NDH2K11's Badge: Spec. & hackz

Salut!

Voilà enfin un petit article expliquant comment bidouiller le badge de la nuit du hack 2011.

Les spécifications techniques du badge sont les suivantes:

µC: ATtiny2313V :Micro contrôleur 8bit de chez ATMEL. Dispose d'un UART

2K Bytes of In-System Self Programmable Flash
128 Bytes In-System Programmable EEPROM
128 Bytes Internal SRAM
1 x 8-bit Timer/Counter with Separate Prescaler and Compare Mode
1 x 16-bit Timer/Counter with Separate Prescaler, Compare and Capture Modes
4 x PWM Channels
On-chip Analog Comparator
USI – Universal Serial Interface
Full Duplex USART

7 LEDs rouges
USART accessible sur pads
Port ICSP Six broches

Le circuit est on ne peut plus simple. On utilise l'oscillateur RC interne du µC: "Calibrated internal RC Oscillator 8MHz" pour ne pas avoir à câbler de quartz (et ne pas avoir à le payer, par la même occasion :p). Les 7 LEDs n'utilisent pas un port complet de l'µC. C'est pas tres pratique à programmer, mais, ça a permis de sortir l'USART sur trois pads dédiés. (schéma à venir)

Pour le programmer, on peut utiliser tout type de programmateur... Perso, j'utilise un compatible "USBasp", qu'on trouve sur ebay pour une bouchée de pain. Le tout est de bien relier les lignes MISO, MOSI, SCK, RST, Vcc, GND. Juste en bas, vous avez une photo du programmateur que j'utilise (un de ses frères tout du moins), son PINOUT, ainsi que celui du badge.

Une fois cablé, vous pouvez commencer à bidouiller. Pour ça, on va utiliser avr-dude (dispo sur pas mal de plateformes, tres bien foutu). On peut alors faire pas mal de choses, comme ouvrir un terminal "de debug":

tixlegeek@crippledvorticon:~$ sudo avrdude -c usbasp -p attiny2313 -t
[sudo] password for tixlegeek: 

avrdude: warning: cannot set sck period. please check for usbasp firmware update.
avrdude: AVR device initialized and ready to accept instructions

Reading | ################################################## | 100% 0.00s

avrdude: Device signature = 0x1e910a
avrdude>

Là, on vient d'ouvrir un terminal de "debug" avec AVRdude. Celui çi nous permet de faire pas mal de choses, comme écrire dans le µC, voir ce qui se passe dans toute les mémoires, récupérer des informations.... tout est disponible là:

avrdude> h
>>> h 
Valid commands:

  dump   : dump memory  : dump   
  read   : alias for dump
  write  : write memory : write     ... 
  erase  : perform a chip erase
  sig    : display device signature bytes
  part   : display the current part information
  send   : send a raw command : send    
  parms  : display adjustable parameters (STK500 only)
  vtarg  : set  (STK500 only)
  varef  : set  (STK500 only)
  fosc   : set  (STK500 only)
  sck    : set  (STK500 only)
  spi    : enter direct SPI mode
  pgm    : return to programming mode
  help   : help
  ?      : help
  quit   : quit

Use the 'part' command to display valid memory types for use with the
'dump' and 'write' commands.

avrdude>

Première étape: récupérer des infos sur le device. Un bon petit compte rendu de ce qui se passe sur notre badge:

avrdude> part
>>> part 

AVR Part                      : ATtiny2313
Chip Erase delay              : 9000 us
PAGEL                         : PD4
BS2                           : PD6
RESET disposition             : possible i/o
RETRY pulse                   : SCK
serial program mode           : yes
parallel program mode         : yes
Timeout                       : 200
StabDelay                     : 100
CmdexeDelay                   : 25
SyncLoops                     : 32
ByteDelay                     : 0
PollIndex                     : 3
PollValue                     : 0x53
Memory Detail                 :

