在ARM Cortex-M3上编写一个简单的C任意代码执行漏洞?

时间:2017-11-11 01:15:53

标签: c exploit cortex-m

我正在尝试用C编写一个概念证明,演示ARM Cortex-M3上堆栈中的内存缓冲区的代码执行。这将有助于证明正确使用ARM MPU可以防止此类攻击。我想一个快速而肮脏的方法来将一些代码放入堆栈中是从常规函数中复制它然后使用goto跳转到它,如下所示:

static void loopit(void)
{
    printf("loopit\n");
    while (1);
}

void attack(void)
{
    uint8_t buffer[64] __attribute__((aligned(4)));
    memcpy(buffer, loopit, sizeof(buffer));
    goto *((void *) (int) buffer);
}

我希望当我调用攻击函数时,它会将代码复制到堆栈中,跳转到它,打印消息并进入无限循环。但是,我在故障寄存器中得到以下值的异常:

HFSR = 0x40000000
CFSR = 0x00020000
PSR  = 0x60000000

这似乎是UFSR中的INVSTATE位,表示“非法使用EPSR”,我读到的通常是由于BX指令试图跳转到LSB设置为0的地址,处理器将其解释为其中包含非Thumb代码的函数,但Cortex-M处理器仅允许Thumb代码。我看到memcpy被赋予loopit函数的奇数地址,因为我假设编译器正在使实数内存地址与1进行或运算。所以我认为解决方法是重写我的攻击函数:

void attack(void)
{
    uint8_t buffer[64] __attribute__((aligned(4)));
    memcpy(buffer, ((int) loopit) & ~1, sizeof(buffer));
    goto *((void *) ((int) buffer) | 1);
}

然而,在这样做之后,我得到了一个与故障寄存器不同的异常:

HFSR = 0x40000000
CFSR = 0x00080000
PSR  = 0x81000000

这似乎没有任何意义,UFSR第3位设置意味着“处理器已尝试访问协处理器”。看看PC,这次看起来跳跃成功了,这很好,但后来有些东西掉了轨道,CPU看起来正在执行奇怪的指令,而不是进入无限循环。我尝试在goto之前关闭中断并注释掉printf,但没有运气。有什么问题以及如何使其发挥作用?

3 个答案:

答案 0 :(得分:1)

很抱歉因为滥用了答案表单,我已经调整了一些代码,它会从堆栈中闪烁一下LED:

void (*_delay_ms)(uint32_t) = delay_ms;

static void loopit(void)
{
    while (1)
    {
        GPIOC->ODR ^= 1 << 13;
        _delay_ms(125);
    }
}

void attack(void)
{
    volatile uint8_t buffer[64] __attribute__((aligned(4)));
    memcpy(buffer, (void *)((uint32_t) loopit & ~1), sizeof(buffer));
    goto *(void *)((uint32_t) buffer | 1);
}

我想知道我多久会收到有关UB的投诉。

答案 1 :(得分:0)

我最终没有使用goto,也没有尝试执行复制到堆栈存储器中的函数中的任何函数。另外,请确保使用noinlineO0编译堆栈函数。

我使用以下代码将堆栈地址转换为函数指针:

// Needed a big buffer and copied to the middle of it
#define FUNC_SIZE 256
#define BUF_SIZE (FUNC_SIZE * 3)

uint8_t mybuf[BUF_SIZE] __attribute__((aligned(8)));
uintptr_t stackfunc = (uintptr_t) mybuf;
stackfunc += FUNC_SIZE;

memcpy((void *) stackfunc, (void *) (((uintptr_t) &flashfunc) & ~1), FUNC_SIZE);

void (*jump_to_stack)(void) = (void (*)(void)) ((uintptr_t) stackfunc | 1);
jump_to_stack();

不确定为什么我必须将缓冲区设置得太大。我将函数复制到缓冲区的中间。

答案 2 :(得分:0)

void attack(void)
{
    uint16_t buffer[64];
    goto *((void *) (((unsigned int)(buffer)) | 1));
}

您要求它做一个分支,它不需要为分支设置lsbit,请确保分支交换。在这种情况下,请让该工具执行其工作。或者,如果有问题,请使用汇编语言执行分支,以便您可以专门控制所使用的指令,从而控制地址。

00000000 <attack>:
   0:   b0a0        sub sp, #128    ; 0x80
   2:   2301        movs    r3, #1
   4:   466a        mov r2, sp
   6:   4313        orrs    r3, r2
   8:   469f        mov pc, r3
   a:   46c0        nop         ; (mov r8, r8)

在这种情况下甚至不是分支,而是mov pc(功能相同)。绝对不在互操作指令列表中。请参阅建筑参考手册。

相关问题
最新问题