鑽石舞台｜痞客邦

2021年西湖論劍網絡安全技能大賽圓滿的落下了帷幕，在本次技能大賽中，海特實驗室負責了IoT與虛實挑戰區的賽制、賽題設計。本次的賽事設計秉承着貼近實戰，以練促學的原則由淺到深的安排題目，覆蓋了在物/車聯網安全行業中常見的情景與典型的漏洞，知識點涵蓋了硬件原理逆向、靜態編譯二進制處理分析、供應鏈攻擊、側信道分析原理、內核態攻防、物理總線攻防、小芯片冷門指令集逆向等先進方向，全方位的考察選手在IoT領域的知識儲備與技術能力。

在賽後，海特實驗室準備了官方WP供各位參賽選手或愛好者學習復現，由於本次比賽中部分題目涉及真實設備的0或1day漏洞，在題目0解且互聯網無公開其利用的情況下，此類題目將不會提供writeup，包括simple_ecos整個挑戰和getflag機器人的部分挑戰過程。本次比賽中的題目將會以二進制的方式開放在海特實驗室的GitHub ( 具體鏈接在文章底部) 上，歡迎各位參賽選手和愛好者研究、復現。一個劇透

以下是海特實驗室自研的開發版並用於本次的IoT競賽。

請關注公眾號: 網絡安全研究宅基地我們近期將舉辦一系列活動，在這些活動內，有機會獲得比賽同款硬件攻防開發板。

開發板簡介與操作須知

簡介：

本次比賽為每一位參賽選手準備了一塊掌上開發板，該開發板混合了兩種CPU架構：ARM924EJS與AVR，分別用於模擬Linux IoT與單片機場景。這塊開發板具有豐富的外圍接口設計，包括豐富的控制按鈕，狀態指示燈，充電電池連接器，顯示屏連接器，攝像頭連接器，MCU擴展連接器，藍牙模組。板載了USB串口的設計可以大大簡化了使用的複雜度，使選手更專注於題目的解答。

操作須知：

開發板的OTG口連接pc默認可以獲取一個網口，用於開發板和pc通信。

開發板的UART口連接pc可以通過串口工具連接串口，波特率是115200。

開發板的RST按鍵可以重啟設備。

每個賽題包含兩個文件*.hsqs和*.hsqs.sign，將這兩個文件拷貝至TF卡第一個FAT32分區的根目錄下，需要保證TF卡內有且只有一道題目，將TF卡插入板子按下RST按鈕（不是MCU RST）重啟板子。板子啟動後RUN指示燈常亮表示賽題已正確啟動。LED燈閃爍查看串口輸出檢查故障。

板子的OTG接口可以被重編程成任意行為的USB設備，在RW題目usb_hacker內，需要選手將開發板修改為一個發送惡意USB Mass storage數據的設備對目標硬件發起攻擊。

獲取開發板的Linux調試shell

直接修改uboot的bootargs獲取shell的方法已在本次比賽中通過patch封禁，選手需要使用其他方法getshell。

通過串口查看開發板啟動日誌可以發現開發板支持dfu協議。

在適當的時期運行dfu-util -l可以獲取設備的分區信息

dfu-util 0.9Copyright 2005-2009 Weston Schmidt, Harald Welte and OpenMoko Inc.Copyright 2010-2016 Tormod Volden and Stefan SchmidtThis program is Free Software and has ABSOLUTELY NO WARRANTYPlease report bugs to http://sourceforge.net/p/dfu-util/tickets/Found DFU: [1f3a:1010] ver=0215, devnum=100, cfg=1, intf=0, path="3-6", alt=4, name="rom", serial="UNKNOWN"Found DFU: [1f3a:1010] ver=0215, devnum=100, cfg=1, intf=0, path="3-6", alt=3, name="kernel", serial="UNKNOWN"Found DFU: [1f3a:1010] ver=0215, devnum=100, cfg=1, intf=0, path="3-6", alt=2, name="env", serial="UNKNOWN"Found DFU: [1f3a:1010] ver=0215, devnum=100, cfg=1, intf=0, path="3-6", alt=1, name="u-boot", serial="UNKNOWN"FoundDFU:[1f3a:1010]ver=0215,devnum=100,cfg=1,intf=0,path="3-6",alt=0,name="all",serial="UNKNOWN"

