写在最前:最近没空写报告,实验原理虽然已经摸清了但是没空写。flag2到4是一些大胆的想法的通关方式,flag5是正经通关的。之后写报告的时候会补发正经的实验原理,和flag2到4正常的通关方式。

记得修改学号

安装Keil

安装破解过程:

  1. 安装Keil5:一路Next就行,名称邮箱全部任意填,安装驱动什么的一律选是,安装路径最好不要包含中文,或者直接默认

  2. 破解Keil5:以管理员权限打开刚刚安装的Keil5,关掉弹出来的让安装包的窗口,然后点击File-License Management,复制CID到破解软件中。破解软件填写CID、设置TargetARM之后,点击Generate生成LIC,粘贴到Keil5LIC输入框中。点击Add LIC就行。(日期过期没事

  3. 安装ARM CMSDK_CM4_FP:老师发的Keil5默认是没有我们要的ARM CMSDK_CM4_FP。不过老师还发了两个.pack文件,双击安装就行。一路Next安装路径要和Keil5的安装目录相对应

新建项目并添加文件:

Project-New uVersion Project ,然后配置直接按实验指导书就行,后面也直接按指导书。添加文件可以直接拖进去。编译就是Project-build

注意:如果之前装过其他版本的Keil,并新建了项目,记得删掉项目目录中的Listings、Objects、RTE,否则它会自动优先从这些目录下读取配置,版本就不对。

如果你配置项完全正确,和指导书完全一致,就直接0 Error。有错误就自行检查。

然后就会生成在Objects/下,运行如下指令运行:

~/qemu-7.0.0/build/qemu-system-arm -M mps2-an386 -cpu cortex-m4 -m 16M -nographic -d in_asm,nochain -kernel ~/exp6/task2/task2.axf -D log.txt

注意:任务2和3都要用架构mps2-an386

flag2和3

添加头文件的麻烦,贴个硬编码的,不用加头文件:

volatile unsigned int * pCTRL=(volatile unsigned int *)0xE000ED94;

*pCTRL=4;

0xE000ED94就是MPU的CTRL地址。
CTRL赋值为4就是关MPU。

还有种方法,改RNR,直接切换MPU让原来用的那块作废。

老师就只是更新了一点点内容,假如用的是最新版lib:
先加头文件:#include "CMSDK_CM4_FP.h",:

for(int i=0;i<8;i++){

	MPU->RNR=i;

	MPU->RASR&=0xFFFFFFFE;

}

MPU->CTRL=5;

与运算之后,MPU的末位是0,代表使MPU禁用。而当MPU全部被禁用时,作为特权级任务,这个Task就不受区域的限制了。在《权威指南》11章有说。

特权级的默认背景区域就是全部。

flag4

StartFreeRTOS(id, vTask3);上方添加这一行:

xTaskCreate( vTask3, "Test3", 100, NULL, ( 1 | ( 0x80000000UL ) ), NULL );

这时候,就有人要问了~为什么这一行能行呢?
之前我试成功的时候也没想到能行,后来写报告的时候看了一下流程就懂了。
先创建任务并放到任务序列里,再调用StartFreeRTOS。StartFreeRTOS的过程是先创建权限较低的vTask3任务,并在创建过程中完成对学号id的处理。在启动任务序列的时候,也有一部分对id的处理。但是!这些对id的处理,全部都在启动任务序列之前。因此,只要提前在任务序列中添加特权级的任务,并调用打印函数,即可完成打印。
ps:任务序列是并行执行的,第二个约束任务会挂掉。挂了就挂了,第一个已经打印了flag了。

老师要是想解决我这个绕过方式,就需要在启动任务序列之后,对id再进行一些变化,并延缓打印flag的速度。或者添加约束任务成功结束或返回后,才能打印flag的限制条件。

修改vTask3:

注意0x000029A9改为你的axf反汇编的vTaskRemove(也就是输出flag的函数)的地址加1。

注意:修改后编译的axf的函数地址会发生变化,先随便填一个,然后再逆向找这个函数的地址。

flag5

先逆向,看下你自己的栈空间和各种函数的地址。具体分析就和实验一一模一样的。
我的HelperBuffer大小是12,对应仨寄存器r1,r2,r3。类似的,如果你的大小是8,就对应俩寄存器。具体原因其实看ida的反汇编的最后一条pop指令就行,加3就是3个,加2就是2个。
xPortRaisePrivilege(提权函数)地址是000086E2
但从这开始不行,因为它会先push,把push的作为返回值,所以要跳过push这一条指令,从000086E4进。
vTaskDelayBackup(输出flag的函数)地址是00001C7C

输入学号。
长度24(是r1,r2,r3,pc+r4,pc)。
输入地址(记得加1):
(分别对应function的r1,r2,r3,pc、提权函数的r4,pc)

4个0 4个0 4个0 e5 86 0 0 4个0 7d 1c 0 0

log.txt里找Function和提权函数,看它pop后的情况就行。

先跳转提权:

再跳转flag函数:

【HUST】网络攻防实践|6_物联网设备固件安全实验|flag2~5速通指南的更多相关文章

  1. <网络攻防实践> 课程总结20169216

    课程总结20169216 每周作业链接汇总 第一周作业:Linux基础入门(1-5).基本概念及操作 第二周作业:linux基础入门(6-11).网络攻防技术概述网络攻防试验环境搭构.Kali教学视频 ...

