• Поиск уязвимостей в Samsung TrustZone, или AFL зафаззит все
    +1

    Бинарь, конечно, есть. Могу дать)

  • Поиск уязвимостей в Samsung TrustZone, или AFL зафаззит все
    +4

    Да, вы правильно разобрались!
    У нас супергаджет такой:


    LDMIA           R6!, {R2-R5,R7}
    BX              R7

    Соответственно, переходы от него происходят по регистру r7. Эти адреса — это адреса других гаджетов, которые я использовал в цепочке вместе с супергаджетом.


    .tlbin_text:0009560A                 MOV             R1, R5
    .tlbin_text:0009560C                 MOV             R0, R7
    .tlbin_text:0009560E                 BLX             R2
    
    .tlbin_text:00096828                 LDR             R0, [SP,#16]
    .tlbin_text:0009682A                 ADDS            R5, R5, #1
    .tlbin_text:0009682C                 BLX             R1
    
    .tlbin_text:000218C6                 STR             R0, [R5,R3]
    .tlbin_text:000218C8                 MOV             R3, R2
    .tlbin_text:000218CA                 MOV             R2, R1
    .tlbin_text:000218CC                 MOV             R1, R0
    .tlbin_text:000218CE                 MOVS            R0, #9
    .tlbin_text:000218D0                 BLX             R4

    Тут еще надо учитывать, что в архитектуре ARM исполнение может происходить в режимах ARM и Thumb, поэтому надо не забывать инкрементировать адрес в инструкциях прыжков при переходе на Thumb. В ROPGadget, кстати, есть опция, чтобы искать гаджеты либо в одном, либо в другом режимах.


    Такой цепочкой при правильно настроенных регистрах, мы можем прочитать канарейку и записать ее в расшаренную память. Как вы правильно сказали, mapInfo3.sVirtualAddr это ее адрес на стороне Normal World.


    А для Hello, world! нужен гаджет, который загрузит аргумент в r0 и прыгнет на tlApiLogPrintf. Например, такой :) :


    .tlbin_text:0009545A                 MOV             R0, R4
    .tlbin_text:0009545C                 BLX             R2
  • Поиск уязвимостей в Samsung TrustZone, или AFL зафаззит все
    +3

    Верно. Все трастлеты подписаны.

  • Triton vs Kao’s Toy Project. Продолжаем хорошую традицию
    0
    Нашел) jheusser.github.io/2013/02/03/satcoin.html, https://
    github.com/msoos/sha256-sat-bitcoin.
  • Triton vs Kao’s Toy Project. Продолжаем хорошую традицию
    0
    Спасибо! А насчет майнинга интересно. Как я понимаю, SMT там применяли для ускорения вычисления хеша. А можно поподробнее?