Upgrade to Pro — share decks privately, control downloads, hide ads and more …

激安Linuxボード G-cluster改造のすべて

Fc94838ab01a48827e6027e5c4aa73d3?s=47 gpioblink
July 18, 2020
Technology
2
3.5k

激安Linuxボード G-cluster改造のすべて

Fc94838ab01a48827e6027e5c4aa73d3?s=128

gpioblink

July 18, 2020
Tweet

Other Decks in Technology

See All in Technology
MRTK3 - DataBinding and Theming 入門
Fccbd625997f63e7b251d9725cb905a5?s=48 futo23
0
210
わたしを元気づける Botを作ることにした / JAWS-UG 福岡 20220626
E601ca8296c6ed8d1dc7ae0369b4c54a?s=48 eriasano
0
100
PUTとPOSTどっち使う?
65389cd2b6fdc531dcc4af999e864593?s=48 hankehly
0
280
QiitaConference2022
0684ef0f8b92614508e0c323c3619462?s=48 fuwasegu
0
210
OCI Service Mesh 概要 / OCI Service Mesh ovewview
3115a782126be714b5f94d24073c957d?s=48 oracle4engineer
PRO
0
110
【配布資料】複数データソースのデータを仮想化してまとめて分析してみよう(AWS、IBM Cloud)
2668e9c14d6673b27f4b8fb809f4fc4b?s=48 tkhresk
0
110
サイボウズの アジャイル・クオリティ / Agile Quality at Cybozu
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
4
2.5k
Empath Company Deck
8857de8bd0e81ab30358ccad2a1983c4?s=48 empathpr
0
170
HoloLens2とMetaQuest2どちらも動くWebXRアプリをBabylon.jsで作る
Bf0e54ea0d4ea19343ccfbe5d410a96b?s=48 iwaken71
0
210
モブに早く慣れたい人のためのガイド / A Guide to Getting Started Quickly with Mob Programming
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
2
1.9k
セキュリティ 開運研修2022 / security 2022
A97eee01397705443a72a48ce29d3e19?s=48 cybozuinsideout
PRO
3
4k
FastConnect 冗長性のベスト・プラクティス
0d29d155ce5c5a93ed46363626da3ea7?s=48 ocise
0
140

Featured

See All Featured
Fashionably flexible responsive web design (full day workshop)
433acaea1012b25d97ae66da9b998dad?s=48 malarkey
396
62k
The Illustrated Children's Guide to Kubernetes
0438ae60cde4c7add6f9da48f28c15cc?s=48 chrisshort
15
36k
Code Review Best Practice
3d6ace9554821d552146413bcdf874f6?s=48 trishagee
43
9.3k
Bootstrapping a Software Product
A9179349dd2bdc67f377719f56d85656?s=48 garrettdimon
296
110k
No one is an island. Learnings from fostering a developers community.
6bb82b13cda86d3b821fa44100335ddf?s=48 thoeni
9
1.3k
What the flash - Photography Introduction
5ce91fa49a613cbc3e20d5f96856473f?s=48 edds
62
10k
RailsConf & Balkan Ruby 2019: The Past, Present, and Future of Rails at GitHub
C44e1f7e22c3f23cff7bc130871047ef?s=48 eileencodes
119
28k
The Language of Interfaces
Fde6c3a50ca518a909ef35c22c0ee0e4?s=48 destraynor
148
20k
Building Applications with DynamoDB
39488f9d172ab92fd352f2cd7b73258d?s=48 mza
83
4.7k
Navigating Team Friction
245cee81a9c424266e5e401d844ea881?s=48 lara
175
11k
Unsuck your backbone
B83d5b590577969ee79a5ad845411a7d?s=48 ammeep
659
55k
Fantastic passwords and where to find them - at NoRuKo
8ec1383b240b5ba15ffb9743fceb3c0e?s=48 philnash
27
1.5k

Transcript

  1. 激安Linuxボード G-cluster改造のすべて @gpioblink じぶりん

  2. About me じぶりん @gpioblink 会津大学 学部3年 山田 快 ❖ 英語吹き替え版アニメは神

    ❖ ゲームは遊ぶより改造する ❖ 進捗出すために自己管理中 [好きなもの] 地球

  3. 使えなくなったハードを再利用するの大好き❤

  4. 趣味で電子機器の修理をしたりもします

  5. 今回の話の目標 ハードウェアハッキングの 楽しさを知ってほしい!!

