函数中,似乎从0x400开始的地方获取了个字节,然后返回了这个字节减66,刚好是跟flag的差距。

    if ( g12 >= g13 )
        Z_envZ_abortStackOverflowZ_vi(80LL);
      v1 = i64_load(Z_envZ_memory, 0x400LL);
      i64_store(Z_envZ_memory, v13, v1);
      v2 = i64_load(Z_envZ_memory, 0x408LL);
      i64_store(Z_envZ_memory, v13 + 8, v2);
      v3 = i64_load(Z_envZ_memory, 0x410LL);
      i64_store(Z_envZ_memory, v13 + 16, v3);
      v4 = i64_load(Z_envZ_memory, 0x418LL);
      i64_store(Z_envZ_memory, v13 + 24, v4);
      v5 = i64_load(Z_envZ_memory, 0x420LL);
      i64_store(Z_envZ_memory, v13 + 32, v5);
      v6 = i64_load(Z_envZ_memory, 0x428LL);
      i64_store(Z_envZ_memory, v13 + 40, v6);
      v7 = i64_load(Z_envZ_memory, 0x430LL);
      i64_store(Z_envZ_memory, v13 + 48, v7);
      v8 = i64_load(Z_envZ_memory, 0x438LL);
      i64_store(Z_envZ_memory, v13 + 56, v8);
      v9 = i32_load(Z_envZ_memory, 0x440LL);
      i32_store(Z_envZ_memory, v13 + 64, v9);
      v10 = i32_load8_s(Z_envZ_memory, 0x444LL);
      i32_store8(Z_envZ_memory, v13 + 68, v10);
      v11 = i32_load8_s(Z_envZ_memory, a1 + v13);
      g12 = v13;
      --wasm_rt_call_stack_depth;
      return (unsigned __int8)(v11 - 66);

主逻辑在_authenticate,其中有两处比较可疑:

    v1 = i32_load(Z_envZ_memory, 0x4D0LL);
    i32_store(Z_envZ_memory, (unsigned int)(v18 + 28), v1);
    v2 = i32_load8_s(Z_envZ_memory, 0x4D4LL);

还有循环结尾的:

    if ( v11 == 69 )
        {
          g12 = v18;
          v13 = 0x4D5;
        }
    else
        {
          g12 = v18;
          v13 = 0x4DD;

如果0x400指向常量的开头,0x4d5刚好对应success,0x4DD刚好对应failure。这肯定不是巧合。事实上,0x400的偏移都对应常量开头,在之前做的另外一些题中也能看到类似的结构。

如此一来,我们便能轻易的从密文中猜出flag

另外两个例子

simple wasm

这是去年上交大运维赛的一道web题,能得到一个wasm。

直接在文件为查找字符串:

看到了base64表和密文,解码出来是

  iodj~44h393d5fh4;e:9h6i598f798;gd<4hf€

看看check函数,有个地方可疑:

    while ( v14 != 38 )
      {
        v4 = v14++;
        v5 = i32_load8_s(Z_envZ_memory, v4 + a1);
        f797(v21, (unsigned __int8)(v5 + 3));
      }

38就是长度,下面有个+3,也就是凯撒密码。

减一下就能得到flag

    flag{11e060a2ce18b76e3f265c4658da91ec}
{% ads 4 %}

where_u_are

这是前阵子国赛初赛中的一道wasm题。

先找字符串,确定main函数位置

注意f23中几个函数调用的参数:

    for ( i = 0; i < 1; i++ )
      {
        i32_store(Z_envZ_memory, (unsigned int)v11, v9);
        f99(0x1170u, (char *)(unsigned int)v11, (unsigned int)v11);
        v4 = f23(v9, (char *)(unsigned int)v11, v3);
        v7 = f24((int *)v4, (unsigned int)v11, v5);
        f64_load(Z_envZ_memory, v7 + 8);
        f64_load(Z_envZ_memory, v7);
        f64_store(Z_envZ_memory, v10);
        f64_store(Z_envZ_memory, (unsigned int)((_DWORD)v11 + 16));
        f98(0x1173u, v10, v10);
      }
      f64_load(Z_envZ_memory, v7);
      if ( 0.0 - (double)25 >= 1.0 || (f64_load(Z_envZ_memory, v7 + 8), 1.0 - (double)175 >= 1.0) )
      {
        f98(0x1186u, (unsigned int)((_DWORD)v11 + 32), (unsigned int)((_DWORD)v11 + 32));
        g10 = (signed int)v11;
      }
      else
      {
        f98(0x117Cu, (unsigned int)((_DWORD)v11 + 24), (unsigned int)((_DWORD)v11 + 24));
        g10 = (signed int)v11;
      }

