簡單分析CVE-2015-1805

原創 penguin_wwy 2020-02-23 18:35

CVE-2015-1805這個安全漏洞的年限已久,幾年前就在upstream Linux內核中被發現,並於2014年4月被修復。但不幸的是,並沒有修補完全,直到今年二月C0RE小組告知谷歌該漏洞可以被用於攻擊Android操作系統。

漏洞介紹:在linux 內核3.16版本之前的fs/pipe.c當中,由於pipe_read和pipe_write沒有考慮到拷貝過程中數據沒有同步的一些臨界情況,造成了堆數組拷貝越界的問題,因此有可能導致系統crash以及系統權限提升,這種漏洞又稱之爲” I/O vector array overrun”。

漏洞函數爲pipe_read()


<span style="font-size:14px;">static ssize_t
pipe_read(struct kiocb *iocb, const struct iovec *_iov,
	   unsigned long nr_segs, loff_t pos)
{
	struct file *filp = iocb->ki_filp;
	struct inode *inode = filp->f_path.dentry->d_inode;
	struct pipe_inode_info *pipe;
	int do_wakeup;
	ssize_t ret;
	struct iovec *iov = (struct iovec *)_iov;
	size_t total_len;

	total_len = iov_length(iov, nr_segs);//這是拷貝數據的總長度,正是由於這個值沒有能夠即時更新所導致的漏洞
	/* Null read succeeds. */
	if (unlikely(total_len == 0))
		return 0;

	do_wakeup = 0;
	ret = 0;
	mutex_lock(&inode->i_mutex);
	pipe = inode->i_pipe;
	for (;;) {
		int bufs = pipe->nrbufs;
		if (bufs) {
			int curbuf = pipe->curbuf;
			struct pipe_buffer *buf = pipe->bufs + curbuf;
			const struct pipe_buf_operations *ops = buf->ops;
			void *addr;
			size_t chars = buf->len;
			int error, atomic;

			if (chars > total_len)
				chars = total_len;

			error = ops->confirm(pipe, buf);
			if (error) {
				if (!ret)
					ret = error;
				break;
			}

			atomic = !iov_fault_in_pages_write(iov, chars);//在此處判斷iov->len是否大於0,且iov->base指向的地址是否可寫                                                                                               //<span style="font-family: Arial, Helvetica, sans-serif;">且處於用戶</span><span style="font-family: Arial, Helvetica, sans-serif;">態,之後返回atomic</span>
redo:
			addr = ops->map(pipe, buf, atomic);
			error = pipe_iov_copy_to_user(iov, addr + buf->offset, chars, atomic);//進行拷貝的關鍵函數
			ops->unmap(pipe, buf, addr);
			if (unlikely(error)) {
				/*
				 * Just retry with the slow path if we failed.
				 */
				if (atomic) {//當atomic爲1,且拷貝中途失敗時,進入該分支
					atomic = 0;
					goto redo;
				}
				if (!ret)
					ret = error;
				break;
			}
			ret += chars;
			buf->offset += chars;
			buf->len -= chars;
			if (!buf->len) {
				buf->ops = NULL;
				ops->release(pipe, buf);
				curbuf = (curbuf + 1) & (pipe->buffers - 1);
				pipe->curbuf = curbuf;
				pipe->nrbufs = --bufs;
				do_wakeup = 1;
			}
			total_len -= chars;//這裏更新total_len的值
			if (!total_len)
				break;	/* common path: read succeeded */
		}
		if (bufs)	/* More to do? */
			continue;
		if (!pipe->writers)
			break;
		if (!pipe->waiting_writers) {
			/* syscall merging: Usually we must not sleep
			 * if O_NONBLOCK is set, or if we got some data.
			 * But if a writer sleeps in kernel space, then
			 * we can wait for that data without violating POSIX.
			 */
			if (ret)
				break;
			if (filp->f_flags & O_NONBLOCK) {
				ret = -EAGAIN;
				break;
			}
		}
		if (signal_pending(current)) {
			if (!ret)
				ret = -ERESTARTSYS;
			break;
		}
		if (do_wakeup) {
			wake_up_interruptible_sync_poll(&pipe->wait, POLLOUT | POLLWRNORM);
 			kill_fasync(&pipe->fasync_writers, SIGIO, POLL_OUT);
		}
		pipe_wait(pipe);
	}
	mutex_unlock(&inode->i_mutex);