  6. G-clusterで学ぶ組み込みLinux入門 - 目次 講義編 • Gclusterって何? • GPLソースコードは読んでて楽しい 実演編 •

    G-Cluster用のシェルを作る • Gclusterをリバースエンジニアリングして任意コード実行してみた

  7. G-clusterで学ぶ組み込みLinux入門 - 目次 講義編 • Gclusterって何? • GPLソースコードは読んでて楽しい 実演編 •

    G-Cluster用のシェルを作る • Gclusterをリバースエンジニアリングして任意コード実行してみた

  8. Gclusterって何?

  9. G-clusterは、次世代のクラウドゲーム機!!

  10. G-clusterは、次世代のクラウドゲーム機!!

  11. G-clusterは、次世代のクラウドゲーム機!!

  12. G-clusterは、次世代のクラウドゲーム機!!

  13. G-clusterは、次世代のクラウドゲーム機!! 終わってます。。

  14. でも、ハード的にはそこそこのスペックで Cavium CNW6611L SoC 256MB NANDストレージ (1Gbit/SLC) 512MB メモリ(2Gbit/16bit DDR3

    SDRAM) WiFi / USBポート / HDMI出力 UART(要分解)

  15. でも、ハード的にはそこそこのスペックで Cavium CNW6611L SoC 256MB NANDストレージ (1Gbit/SLC) 512MB メモリ(2Gbit/16bit DDR3

    SDRAM) WiFi / USBポート / HDMI出力 UART(要分解) 激安

  16. でも、ハード的にはそこそこのスペックで Cavium CNW6611L SoC 256MB NANDストレージ (1Gbit/SLC) 512MB メモリ(2Gbit/16bit DDR3

    SDRAM) WiFi / USBポート / HDMI出力 UART(要分解) 激安

  17. つまり、gcluster = 格安Linuxボード Cavium CNW6611L SoC 256MB NANDストレージ (1Gbit/SLC) 512MB

    メモリ(2Gbit/16bit DDR3 SDRAM) WiFi / USBポート / HDMI出力 UART(要分解)

  18. つまり、gcluster = 格安Linuxボード UART(シリアル通信)して始めましょう

  19. つまり、gcluster = 格安Linuxボード

  20. つまり、gcluster = 格安Linuxボード 実演編では、任意コード実行できるように改造して G-clusterにセカンドライフをおくって貰います!!

  21. G-clusterで学ぶ組み込みLinux入門 - 目次 講義編 • Gclusterって何? • GPLソースコードは読んでて楽しい 実演編 •

    G-Cluster用のシェルを作る • Gclusterをリバースエンジニアリングして任意コード実行してみた

  22. GPLソースコードは読んでて楽しい

  23. LinuxのGPLソースコードの面白い点3つ 製品のコードを知れちゃう マルヒ情報もあったり 楽しいコード流用の世界

  24. GPLは楽しい: 製品のコードを知れちゃう そもそもGPLライセンスとは

  25. GPLは楽しい: 製品のコードを知れちゃう そもそもGPLライセンスとは ソー ス コー ドを 公 開 す

    る 義 務 の あ る ライセ ン ス

  26. GPLは楽しい: 製品のコードを知れちゃう そもそもGPLライセンスとは ソー ス コー ドを 公 開 す

    る 義 務 の あ る ライセ ン ス

  27. GPLは楽しい: 製品のコードを知れちゃう そもそもGPLライセンスとは ソー ス コー ドを 公 開 す

    る 義 務 の あ る ライセ ン ス

  28. GPLは楽しい: 製品のコードを知れちゃう 特に製品にLinuxを使ってると • LinuxカーネルはGPLライセンス • ブートローダーのU-BootもGPLライセンス • その他の低レイヤーレベルのOSSのコードもほとんどGPLライセンス

  29. GPLは楽しい: 製品のコードを知れちゃう 特に製品にLinuxを使ってると • LinuxカーネルはGPLライセンス • ブートローダーのU-BootもGPLライセンス • その他の低レイヤーレベルのOSSのコードもほとんどGPLライセンス → 製品のほぼすべての

      ソースコードを見ることができる!!

