【HUST】网络攻防实践｜6_物联网设备固件安全实验

文章目录

实验三 FreeRTOS-MPU 保护绕过

写在最前：一定要先将task3.sct文件链接到项目中，具体操作后文有写，而且我在附加内容里解释了sct文件的含义。

终于可以告别这个实践了。大家在心得里可以加一句“任务量较大，建议减少任务量”吗？

实验三 FreeRTOS-MPU 保护绕过

实验要求

MPU预设置：

a) 编写 C 代码实现基于 FreeRTOS-MPU v10.4 的提权代码和指定函数查找
b) 利用溢出漏洞实现在 FreeRTOS MPU V10.4 版本的系统提权和 Flag 函数打印

子任务1

首先，和上一个实验相似地，也是看一下.c文件的结构。

main函数：
① 定义无符号整型变量id，赋值为学号末4位；
② 调用prvSetupHardware()，硬件初始化；
③ 调用StartFreeRTOS(id, vTask3)；
④ 使用for(;;)让程序不退出。

vTask3的内容，只有for(;;)。

头文件和lib文件的作用与上一个实验差不多。

因此，所有任务要求都集中在StartFreeRTOS里了，我们需要进行进一步的逆向分析。

逆向分析StartFreeRTOS

IDA Pro打开并反编译StartFreeRTOS如下：

可以看到，该函数大致有如下几个操作：

① 将byte_7714的地址指向的内容拷贝给任务参数xTask3Parameters；
② 设置任务参数xTask3Parameters的函数指针为vTask3；
③ val *= id；
④ 调用xTaskCreateRetricted，结合任务参数xTask3Parameters创建被约束的任务；
⑤ 调用vTaskStartScheduler()启动任务序列。

我们要做的是在vTask3中调用提权函数，然后再调用打印flag的函数。

打印flag的函数好找，直接在IDA Pro的字符串窗口找就行，找到后双击点开，再查看引用：

总之能找到一个叫vTaskRemove的函数，它是无参数函数，能够打印flag。

找提权函数，我一开始完全不知道怎么找。
直到看了下实验讲解的PPT，看到了下面这张图：

可见，如果普通任务要使用内核API，不能直接使用，而是要添加MPU_，添加了这个的函数，其中包含提权操作。而且，提权操作应该是利用SVC中断。

因此，我们不妨在IDA Pro中随便打开一个MPU_的函数逆向分析一下，找到其中的提权操作。我以MPU_vTaskDelete为例。IDA Pro中分析如下：

上图中我框出来的就是提权操作。可以看到，就是先做了些进入函数的压栈操作，随后把要提权的Task传入R4，如果R4不为0就跳转提权函数（如果为0那么本身就是特权级）。然后再常规地执行xTaskDelete这个内核API。

很明显，提权函数就是xPortRaisePrivilege，而且利用寄存器R4传参，所以它也是个无参数的函数。

先不急着把地址填入，因为这个地址在修改了vTask3内容之后会发生改变。先假装已经找到了地址，并在vTask3中使用地址调用这些函数，这样，找到之后就只需要修改成对应的地址。添加代码如下：

注意，随便填的地址不得为全零、不得相同，最好是填得像一点，否则二度修改后，地址又会变化。

void (*pPrivilege)();

void (*pFunc)();

pPrivilege=(void(*)())0x00001051;

pFunc=(void(*)())0x000029AD;

pPrivilege();

pFunc();

Rebuild后，去IDA Pro中查找函数地址。在使用地址调用函数的时候，需要加一。

需要注意的是，当函数地址已经添加正确，但log.txt中却连vTask3都没有的时候，很可能是项目的配置出了问题，如内存地址分布，出问题的log.txt如下：

此时必须要导入老师发的task3.srt，导入方式如下：

导入完成后，重新构建项目，并重新逆向分析地址。（我导入后重新截了一遍图）

sct具体的作用见下文的附加内容1。

打印 Flag 函数名称和地址

名称：vTaskRemove；
地址：0x000005F4。

内容如下图所示：

用于提权的函数名称和地址

名称：xPortRaisePrivilege；
地址：0x00008EDC。

内容如下图所示：

填写的代码

注意，需要将上述找到的地址加1后再调用。填写的代码如下图所示：

模拟运行截图

运行并打印flag的结果如下：

log.txt如下：

之所以要把log.txt也截图出来，是因为之前分析的时候，可以看到xPortRaisePrivilege函数提权的任务是R4寄存器，而我们只是简单地调用了该函数，并未对R4寄存器做处理。可是也成功了。
查看log.txt会发现，并没有明显的对R4寄存器处理的内容，最近一次赋值是prvSVCHandler的pop。我猜测有可能只需要执行svc 2中断即可提权，具体情况尚未明确，不过对本实验无任何影响。

后来写flag5报告的时候，意识到当R4为0时，提权的应该就是本任务；或者，不论R4的取值，都会对本任务提权。

附加内容1：sct文件的作用

下图左是老师发的sct文件，下图右是软件自动生成的sct文件。

sct文件也就是内存映射布局文件。
一般情况，编译的时候，只是让所有的函数（如上图中的.ANY (+R0)）按照函数名称排序放进内存里，并没有所谓特权访问还是用户访问的访问控制。
在我们设置了MPU之后，编译并不会跟着受影响。因此，非特权函数可能就放入了我们自己规定的MPU中特权函数的那个区域，非特权函数保存在了特权函数的地址范围，MPU就不会允许执行了。

而老师修改后的sct文件，对API的位置重新布局，把特权函数privileged_functions放到了第一段（就是MPU中只允许特权执行的那个位置ER_IROM1），把其他的放到了ER_IROM2。并把特权数据privileged_data放到了MPU中只允许特权可读写的段RW_IRAM1，把其他的放到了RW_IRAM2。

这样，就会让内存映射与MPU设置一致了。