注意f99, f98的参数:0x1170, 0x1173, 0x1168, 0x117C

刚好对应之前的字符串常量之间的偏移,可以断定这是scanf和printf

f23中对输入进行了一些操作:

    for ( i = 0; i < (unsigned int)strlen(a1, (__int64)a2, v3); ++i )
      {
        for ( j = 4; ; --j )
        {
          v3 = (unsigned int)j;
          if ( j >= 0 == 0 )
            break;
          ++v11;
          v4 = i + a1;
          v5 = i32_load8_s(Z_envZ_memory, v4);
          v7 = f22(v5, v4, v6);
          a2 = (char *)(unsigned int)(4 * (v11 - 1) + 0x11E0);
          i32_store(Z_envZ_memory, (__int64)a2, (v7 >> (j % 5 & 0x1F)) & 1);
        }
      }

再看看f22

    for ( i = 0; ; ++i )
      {
        if ( i >= 32 )
        {
          v6 = 6;
          goto LABEL_11;
        }
        v4 = i;
        if ( a1 == (char)i32_load8_s(Z_envZ_memory, (unsigned int)(i + 0x400)) )
          break;
      }

似乎是从0x400的偏移找某个值,而且范围是32?

找找0x400的偏移(跟之前一样,0x400也是字符串常量的开头?)

在数据开头,看到了一个长度为32的表

    .rodata:000000000006BF00 data_segment_data_0 db '0123456789bcdefghjkmnpqrstuvwxyz'
    .rodata:000000000006BF00                                         ; DATA XREF: init_memory+14↑o
    .rodata:000000000006BF20                 db    2

联想一下之前的查表,这应该是我们的输入范围。

回到f23,看到循环内有右移j%5再&1得操作,可能是分离每一位

加密逻辑在f24内:

    v11 = -180.0;
    v12 = 180.0;
    v13 = -90.0;
    v14 = 90.0;
    for ( i = 0; i < 50; ++i )
    {
      v6 = i32_load(Z_envZ_memory, (unsigned int)(4 * i + (_DWORD)a1));
      if ( (i + 1) % 2 == 1 )
        i32_store(Z_envZ_memory, (unsigned int)(4 * ((i + 1) / 2) + v7), v6);
      else
        i32_store(Z_envZ_memory, (unsigned int)(4 * (i / 2) + v8), v6);
    }
    for ( j = 0; j < 20; ++j )
    {
      if ( (unsigned int)i32_load(Z_envZ_memory, (unsigned int)(4 * j + v7)) == 1 )
      {
        v11 = v10;
        v10 = (v10 + v12) / 2.0;
      }
      else if ( (unsigned int)i32_load(Z_envZ_memory, (unsigned int)(4 * j + v7)) == 0 )
      {
        v12 = v10;
        v10 = (v11 + v10) / 2.0;
      }
      if ( (unsigned int)i32_load(Z_envZ_memory, (unsigned int)(4 * j + v8)) == 1 )
      {
        v13 = v9;
        v9 = (v9 + v14) / 2.0;
      }
      else if ( (unsigned int)i32_load(Z_envZ_memory, (unsigned int)(4 * j + v8)) == 0 )
      {
        v14 = v9;
        v9 = (v13 + v9) / 2.0;
      }
    }

是不是很像二分查找?

猜测下逻辑,把输入按32个字符的table映射到一个0-31的数字,转二进制后,根据奇数位和偶数位分成两组,根据每一位为1或0决定二分查找的方向,两组分别在[-180,180]和[-90,90]区间内二分查找,找到结果为175和25时结果正确,注意精度要足够。

小结

初步分析了wasm静态分析的方法。wasm作为一种新的指令格式,相关工具并不齐全。总体上还有很大的进步空间。

关于wasm的动态调试过程在网上可以查到很多教程,这里就不多做分析了。用chrome,Firefox等浏览器可以轻松实现wasm的动态调试。在动态调试的过程中能验证静态分析的一些猜想。


 上一篇
一步步学习Webassembly逆向分析方法 一步步学习Webassembly逆向分析方法
在强网杯2019线上赛的题目中,有一道名为Webassembly的wasm类型题,作为CTF新人,完全没有接触过wasm汇编语言,对该类型无从下手,查阅相关资料后才算入门,现将Webassembly的静态分析和动态调试的方法及过程整理如下,
2019-11-24
下一篇 
用idawasm IDA Pro逆向WebAssembly模块 用idawasm IDA Pro逆向WebAssembly模块
简介本文介绍idawasm,为WebAssembly提供加载器和处理器的IDA Pro插件。Idawasm可以允许在所有支持IDA Pro的操作系统上,下载地址为https://www.github.com/fireeye/idawasm
2019-11-22
  目录