  30. GPLは楽しい: 製品のコードを知れちゃう しかも、定義的にはこんな感じだから (Wikipedia)

  31. GPLは楽しい: 製品のコードを知れちゃう しかも、定義的にはこんな感じだから (Wikipedia)

  32. GPLは楽しい: 製品のコードを知れちゃう しかも、定義的にはこんな感じだから (Wikipedia) 心理的安全性を保ちながら解析もできる!!

  33. GPLは楽しい: マルヒ情報を知れるかも GPLコードを漁ってると、 いろんなドキュメントが出て くることが

  34. あとは適当にGPL漁ってると

  35. あとは適当にGPL漁ってると

  36. あとは適当にGPL漁ってると なんかConfidentialって書いてる

  37. この他にも商用アプリ側のソースコードもざくざく

  38. この他にも商用アプリ側のソースコードもざくざく

  39. 楽しいコード流用の世界 実はハードは同じ会社が作ってるらしく

  40. 楽しいコード流用の世界 実はハードは同じ会社が作ってるらしく メガドライブミニのコードの中に、 ファミコンミニのコントローラのkeymap用のコードの残骸が入っていたり。。。

  41. 楽しいコード流用の世界 実はハードは同じ会社が作ってるらしく メガドライブミニのコードの中に、 ファミコンミニのコントローラのkeymap用のコードの残骸が入っていたり。。。 残骸まみれの結構泥臭い世界 読んでて飽きない!!

  42. 楽しいコード流用の世界 実はハードは同じ会社が作ってるらしく メガドライブミニのコードの中に、 ファミコンミニのコントローラのkeymap用のコードの残骸が入っていたり。。。 残骸まみれの結構泥臭い世界 読んでて飽きない!! コード流用について詳しく知りたい方は HoneyLabさんの本よむのがおすすめです!

  43. 講義編のまとめ • G-clusterは、ゲーム機としては終わってるけど激安Linuxと して使える • 企業のプロダクトがのぞき見できるGPLソースコードは面白 い

  44. G-clusterで学ぶ組み込みLinux入門 - 目次 講義編 • Gclusterって何? • GPLソースコードは読んでて楽しい 実演編 •

    G-Cluster用のシェルを作る • Gclusterをリバースエンジニアリングして任意コード実行してみた

  45. では、GPLコードをありがた〜く使いながら、 どんどん改造を進めていきましょう!!!

  46. G-Cluster用のシェルを作る

  47. シェルなんて簡単????? そんなことないわw

  48. Gclusterのテレビ画面出力はremotectl_pipe経由

  49. Gclusterのテレビ画面出力はremotectl_pipe経由 GUIを直接自由にいじれない。。。

  50. でGPLコード読み漁ってみると。。。。 echo gc_warning Firmware found > /cavium/remotectl_pipe

  51. でGPLコード読み漁ってみると。。。。 echo gc_warning Firmware found > /cavium/remotectl_pipe ここいじったら反映された!!

