Embedded Security项目简介:
该项目主要以解锁智能密码锁为主要情景。你将扮演一个黑客,逆向智能锁的固件,找到其中的密码。该项目的题目是逐层递进的,每次在之前的版本上增加或修改代码,模仿产品不断迭代的过程。本题是项目中的第6个题目。该项目中使用自带的反编译器,使用简单的命令行操作,可以查看该项目第一题目Tutorial来熟悉操作,在此不再赘述。全程在网页中操作,非常方便随时练习。
项目地址
下面开始分析过程:
一、 Main()逻辑
只调用了login()函数,无任何其他代码。
二、 login()逻辑
如图2-1所示,在输出提示信息后,输入密码,调用conditional_unlock_door()函数开锁,然后根据返回值r15是否为0选择输出解锁成功还是失败。其中getsn()函数,将0x30和sp作为参数,表述输入字符串长度为0x30, 存储位置为sp指向的位置。
在输入一串“1”作为密码后,可以看到输入数据被存储在栈中。在login调用conditional_unlock_door()后,sp压栈。
三、 conditional_unlock_door()逻辑
由第二章得知,输出解锁成功信息的条件是r15不为0。但是在该函数中却将r15一直赋值为0,如图3-1中(1)和(3)处所示。(2)处调用的INT函数输入了(0x7e, r14, r15)作为参数,参数0x7e时效果未知,寄存器修改:r14 = 0x7e; r15 = 0x7e << 8;sr = r15 | 0x8000。在conditional_unlock_door()中并未将任何指针指向输入的字符串缓冲区。
(msp430的汇编是源操作数在左,目的操作数在右。(1)处的含义是将0x0赋值给r4减0x4地址处的存储单元,用C表示为: &(r4 - 0x4) = 0x0)
综上所述和图2-1所示,该函数根本没有处理和使用用户的输入,直接将返回值r15寄存器赋值为0。因为函数正常运行根本没有执行解锁,所以考虑使用栈溢出。
四、 栈分析
- 栈初始化:sp初始指向0x3a0a
- Main调用login:sp压栈, 变为0x3a08, 此时地址0x3a0a存储0x443c,该值为返回main后要执行的下一条地址。
- 在login中有连续入栈出栈操作,但只需要查看getsn()前sp最终的值即可,根据该值可以确定输入字符被存储在什么地方。
根据上图,getsn()时sp=0x39f8, 读入字符长度最大为0x30。输入数据从小地址向大地址存储,那么会覆盖main函数的返回地址,即图中红框部分,所以存在栈溢出。只需要将0x443c覆盖为开锁函数即可。
五、 溢出
0x39f8到0x3a0a相差18个字节,所以填充16个任意字节后,再填充开锁地址即可。在该题目中,尚未确定开锁函数,所以先填充第二章中开锁成功的指令地址,即0x451c。尝试填充数据为“010203040506070801020304050607081c45”(注意勾选16进制填充)。并未成功,所以判断题目是否成功,并非依靠输出来判断。
没有开锁程序就创造开锁程序,查找之前题目的开锁程序。发现第一题New Orlando中存在确定的开锁程序,如图5-1,5-2所示。
图5-2的INT函数与本题中的INT函数完全一致,因此该题目实际上存在开锁程序,但参数是0x7e所以无法开锁。开锁的关键在于图5-1中的push 0x7f。所以本题需要执行的指令是
push #0x7f
call #0x4532 <INT>
要实现上述执行自定义代码的目的,需要将sp指向输入缓冲区(0x39f8~0x3a08),暂不考虑开锁之后的程序运行。那么输入应该寻找指令对应的字节进行填充,在已有程序中寻找即可。pc执行代码是地址递增的,msp430是小端模式,所以填充数据为(push指令4字节+call指令4字节+填充字节8字节+跳转地址2字节):30127f00b01232450102030405060708f839
解锁成功!
六、 总结
由于之前的题目都是只顾寻找密码,而没有认真观察解锁程序。所以在解此题时花费了更多的时间。之后需要注意的是,IOT设备一般存储空间紧张,其中代码几乎没有无用代码,代码复用也多,需要注意每个函数的作用。
本题目之前的几个题目解答在一个建设中的项目中可以找到:
ctf项目地址在开头找
物联网安全百科