通過dfu-util -U可以獲取設備kernel分區的鏡像。

dfu-util -R -a kernel -U kernel.itb

通過dumpimage工具可以分析FIT Image。

dumpimage -l kernel.itbFIT description: Generic Allwinner FIT ImageCreated: Wed Mar 9 22:38:14 2022Image 0 (kernel-1)Description: Linux kernelCreated: Wed Mar 9 22:38:14 2022Type: Kernel ImageCompression: uncompressedData Size: 4579584 Bytes = 4472.25 KiB = 4.37 MiBArchitecture: ARMOS: LinuxLoad Address: 0x80000000Entry Point: 0x80000000Hash algo: sha1Hash value: 2bf3fcc2fbb60832f5449f7f15c236321c9920b5Image 1 (initrd-1)Description: Linux initrdCreated: Wed Mar 9 22:38:14 2022Type: RAMDisk ImageCompression: uncompressedData Size: 4133979 Bytes = 4037.09 KiB = 3.94 MiBArchitecture: ARMOS: LinuxLoad Address: unavailableEntry Point: unavailableHash algo: sha1Hash value: 170343129ac6eb0ce7268ecabac2aabb591c3090Image 2 (fdt-1)Description: Flattened Device Tree blobCreated: Wed Mar 9 22:38:14 2022Type: Flat Device TreeCompression: uncompressedData Size: 16195 Bytes = 15.82 KiB = 0.02 MiBArchitecture: ARMHash algo: sha1Hash value: 041dedf1ecb4dbf9f52aa5bb56bf5850c57e6aacDefault Configuration: 'conf-1'Configuration 0 (conf-1)Description: Linux Bootable FITKernel: kernel-1Init Ramdisk: initrd-1FDT: fdt-1Hash algo: crc32Hashvalue:unavailable

然後通過dumpimage將kernel.itb剝離。分離出來的kernel和initrd先放一邊。

dumpimage -l kernel.itb -p 0 -o kernel_1dumpimage -l kernel.itb -p 1 -o initrd_1dumpimage -l kernel.itb -p 2 -o fdt.dtbExtracted:Image 2 (fdt-1)Description: Flattened Device Tree blobCreated: Wed Mar 9 22:38:14 2022Type: Flat Device TreeCompression: uncompressedData Size: 16195 Bytes = 15.82 KiB = 0.02 MiBArchitecture: ARMHash algo: sha1Hashvalue:041dedf1ecb4dbf9f52aa5bb56bf5850c57e6aac

再用dtc工具將dtb文件變成dts文件。

dtc -I dtb -O dts fdt.dtb > fdt.dts

這時候打開fat.dts文件就可以看到設備的設備樹，找到設備樹的bootargs，在這裡加入rdinit。

chosen {#address-cells = <0x01>;#size-cells = <0x01>; ranges; bootargs = "console=ttyS0,115200 rdinit=/bin/sh";};

然後將dts文件重新打包成dtb文件

dtc -I dts -O dtb fdt.dts >fdt.dtb

修改完dtb文件之後選手需要自己寫一個its文件，這個its文件可以根據dumpimag -l 的結果寫。這時候之前剝離的kernel和initrd都需要用上。

/dts-v1/;/ { description = "Generic Allwinner FIT Image";#address-cells = <1>; images { kernel-1 { description = "Linux kernel"; data = /incbin/("kernel_1");type = "kernel"; arch = "arm"; os = "linux"; compression = "none"; load = <0x80000000>; entry = <0x80000000>;hash@1 { algo = "sha1"; }; }; initrd-1 { description = "Linux initrd"; data = /incbin/("initrd_1");type = "ramdisk"; arch = "arm"; os = "linux"; compression = "none";hash@1 { algo = "sha1"; }; }; fdt-1 { description = "Flattened Device Tree blob"; data = /incbin/("fdt.dtb");type = "flat_dt"; arch = "arm"; compression = "none";hash@1 { algo = "sha1"; }; }; }; configurations { default = "conf-1"; conf-1 { description = "Linux Bootable FIT"; kernel = "kernel-1"; fdt = "fdt-1"; ramdisk="initrd-1";hash@0 { algo = "crc32"; }; }; };};

將編寫的its文件編譯成itb文件

mkimage -f kernel.its kernel.itb

再用dfu工具將生成的kernel.itb文件刷回板子上，這時候啟動開發板就可以獲取一個初始的shell。

dfu-util -R -a kernel -D kernel.itb

抹掉/etc/shadow的登陸密碼然後運行/sbin/init就可以獲取開發板完整的shell。

一、Linux IoT系列0x01 tqmm

題目實現了一套mqtt通信的程序，在連接到目標服務的9990端口之後，會有一個提示publish me：

此題考查了選手對mosquitto_pub開源工具的用法，直接用改命令發布一個名稱為2022/hatlab/flag的topic，mesasge為oiU7m9ipyqFdzkUFb1vfkabZ7IqiAefslrc3ovql2dA=的內容即可，在原輸出信息中就會回顯flag：

(繼續閱讀...)

鑽石舞台發表在痞客邦留言(0) 人氣()

個人分類：不設分類

▲top

Mar 18 Fri 2022 16:31
筆吧評測室 - 約 2559 元，配件商 StarTech 推出全新 Thunderbolt 4 Dock 擴展塢

本文轉自：IT之家作者：瀟公子

據 Apple Insider 報道，配件商 StarTech 的新 Dock 擴展塢 TB4CDock 允許用戶用一根線纜將最喜歡的外圍設備連接到 Mac 上，同時為蘋果 MacBook Pro 16 英寸提供全部電源。TB4CDock 在亞馬遜上售價為 402.31 美元（約 2558.69 元人民幣）。

(繼續閱讀...)

鑽石舞台發表在痞客邦留言(0) 人氣()