  52. とはいえUSBキーボード取得できないので /dev/event1 からとれるキーボードのデータを見て

  53. とはいえUSBキーボード取得できないので LinuxのカーネルとStackOverFlowを 参考にコードを書いて

  54. とはいえUSBキーボード取得できないので

  55. あとは頑張ってキーボード処理するコード書いて

  56. できたもの

  57. G-clusterで学ぶ組み込みLinux入門 - 目次 講義編 • Gclusterって何? • GPLソースコードは読んでて楽しい 実演編 •

    G-Cluster用のシェルを作る • Gclusterをリバースエンジニアリングして任意コード実行してみた

  58. 無改造で任意コード実行までの道のり

  59. ここまでいろいろ話してきましたが、、、 作成したプログラムの実行には、

  60. ここまでいろいろ話してきましたが、、、 作成したプログラムの実行には、 殻割り&UART取り出しが 必須でした

  61. ここまでいろいろ話してきましたが、、、 作成したプログラムの実行には、 殻割り&UART取り出しが 必須でした

  62. ここまでいろいろ話してきましたが、、、 作成したプログラムの実行には、 殻割り&UART取り出しが 必須でした 100個も殻割りするの めんどくせ〜〜

  63. そこで、かんがえた

  64. 本体を改造せずに、簡単にハックする方法があれば。。 そこで、かんがえた

  65. とりあえず、安定のGPLコード読み返してみると

  66. とりあえず、安定のGPLコード読み返してみると なんか USBでUpgradeできそうな 機能あるじゃん

  67. とりあえず、安定のGPLコード読み返してみると なんか USBでUpgradeできそうな 機能あるじゃん

  68. とりあえず、安定のGPLコード読み返してみると なんか USBでUpgradeできそうな 機能あるじゃん

  69. とりあえず、安定のGPLコード読み返してみると なんか USBでUpgradeできそうな 機能あるじゃん

  70. とりあえず、安定のGPLコード読み返してみると なんか USBでUpgradeできそうな 機能あるじゃん USBのルートに「cameo_factory」なるフォルダ作ってそこにイメージぶちこむと どうやらfwimgに投げてくれるらしい

  71. とりあえず、安定のGPLコード読み返してみると なんか USBでUpgradeできそうな 機能あるじゃん USBのルートに「cameo_factory」なるフォルダ作ってそこにイメージぶちこむと どうやらfwimgに投げてくれるらしい USBメモリを挿して起動するだ けで、 任意コード注入できそう!!

  72. しかし、そんな単純ではなかった。。

  73. 試しにGPLソースビルドして入れてみたら

  74. 試しにGPLソースビルドして入れてみたら アップグレード自体はできたけど

  75. 試しにGPLソースビルドして入れてみたら アップグレード自体はできたけど 署名がないせいでブートできなかった。。

  76. 試しにGPLソースビルドして入れてみたら アップグレード自体はできたけど 署名がないせいでブートできなかった。。 ここからは、この署名チェックの回避方法に 焦点をあてて説明していきます!!!

  77. どうやって回避しよう • 頑張って本体から認証キーを取り出す(失敗) • fwimgまわりに別の脆弱性がないか探す(成功)

  78. 頑張って本体から認証キーを取り出す(失敗)

  79. 頑張って本体から認証キーを取り出す(失敗) ブート時にU-bootから呼ばれているソースコード静的解析して頑張ってみます

  80. 頑張って本体から認証キーを取り出す(失敗) ファームウェアのダンプ機能なんてないので、

  81. 頑張って本体から認証キーを取り出す(失敗) ファームウェアのダンプ機能なんてないので U-Bootの「md - memory display」機能で ダンプしてBinaryBlobに書き戻すw

  82. 頑張って本体から認証キーを取り出す(失敗) そして、それっぽいデータが取れました

  83. 頑張って本体から認証キーを取り出す(失敗) とりあえずGPLコードに入れてREADMEとか調べてみると

  84. 頑張って本体から認証キーを取り出す(失敗) とりあえずGPLコードに入れてREADMEとか調べてみると やっぱりご丁寧にGPLにDVUについての解説が!!

  85. 頑張って本体から認証キーを取り出す(失敗) とりあえずGPLコードに入れてREADMEとか調べてみると やっぱりご丁寧にGPLにDVUについての解説が!!

  86. 頑張って本体から認証キーを取り出す(失敗) とりあえずGPLコードに入れてREADMEとか調べてみると やっぱりご丁寧にGPLにDVUについての解説が!!

  87. 頑張って本体から認証キーを取り出す(失敗) とりあえずGPLコードに入れてREADMEとか調べてみると やっぱりご丁寧にGPLにDVUについての解説が!! dvu.binの中に鍵が入ってそう!!

  88. 頑張って本体から認証キーを取り出す(失敗) とりあえずGPLコードに入れてREADMEとか調べてみると やっぱりご丁寧にGPLにDVUについての解説が!! あ、これはリークではないんですね dvu.binの中に鍵が入ってそう!!

