IOT安全（Embedded Security）CTF--Whitehorse

Embedded Security项目简介：

该项目主要以解锁智能密码锁为主要情景。你将扮演一个黑客，逆向智能锁的固件，找到其中的密码。该项目的题目是逐层递进的，每次在之前的版本上增加或修改代码，模仿产品不断迭代的过程。本题是项目中的第6个题目。该项目中使用自带的反编译器，使用简单的命令行操作，可以查看该项目第一题目Tutorial来熟悉操作，在此不再赘述。全程在网页中操作，非常方便随时练习。
项目地址
下面开始分析过程：

一、 Main()逻辑

只调用了login()函数，无任何其他代码。

二、 login()逻辑

图2-1 login函数.png

如图2-1所示，在输出提示信息后，输入密码，调用conditional_unlock_door()函数开锁，然后根据返回值r15是否为0选择输出解锁成功还是失败。其中getsn()函数，将0x30和sp作为参数，表述输入字符串长度为0x30， 存储位置为sp指向的位置。

图2-2 进入conditional_unlock_door()前的栈指针.png

在输入一串“1”作为密码后，可以看到输入数据被存储在栈中。在login调用conditional_unlock_door()后，sp压栈。

三、 conditional_unlock_door()逻辑

由第二章得知，输出解锁成功信息的条件是r15不为0。但是在该函数中却将r15一直赋值为0，如图3-1中（1）和（3）处所示。（2）处调用的INT函数输入了(0x7e, r14, r15)作为参数，参数0x7e时效果未知，寄存器修改：r14 = 0x7e; r15 = 0x7e << 8；sr = r15 | 0x8000。在conditional_unlock_door()中并未将任何指针指向输入的字符串缓冲区。

图3-1 conditional_unlock_door()函数.png

（msp430的汇编是源操作数在左，目的操作数在右。（1）处的含义是将0x0赋值给r4减0x4地址处的存储单元，用C表示为： &(r4 - 0x4) = 0x0）

综上所述和图2-1所示，该函数根本没有处理和使用用户的输入，直接将返回值r15寄存器赋值为0。因为函数正常运行根本没有执行解锁，所以考虑使用栈溢出。

四、 栈分析

1. 栈初始化：sp初始指向0x3a0a

图4-1 sp初始化.png

2. Main调用login：sp压栈, 变为0x3a08, 此时地址0x3a0a存储0x443c,该值为返回main后要执行的下一条地址。

图4-2 返回main函数的返回地址入栈.png

3. 在login中有连续入栈出栈操作，但只需要查看getsn()前sp最终的值即可，根据该值可以确定输入字符被存储在什么地方。

图4-3 getsn()执行前，栈情况.png

根据上图，getsn()时sp=0x39f8, 读入字符长度最大为0x30。输入数据从小地址向大地址存储，那么会覆盖main函数的返回地址，即图中红框部分，所以存在栈溢出。只需要将0x443c覆盖为开锁函数即可。

五、 溢出

0x39f8到0x3a0a相差18个字节，所以填充16个任意字节后，再填充开锁地址即可。在该题目中，尚未确定开锁函数，所以先填充第二章中开锁成功的指令地址，即0x451c。尝试填充数据为“010203040506070801020304050607081c45”（注意勾选16进制填充）。并未成功，所以判断题目是否成功，并非依靠输出来判断。

没有开锁程序就创造开锁程序，查找之前题目的开锁程序。发现第一题New Orlando中存在确定的开锁程序，如图5-1,5-2所示。

图5-1 New Orlando的开锁程序.png

图5-2 New Orlando的开锁程序调用INT函数.png

图5-2的INT函数与本题中的INT函数完全一致，因此该题目实际上存在开锁程序，但参数是0x7e所以无法开锁。开锁的关键在于图5-1中的push 0x7f。所以本题需要执行的指令是

push #0x7f

call #0x4532

要实现上述执行自定义代码的目的，需要将sp指向输入缓冲区（0x39f8~0x3a08）,暂不考虑开锁之后的程序运行。那么输入应该寻找指令对应的字节进行填充，在已有程序中寻找即可。pc执行代码是地址递增的，msp430是小端模式，所以填充数据为(push指令4字节+call指令4字节+填充字节8字节+跳转地址2字节)：30127f00b01232450102030405060708f839

解锁成功！

六、 总结

由于之前的题目都是只顾寻找密码，而没有认真观察解锁程序。所以在解此题时花费了更多的时间。之后需要注意的是，IOT设备一般存储空间紧张，其中代码几乎没有无用代码，代码复用也多，需要注意每个函数的作用。

本题目之前的几个题目解答在一个建设中的项目中可以找到：
ctf项目地址在开头找
物联网安全百科