内置WiFi
内置的 WiFi.h 库将使我们能够轻松使用 ESP32 板的 WiFi 功能。
连接到 Wi-Fi 接入点:
c
#include <WiFi.h>
const char* ssid = "yourNetworkName";
const char* password = "yourNetworkPassword";
void setup(){
Serial.begin(115200);
delay(1000);
WiFi.mode(WIFI_STA); //Optional
WiFi.begin(ssid, password);
Serial.println("\nConnecting");
while(WiFi.status() != WL_CONNECTED){
Serial.print(".");
delay(100);
}
Serial.println("\nConnected to the WiFi network");
Serial.print("Local ESP32 IP: ");
Serial.println(WiFi.localIP());
}
void loop(){}
c
Connecting
................
Connected to the WiFi network
Local ESP32 IP: 192.168.43.129获取WiFi网络信息
创建开源WiFi MAC
在我们开始对 802.11 PHY 硬件的工作原理以及我们如何与其交互进行逆向工程之前,我们首先需要找到或构建有帮助的工具。我们将使用 3 种主要方法:
- 静态逆向工程
- 模拟器中的动态代码分析
- 真实硬件上的动态代码分析
静态逆向工程
对于静态分析,我们使用 NSA 开发的开源逆向工程工具 Ghidra。 开箱即用时,Ghidra 尚不支持 Xtensa(ESP32 的 CPU 架构),但有一个插件可以增加支持。 ESP32 SDK 中使用的构建工具会生成 ELF 文件(一种可以包含元数据的二进制文件)和平面二进制文件:使用 ELF 文件的优点是可以自动设置大多数函数名称。
模拟器中的动态分析
下面是 QEMU 记录的单个内存访问的示例:这是对地址 3ff46094 的写入(W),值为 00010005,由函数 ram_pbus_force_test 完成。调用堆栈的其余部分也会被记录,并转换为符号名称(如果可用)。
W 3ff46094 00010005 ram_pbus_force_test 400044f4 set_rx_gain_cal_dc set_rx_gain_testchip_70 set_rx_gain_table bb_init register_chipv7_phy esp_phy_load_cal_and_init esp_phy_enable wifi_hw_start wifi_start_process ieee80211_ioctl_process ppTask vPortTaskWrapper最后,我们还更正了 MAC 地址的处理,以便数据包捕获在数据包中包含正确的 MAC 地址,而不是硬编码地址。
真实硬件进行动态分析
为了动态分析真实硬件上的固件,我们使用 JTAG 硬件调试接口。 通过在ESP32和JTAG调试器之间连接一些跳线,我们可以调试ESP32。 我们按照此文中描述的步骤操作,使 JTAG 调试器 (CJMCU-232H) 正常工作。
软件MAC和硬件MAC
SoftMAC(软件 MAC)和 HardMAC(硬件 MAC)是指实现 Wi-Fi MAC 层的两种不同方法。 SoftMAC 依靠软件来管理 MAC 层功能,这提供了灵活性且易于修改,但会消耗更多的功率/CPU 周期。 另一方面,HardMAC 将 MAC 层处理卸载到专用硬件,从而减少了 CPU 使用率和功耗,但限制了在不更改硬件的情况下适应新功能的能力。
通过编写一些仅循环发送数据包的最小固件,并使用前面描述的三种逆向工程策略,确定了发送数据包的 Wi-Fi 硬件生命周期的高级概述:
调用 esp_wifi_start(),这间接调用了 esp_phy_enable()。esp_phy_enable() 负责初始化 wifi 硬件。现在,我们准备发送数据包:
传输数据包
作为(非常有限的)概念验证,我们希望通过直接使用内存映射外设来发送任意 802.11 帧,因此无需使用 SDK 函数。 从上面的生命周期图中可以看到,在传输之前,我们首先需要初始化wifi硬件。 不幸的是,这种初始化比发送数据包复杂得多:为了初始化硬件,需要大约 50000 次外围存储器访问,而传输数据包(包括处理中断)则需要大约 50 次。 这些根本不是精确的数字,但它们给出了所涉及的复杂性的一个概念。