  89. 頑張って本体から認証キーを取り出す(失敗) それで、このdvu.binをghidraで静的解析してみたけど どこにも鍵っぽいのは見つからなかった。。。

  90. 頑張って本体から認証キーを取り出す(失敗) もう一度README見返したら

  91. 頑張って本体から認証キーを取り出す(失敗) もう一度README見返したら

  92. 頑張って本体から認証キーを取り出す(失敗) もう一度README見返したら

  93. 頑張って本体から認証キーを取り出す(失敗) もう一度README見返したら 解析は不可能じゃないけど、ちょっと大変そう。。 (CTFの問題が本当に使えるんだなと思った瞬間)

  94. 頑張って本体から認証キーを取り出す(失敗) というわけで、こちらは最後の手段として、 別の方法を考えていきます!

  95. fwimgまわりに別の脆弱性がないか探す(成功)

  96. fwimgまわりに別の脆弱性がないか探す(成功) こちらもソースコード非公開だったので、ghidraで静的解析

  97. fwimgまわりに別の脆弱性がないか探す(成功) こちらもソースコード非公開だったので、ghidraで静的解析 関数名とか自分でつけ直して、関数を推測していきました!!

  98. fwimgまわりに別の脆弱性がないか探す(成功) こちらもソースコード非公開だったので、ghidraで静的解析 関数名とか自分でつけ直して、関数を推測していきました!! ① まずは「factory.img」ヘッダ部分からDSM232の文字列を確認して

  99. fwimgまわりに別の脆弱性がないか探す(成功) こちらもソースコード非公開だったので、ghidraで静的解析 関数名とか自分でつけ直して、関数を推測していきました!! ②暗号化の有無によって条件分岐

  100. fwimgまわりに別の脆弱性がないか探す(成功) こちらもソースコード非公開だったので、ghidraで静的解析 関数名とか自分でつけ直して、関数を推測していきました!! ③ 次はアプリケーションのインストール。ん、なんか実行してね?

  101. fwimgまわりに別の脆弱性がないか探す(成功) こちらもソースコード非公開だったので、ghidraで静的解析 関数名とか自分でつけ直して、関数を推測していきました!! ③ 次はアプリケーションのインストール。ん、なんか実行してね?

  102. fwimgまわりに別の脆弱性がないか探す(成功) こちらもソースコード非公開だったので、ghidraで静的解析 関数名とか自分でつけ直して、関数を推測していきました!! ③ 次はアプリケーションのインストール。ん、なんか実行してね? どうやらfactory.imgの最初のgunzipのblobをファイルにして、

  103. fwimgまわりに別の脆弱性がないか探す(成功) こちらもソースコード非公開だったので、ghidraで静的解析 関数名とか自分でつけ直して、関数を推測していきました!! ③ 次はアプリケーションのインストール。ん、なんか実行してね? どうやらfactory.imgの最初のgunzipのblobをファイルにして、 その中のapp.shを実行している!!!!

  104. わかったこと factory.img内にAppImageがあると、その場でその中のshが実行される (しかもfwimgはrootで動いてるので、普通にroot権限w)

  105. わかったこと factory.img内にAppImageがあると、その場でその中のshが実行される (しかもfwimgはrootで動いてるので、普通にroot権限w) ⇓ それなら、シェルスクリプト内からsetenv叩いて、 U-Boot側に非署名ブートする設定を永続化できるのでは?

  106. というわけで、署名チェック回避するブート書いて

  107. というわけで、署名チェック回避するブート書いて セキュアブートの前に、署名チェックせずにブートを試す設定へ

  108. 署名チェック回避ブートを入れたイメージにしたら あとはこのfactory.imgをUSBメモリに書き込んで試してみると、、、、 元のイメージの前に、このバイパス用イメージを結合!

  109. 永続的な非署名コードの注入(CFW)に成功!! 起動時にこの画面の表示と共に、 Telnetを有効化する カスタムファームウェアを作りまし た!!

  110. まとめ GPLソースコードよく読めばなんでもできる ハードウェアハッキングは楽しい!

  111. おわり: みなさんもgclusterで解析に入門しよう!! https://github.com/gpioblink/build-dsm232-docker 大量にgcluster買って、 ネットラジオチューナー、 ネットワークプリンター、 Amazon dash 中継など みなさんも低コストを活かし

    いろんなことに使ってみてください!!! ←dockerで簡単にGPLソースやCFW用ビルド できる環境作りました!ぜひご利用ください じぶりん @gpioblink