	/* Signal writers asynchronously that there is more room. */
	if (do_wakeup) {
		wake_up_interruptible_sync_poll(&pipe->wait, POLLOUT | POLLWRNORM);
		kill_fasync(&pipe->fasync_writers, SIGIO, POLL_OUT);
	}
	if (ret > 0)
		file_accessed(filp);
	return ret;
}</span>

可以看到在
<span style="font-size:14px;">if (bufs){...}</span>

分支內進行拷貝,而且在分支內當出錯後可以以goto的方式跳轉。而total_len的更新在分支之外。這就有可能導致一種情況:拷貝中途發生錯誤,goto跳轉,但是由於total_len值並未更新,所以在重新開始拷貝的時候,雖然已經拷貝了大小爲n的內容(指針已經向前前進了n),還是會從當前位置向後拷貝total_len大小的數據,導致數組越界,多拷貝了大小爲n的內容。

static int
pipe_iov_copy_to_user(struct iovec *iov, const void *from, unsigned long len,
		      int atomic)
{
	unsigned long copy;

	while (len > 0) {
		while (!iov->iov_len)
			iov++;
		copy = min_t(unsigned long, len, iov->iov_len);

		if (atomic) {
			if (__copy_to_user_inatomic(iov->iov_base, from, copy))
				return -EFAULT;
		} else {
			if (copy_to_user(iov->iov_base, from, copy))
				return -EFAULT;
		}
		from += copy;
		len -= copy;
		iov->iov_base += copy;//指針向前前進已拷貝的大小
		iov->iov_len -= copy;//將長度減去已拷貝的大小
	}
	return 0;
}
落實到具體代碼,如果atomic=1,則pipe_iov_copy_to_user -> __copy_to_user_inatomic;如果atomic=0,則pipe_iov_copy_to_user -> copy_to_user 。成功拷貝,就會將當前iov數組內元素的ivo_base和ivo_len進行相應的變化。這個變化在函數內,也就是前文所說的分支內進行,與total_len的更新不同步。

下面來構造一個例子

首先構造一個struct iovec iov[5]的數組。如下賦值

ivo[0]->ivo_base = 0x00004000

ivo[0]->ivo_len = 0x100

ivo[1]->ivo_base = 0x00004200

ivo[1]->ivo_len = 0x100

ivo[2]->ivo_base = 0x00004400

ivo[2]->ivo_len = 0x100

ivo[3]->ivo_base = 0x00004600

ivo[3]->ivo_len = 0x100

ivo[4]->ivo_base = 0x00004800

ivo[4]->ivo_len = 0x100

total_len = 0x500

chars假設爲0x200

先將ivo[1]的ivo_base設置爲不可訪問。

以atomic=1狀態進入拷貝

首先ivo[0]拷貝成功,

ivo[0]->ivo_len = 0x0

然後ivo[1]拷貝失敗進入分支

<span style="font-size:14px;">if (atomic) {
		atomic = 0;
		goto redo;
	}</span>
再將ivo[1]->ivo_base的地址設爲可訪問,每次成功拷貝0x200,兩次分別將ivo[1]、ivo[2]和ivo[3]、ivo[4]的數據拷走 

<span style="font-size:14px;">    total_len -= chars;//這裏更新total_len的值 total_len兩次0x200,最後會多出0x100,就是因爲第一次的錯誤導致ivo[0]的長度沒有減去
<span style="white-space:pre">	</span>if (!total_len)
	<span style="white-space:pre">	</span>break;	/* common path: read succeeded */</span>
此時由於第一次的錯誤導致此處的total_len不爲0再次進行拷貝,此次拷貝的內容超過數組範圍,越界了。







發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Android 加密, Android 常用加密, Android So 庫高強度加密

移動互聯網給人們的生活帶來了極大的便利,但是隨着移動互聯網市場的需求快速增長,移動 APP 的開發與應用也是成幾何級數量遞增,帶來的流量紅利逐漸被消耗殆盡,移動應用市場由增量變成存量,移動互聯網發展開始步入下半場,在功能上得到最大化開發的

几维安全 2020-07-07 22:52:30

Android權限系統(二):開機授予運行時權限

DefaultPermissionGrantPolicy簡介 .  Android開機後,除了根據上次開機的記錄(runtime-permissions.xml)授予運行時權限外,一些系統重要的組件也需要提前授予運行時權限。例如,

Invoker123 2020-07-03 13:00:21

Android權限系統(一):開機獲取權限信息

一.SystemConfig的整機權限信息   Android在SystemConfig的構造函數中會通過讀取相關的文件來加載整機的權限信息。這些文件是{partition}/etc/permissions下面的文件。其中{par

