代码执行利用 Cortex M4
Code execution exploit Cortex M4
为了测试 MPU 和利用漏洞,我想在我的 STM32F4 开发板上从本地缓冲区 运行 执行代码。
int main(void)
{
uint16_t func[] = { 0x0301f103, 0x0301f103, 0x0301f103 };
MPU->CTRL = 0;
unsigned int address = (void*)&func+1;
asm volatile(
"mov r4,%0\n"
"ldr pc, [r4]\n"
:
: "r"(address)
);
while(1);
}
在main中,我首先打开了MPU。在 func 中存储了我的指令。在 ASM 部分,我将地址(0x2001ffe8 +1 for thumb)加载到程序计数器寄存器中。当使用 GDB 单步执行代码时,在 R4 中存储正确的值,然后将其传输到 PC 寄存器。但是我最终会进入 HardFault 处理程序。
编辑:
堆栈看起来像这样:
0x2001ffe8: 0x0301f103 0x0301f103 0x0301f103 0x2001ffe9
记忆中的指令是正确的。 Cortex 权威指南说区域 0x20000000–0x3FFFFFFF 是 SRAM,“这个区域是可执行的,
所以你可以在这里复制程序代码并执行它。
您正在将 32 位值分配给 16 位数组。
您的指令不会终止,它们会继续 运行 到 ram 中找到的任何内容,因此会崩溃。
您没有将数组的地址加载到程序计数器中,而是将数组中的第一项加载到程序计数器中,这会导致崩溃,您创建了一个间接级别。
查看 BX 指令而不是 ldr pc
您没有将数组声明为静态,因此可以将数组优化为死的和未使用的,因此这可能会导致它崩溃。
编译器还应该抱怨您将 void* 分配给无符号变量,因此需要进行类型转换。
作为一种习惯,我建议地址|=1 而不是+=1,在这种情况下两者都可以。
为了测试 MPU 和利用漏洞,我想在我的 STM32F4 开发板上从本地缓冲区 运行 执行代码。
int main(void)
{
uint16_t func[] = { 0x0301f103, 0x0301f103, 0x0301f103 };
MPU->CTRL = 0;
unsigned int address = (void*)&func+1;
asm volatile(
"mov r4,%0\n"
"ldr pc, [r4]\n"
:
: "r"(address)
);
while(1);
}
在main中,我首先打开了MPU。在 func 中存储了我的指令。在 ASM 部分,我将地址(0x2001ffe8 +1 for thumb)加载到程序计数器寄存器中。当使用 GDB 单步执行代码时,在 R4 中存储正确的值,然后将其传输到 PC 寄存器。但是我最终会进入 HardFault 处理程序。
编辑: 堆栈看起来像这样:
0x2001ffe8: 0x0301f103 0x0301f103 0x0301f103 0x2001ffe9
记忆中的指令是正确的。 Cortex 权威指南说区域 0x20000000–0x3FFFFFFF 是 SRAM,“这个区域是可执行的, 所以你可以在这里复制程序代码并执行它。
您正在将 32 位值分配给 16 位数组。
您的指令不会终止,它们会继续 运行 到 ram 中找到的任何内容,因此会崩溃。
您没有将数组的地址加载到程序计数器中,而是将数组中的第一项加载到程序计数器中,这会导致崩溃,您创建了一个间接级别。
查看 BX 指令而不是 ldr pc
您没有将数组声明为静态,因此可以将数组优化为死的和未使用的,因此这可能会导致它崩溃。
编译器还应该抱怨您将 void* 分配给无符号变量,因此需要进行类型转换。
作为一种习惯,我建议地址|=1 而不是+=1,在这种情况下两者都可以。