  2. 20169214 2016-2017-2 《网络攻防实践》第十一周实验 SQL注入

    20169214 2016-2017-2 <网络攻防实践>SQL注入实验 SQL注入技术是利用web应用程序和数据库服务器之间的接口来篡改网站内容的攻击技术.通过把SQL命令插入到Web表 ...

  3. 2017-2018-2 20179204《网络攻防实践》第十一周学习总结 SQL注入攻击与实践

    第1节 研究缓冲区溢出的原理,至少针对两种数据库进行差异化研究 1.1 原理 在计算机内部,输入数据通常被存放在一个临时空间内,这个临时存放的空间就被称为缓冲区,缓冲区的长度事先已经被程序或者操作系统 ...

  4. 2017-2018-2 20179204《网络攻防实践》linux基础

    我在实验楼中学习了Linux基础入门课程,这里做一个学习小结. 第一节 linux系统简介 本节主要介绍了linux是什么.发展历史.重要人物.linux与window的区别以及如何学习linux. ...

  5. 2017-2018-2 20179215《网络攻防实践》seed缓冲区溢出实验

    seed缓冲区溢出实验 有漏洞的程序: /* stack.c */ /* This program has a buffer overflow vulnerability. */ /* Our tas ...

  6. 20169206 2016-2017-2 《网络攻防实践》 nmap的使用

    Part I 使用nmap扫描ubuntu靶机 先给出nmap的官方中文操作手册https://nmap.org/man/zh/,其实并不太好用,而且有时候会打不开,但至少是官方手册. 探查操作系统 ...

  7. 2017-2018-2 20179204《网络攻防实践》第十三周学习总结 python实现国密算法

    国密商用算法是指国密SM系列算法,包括基于椭圆曲线的非对称公钥密码SM2算法.密码杂凑SM3算法.分组密码SM4算法,还有只以IP核形式提供的非公开算法流程的对称密码SM1算法等. 第1节 SM2非对 ...

  8. 2018-2019-2 20165206 网络攻防技术 Exp5 MSF基础应用

    - 2018-2019-2 20165206<网络攻防技术>Exp5 MSF基础应用 - 实验任务 1.1一个主动攻击实践,如ms08_067; (1分) 1.2 一个针对浏览器的攻击,如 ...

  9. 物联网设备是如何被破解的?分析一种篡改IoT固件内容的攻击方式

    随着智能硬件进入到人们的生活,人们的生活质量开始有逐步的提高,人们与智能硬件之间的联系更加紧密.同时,智能硬件的安全问题也必须引起高度重视,因为其直接影响到人身安全.社会安全和国家安全.   大家是否 ...

  10. 20155321 《网络攻防》 Exp2 后门原理与实践

    20155321 <网络攻防> Exp2 后门原理与实践 实验内容 例举你能想到的一个后门进入到你系统中的可能方式? 我觉得人们在平时上网的时候可能会无意识地点击到一些恶意的网站,这些网站 ...

随机推荐

  1. FreeSql学习笔记——7.分组聚合

    前言   分组就是将元数据通过某些条件划分为组,而聚合就是对这些组进行整合操作:在sqlserver数据库中使用的关键字group by使符合条件的集合通过某些字段分好组,再使用聚合函数(如max() ...

  2. MYSQL数据空洞解析

    ## 背景引入 MYSQL中数据表A,在删除了一半的数据后,发现表空间的大小并没有减少,这是什么原因导致的呢? 定义 当对一定量数据执行delete操作时,MySQL将数据删除后进而导致页合并或者页删 ...

  3. day:2 软件测试流程——H模型

    软件测试流程_H 模型 一.详细流程 1.产品召开需求澄清会议,产品.开发.测试都参加 2.测试和开发拿到需求 3.测试经理拿到需求,根据需求编写测试计划 测试计划(内容:测试目的,背景,范围,测试准 ...

  4. 《<吕氏春秋> 刘本》

    <<吕氏春秋> 刘本>(卷三) 编者 刘昱合 其他版本 <吕氏春秋>(卷一) <吕氏春秋>(卷二) <<吕氏春秋> 全本>(卷三 ...

  5. 图片的 rgb信息 byte[] 直接转换为bmp文件

    方法1: /// <summary> /// rgb像素值转换为bmp文件 /// </summary> /// <param name="buffer&quo ...

  6. 无界 | Bncr | Boundless Nodejs Chat Robot 机器人框架安装使用教程

    背景:Bncr 是一个开箱即用的Nodejs Chat RoBot(会话式机器人)框架.它基于OOP函数响应式编程,具有占用小.响应快.开发易等特点,允许开发者创建高度可测试.可扩展.松散耦合且易于维 ...

  7. surpac 中如何删除点

    找到显示的编号 输入线窜线段编号

  8. 自行为一加6编译Postmarket os内核

    序 在为自己的一加6刷上PostmarketOS后突然某一天想使用它的照相机功能.原因是想到使用pmos拍照后笔者可以直接使用scp指令来传输手机相片到自己运行着GNU/Linux的电脑上,就感到相对 ...

  9. go语言中iota和左移<< 右移<<

    iota 特殊常量 在go语言中iota比较特殊,是一个被编译器修改的常量,在每一个const关键字出现时被重置为0,然后在下一个const出现之前,每出现一次iota,其所代表的数字就会自动加1 p ...

  10. Tauri跨端笔记实战(1) - 从零打造一款跨端的 AI 笔记

    前言 Tauri 跨端笔记实战项目是基于 Notegen 开源项目,本系列深度解析如何运用Tauri框架开发跨平台AI笔记应用.涵盖核心技术选型.架构设计.典型场景开发及常见问题解决方案,通过代码级演 ...