安全训练营

01

课程简介

故障注入（Fault Injection）是一种物理攻击方法，利用电压毛刺（Voltage Glitching）、时钟毛刺（Clock Glitching）、电磁脉冲（EMFI）、激光（LI）等方式干扰芯片的正常运行，诱导其执行错误的逻辑或产生错误的输出。早期的故障注入主要用于硬件测试和密码分析。近年来，故障注入更多的被视作一种底层硬件攻击手段，用来绕过芯片的安全启动、提取芯片中的密钥、读出芯片内受保护的固件、重新开启芯片上已被关闭的硬件调试接口等。

本次训练营，我们将带领大家使用短路故障注入设备：PowerShorter，实际动手进行电压故障注入，通过短路毛刺，故障STM32【CHES 2019】和nRF52【BlackHat Europe 2020】的固件读保护机制，完成受保护固件的提取，并揭露黑市上的STM32解密器原理。

课程目录

上拉下滑查看目录

1、故障注入新手指南：

1.1 ESP32系列芯片破解【BlackHat Europe 2019】

1.2 故障注入案例(02)：STM32 RDP1/RDP2 破解【CHES 2019】

1.3 故障注入案例(03)：Trezor 硬件钱包破解 ①【2018 35C3】

1.4 故障注入案例(04)：Trezor 硬件钱包破解 ②【BlackHat USA 2019】

1.5 故障注入案例(05)：nRF52 系列芯片破解【BlackHat Europe 2020】

1.6 故障注入案例(06)：AirTag 破解【DEFCON 29】

1.7 故障注入案例(07)：AMD Zen 系列 CPU 破解【BlackHat Europe 2021】

1.8 故障注入案例(08)：特斯拉 Model 3 车机破解【BlackHat USA 2023】

1.9 故障注入案例(09)：星链卫星终端破解【BlackHat USA 2022】

1.10 故障注入案例(10)：雪佛兰汽车 ECU 破解【BlackHat USA 2021】

1.11 故障注入案例(11)：三星烤箱维修【BlackHat USA 2023】

1.12 故障注入案例(12)：Apple USB 控制器破解【BlackHat USA 2024】

2、游戏机与Glitch：Xbox 360 & NintendoSwitch

2.1 Xbox 360: 引言：Reset Glitch Hack

2.2 Nintendo Switch: 破解历程: Glitch Party

2.3 Nintendo Switch: 软破撞洞: Team-Xecuter、Katherine Temkin、fail0verflow、Andreas Galauner

2.4 Nintendo Switch: 硬破芯片: SX Core的繁荣、TX被捕与hwfly山寨

2.5 Nintendo Switch: 硬破分析: Spacecraft-NX、SX Core的故障注入武器化

2.6 Nintendo Switch: 山寨疑云: Spacecraft-NX的代码来源（CVE-2020-15808）与无人知晓的 ICE40 bitstream

3、nRF52 系列电压故障注入：从短路故障到绕过固件读保护

3.1 nRF52 APPROTECT 固件读保护机制介绍与实践

3.1.1 保护原理：SWD和UICR开关

3.1.2 解出原理：CTRL-AP

3.2 OSR故障注入设备介绍与使用

3.2.1 PowerShorter短路故障注入设备

3.2.2 PICO 3206D 示波器

3.3 nRF52 USB dongle DEC1 电压故障注入绕过固件读保护实践

3.3.1 故障注入流程初见：接线、攻击、反馈、重启

3.3.2 故障注入参数初见：毛刺物理位置、时间位置、触发与延时、毛刺宽度

3.3.3 本案例的故障反馈：OpenOCD 使用介绍

3.4 nRF52 USB dongle DEC1 电压故障注入绕过固件读保护原理

3.4.1 故障原理：APPROTECT开关

3.4.2 故障位点分析：逻辑点分析、时间点分析、核心供电分析、功耗分析

3.5 nRF52 RealWorld 故障注入：Airtag、手环的固件提取

3.6 nRF52 新版 APPROTECT 防故障注入机制介绍

4、STM32 系列电压故障注入：故障 bootloader 的 0x11 command

4.1 STM32 RDP 固件读保护机制介绍

4.1.1 RDP1开启、关闭与原理

4.1.2 RDP2开启与原理

4.2 STM32 bootloader 原理介绍

4.2.1 bootloader串口ISP的使用与通信流量分析

4.2.2 手工使用bootloader串口ISP命令读取Flash内容实践

4.3 STM32F103 电压故障注入 绕过 RDP1 读取受保护的固件实践

4.3.1 STM32F103供电分析与去电容

4.3.2 STM32F103的故障流程：接线、攻击、反馈、重启

4.4 STM32F103 电压故障注入原理 与 bootloader逆向

4.4.1 Boot引脚与跳线分析：0x0 地址内存映射

4.4.2 STM32 UART Bootloader 逆向：0x11 Command 分析

4.5 STM32 RDP绕过总结：揭秘黑市上的STM32解密器

学员要求

参培人员硬件准备：

• Windows笔记本电脑，一定要windows！不建议Windows虚拟机；

• USB Hub，即至少有 3 个 USB Type-A 接口

参培人员需要有一定的软硬件分析基础：

• 基本的软件安全能力：熟练使用python、二进制逆向

• 基本的硬件动手能力：拆解与焊接

实验设备与物料

*以下设备和物料仅为培训中使用，并非免费赠送~

本次培训将提供实验相关所需的设备与物料，包括：

• 焊接与硬件测试相关设备：焊台、焊锡、吸锡带、杜邦线、排针、测试钩针、万用表、镊子；

• OSR故障注入相关设备：PowerShorter短路故障注入设备、FlexHolder柔性臂探针台、PICO 3206D 示波器；

• nRF52故障注入相关物料：nRF52 USB dongle、J-Link；

• STM32故障注入相关物料：STM32F103开发板、USB串口小板、ST-LINK。

学员福利

- 免费获得 SDC 2024全价门票1张（价值¥1024）

- 免费提供午餐及晚餐

02

课程介绍

本课程深入探讨内核架构、内存管理和网络管理，结合实际安全漏洞并提供Syzkaller漏洞挖掘技巧。通过引入Dirty Pagedirectory等高难度新技术，紧跟安全研究前沿。学习此课程将极大地提升个人技术实力和企业系统安全能力。

学员要求

课程目录

1. 从Dirty Pagedirectory聊内核漏洞挖掘与利用

  1.1 Linux内核架构设计

  1.2 Linux内核内存管理

  1.3 Linux内核网络管理

  1.4 Syzkaller漏洞挖掘从网络模块(nf_tables)到内存破坏

  1.5 Dirty Pagedirectory利用手段解析

2. Dirty Pagetable

3. Dirty Cred

4. 内核漏洞挖掘总览

学员福利

- 免费获得 SDC 2024全价门票1张（价值¥1024）

- 免费提供午餐及晚餐