Invoker123 2020-07-03 13:00:21

獲取安卓APK的SHA1值(Android安裝包SHA1指紋)

接入QQ錢包支付的時候,需要獲取這個值,獲取的方法: 1) 將apk修改後綴爲 .rar文件後解壓; 2) 進入解壓後的META-INF目錄,該目錄下會存在文件CERT.RSA 3) 在該目錄下打開cmd,輸入命令 :keytoo

Invoker123 2020-07-03 13:00:21

安卓安全那點事

本文旨在對於一個安卓app的安全知識做一個較爲泛泛的總結,爲開發出更安全的應用提供思路。內容比較粗略,僅起到拋磚引玉的效果,還望大家見諒。 Android應用的安全 意義 在維基百科上有一個關於計算機安全的定義: 計算機安全(

xjz729827161 2020-07-02 01:02:20

Android應用程序簽名和權限增強應用程序安全性

沙箱、進程和權限 在 Linux 中,一個用戶 ID 識別一個給定用戶;在 Android 上,一個用戶 ID 識別一個應用程序。應用程序在安裝時被分配用戶 ID,應用程序在設備上的存續期間內,用戶 ID 保持不變。權限是關於允許或限制應

dacainiao007 2020-06-29 12:09:04

Root exploit for Android and Linux(CVE-2010-4258)

/* 本文章由 莫灰灰 編寫,轉載請註明出處。   作者:莫灰灰    郵箱: [email protected] */ 一. 漏洞簡介 CVE-2010-4258這個漏洞很有意思,主要思路是如果通過clone函數去創建進

莫灰灰 2020-06-29 10:02:51

移動APP外掛攻防實戰

前言 近日,某某龍在2018年的一次會議上發表了一個演講,4000多人聚集在現場玩“跳一跳”遊戲。隨着他們指尖的翻飛跳躍,大屏幕上的現場排名也在不斷刷新……而在全場的驚歎聲中,最高分出現了,967分!而這位最高分得主,就是某某龍本人。

阿里安全 2020-06-29 03:42:47

unity3d引擎的遊戲的腳本DUMP及HOOK方案優化

對unity3d引擎的遊戲,重要的資源就是C#腳本,腳本是被打包到APK的assets目錄下的一些dll文件,有的APP可能會對其加密,運行的時候再動態解密。可以通過HOOK libmono.so中的函數mono_image_op

asmcvc 2020-06-29 01:25:30

基於Xposed和Substrate的通用性SO注入

需求來源 如果需要注入SO且HOOK一些功能做研究分析,必然需要注入、HOOK,而對於不同的分析目標除了HOOK的函數不同之外,注入部分是相同的,可以把相同部分的代碼提出來,做成一個功能,那麼以後注入部分就不用再次編寫了,分析的時

asmcvc 2020-06-29 01:25:30

基於Xposed的通用破解簽名的方法

@Override public void initZygote(IXposedHookZygoteInit.StartupParam startupParam) throws Throwable { XposedBrid

asmcvc 2020-06-29 01:25:30

如何快速定位Android APP中的關鍵函數?

需求來源 在逆向分析中,肯定是越快地定位到目標函數越好,那麼有沒有這樣的一種工具可以快速地輔助分析人員定位到目標函數呢? 最早的一個想法是這樣的: - 通過某種機制讓APP輸出函數調用時候的日誌記錄。 - APP在運行的時候可

asmcvc 2020-06-29 01:25:30

【Android病毒分析報告】 - ZooTiger “集惡意推廣、隱私竊取、惡意吸費於一體”

本文章由Jack_Jia編寫,轉載請註明出處。  文章鏈接:http://blog.csdn.net/jiazhijun/article/details/11772379作者:Jack_Jia    郵箱: [email protected]

Jack_Jia 2020-06-28 17:02:00

Bionic中的ptrace函數

ptrace函數的原型是: long ptrace(enum __ptrace_request request, pid_t pid, void *addr, void *data); q  參數request是請求ptrace執行

行者无疆-超越 2020-06-28 01:43:36

AndroidBinder進程間通信系統

目錄 前言及知識準備 Service組件結構 Clinet組件結構 與Binder驅動程序交互 總結 Binder進程間通信實例 問題 本次 主要介紹Android平臺下Binder進程間通信庫。所謂通信庫,就是Adroid在應

fesng 2020-06-26 14:51:04