                         Block Poll               Page                       Polled
  Memory Type Mode Delay Size  Indx Paged  Size   Size #Pages MinW  MaxW   ReadBack
  ----------- ---- ----- ----- ---- ------ ------ ---- ------ ----- ----- ---------
  eeprom        65     6     4    0 no        128    4      0  4000  4500 0xff 0xff
  flash         65     6    32    0 yes      2048   32     64  4500  4500 0xff 0xff
  signature      0     0     0    0 no          3    0      0     0     0 0x00 0x00
  lock           0     0     0    0 no          1    0      0  9000  9000 0x00 0x00
  lfuse          0     0     0    0 no          1    0      0  9000  9000 0x00 0x00
  hfuse          0     0     0    0 no          1    0      0  9000  9000 0x00 0x00
  efuse          0     0     0    0 no          1    0      0  9000  9000 0x00 0x00
  calibration    0     0     0    0 no          2    0      0     0     0 0x00 0x00

avrdude>

On peut alors commencer à dumper la flash, qui contient le programme du badge:

avrdude> dump flash 0x00 0x180
>>> dump flash 0x00 0x180
0000  12 c0 22 c0 21 c0 20 c0  1f c0 1e c0 1d c0 1c c0  |..".!. .........|
0010  1b c0 1a c0 19 c0 18 c0  17 c0 16 c0 15 c0 14 c0  |................|
0020  13 c0 12 c0 11 c0 11 24  1f be cf ed cd bf 10 e0  |.......$........|
0030  a0 e6 b0 e0 e8 e4 f1 e0  02 c0 05 90 0d 92 ac 38  |............ ..8|
0040  b1 07 d9 f7 3c d0 7e c0  db cf 18 ba 12 ba 98 b3  |....<.~.........|
0050  3a e2 38 27 43 2f 50 e0  30 fd 02 c0 80 e0 01 c0  |:.8'C/P.0.......|
0060  82 e0 89 2b 88 bb 28 b3  ca 01 96 95 87 95 81 70  |...+..(........p|
0070  82 2b 88 bb 92 b3 42 fd  02 c0 80 e0 01 c0 80 e4  |.+....B.........|
0080  89 2b 82 bb 92 b3 43 fd  02 c0 80 e0 01 c0 80 e2  |.+....C.........|
0090  89 2b 82 bb 82 b3 30 71  38 2b 32 bb 92 b3 45 fd  |.+....0q8+2...E.|
00a0  02 c0 80 e0 01 c0 88 e0  89 2b 82 bb 92 b3 46 fd  |.........+....F.|
00b0  02 c0 80 e0 01 c0 84 e0  89 2b 82 bb 08 95 cf 92  |.........+......|
00c0  df 92 ef 92 ff 92 1f 93  df 93 cf 93 cd b7 de b7  |................|
00d0  ab 97 0f b6 f8 94 de bf  0f be cd bf de 01 11 96  |................|
00e0  e0 e6 f0 e0 84 e1 01 90  0d 92 81 50 e1 f7 9b 81  |........ ..P....|
00f0  de 01 55 96 e4 e7 f0 e0  87 e1 01 90 0d 92 81 50  |..U......... ..P|
0100  e1 f7 8f ef 81 bb 87 bb  98 bb 90 e0 75 e1 c7 2e  |............u...|
0110  d1 2c cc 0e dd 1e 68 ec  e6 2e f1 2c 0a c0 95 df  |.,....h...., ...|
0120  80 e9 91 e0 f7 01 31 97  f1 f7 01 97 d9 f7 91 2f  |......1......../|
0130  9f 5f f6 01 e9 0f f1 1d  80 81 19 2f 90 e0 88 23  |._........./...#|
0140  c1 f3 ed cf f8 94 ff cf  4e 6f 74 68 69 6e 67 20  |........Nothing |
0150  74 68 65 72 65 20 4e 30  30 62 21 00 62 4f 46 46  |there N00b!.bOFF|
0160  45 0a 7d 45 58 46 4e 0a  4c 45 58 0a 64 6e 62 18  |E }EXFN LEX dnb.|
0170  61 1b 1b 00 ff ff ff ff  ff ff ff ff ff ff ff ff  |a...............|

avrdude>

Si vous suivez, vous verrez que le code du chall n'est pas disponible en claire dans la mémoire. Mais, les plus vifs d'entre nous trouverons vite ou se trouve cette info.

La suite dans un prochain article :D On verra comment faire des programmes sur notre badge, on utilisera l'USART, et on ajoutera le Bluetooth à notre badge, pour pouvoir le commander à distance.

Plusplus, Tixlegeek.

Commentaires

1. Le jeudi 23 juin 2011 à 14:18, par Amandarn

Ca, c'est kewl !
Moi, j'attend le howto pour programmer en ttl :p

2. Le lundi 27 juin 2011 à 22:05, par Fser

J'ai essayé d'en récupérer un pour faire passer le coup de l'annulation du CTF, mais en vain
Dommage, ils avaient l'air sympa, et j'ai hérité d'un JTAG...