Own your Android! Yet Another Universal Root(一)

原創 penguin_wwy 2020-02-23 18:35

CVE-2015-3636漏洞是一個典型的UAF(use-after-free)漏洞,被廣泛用於Android設備的提權。這個漏洞雖然出來已久,但是仍然很有學習價值。它是第一個已知的可應用與Android64位設備的提權漏洞,作爲一個內核漏洞,不依賴於Android設備。對於初學者來說是極好的學習Android系統安全和root的例子。

雖然網上也有一些分析,但是大多數只有一個大概的漏洞成因或思路。而本文是漏洞的發現者Keen Team的兩位大牛所寫的,在思路的完整程度上應該是所有分析文章中最好的。

Own your Android! Yet Another Universal Root
Wen Xu1 Yubin Fu1
1Keen Team
[email protected] [email protected]

摘要
近幾年,發現通用的Android提權方案變得越來越困難,因爲Linux內核極少的漏洞,並且供應商在硬件上應用了防範措施。
在本文中,我們將提出我們的通用提權方案。相關漏洞CVE-2015-3636,是一個典型的UAF漏洞,從Linux內核中被發現。發現這樣一個在Linux內核中存在的UAF漏洞確實很困難,因爲來自內核分配器的分離分配。我們將展示如何利用內核中的漏洞達成在市面上大多數4.3及以上版本Android設備提權的目的。
總之,我們提出一個通用的方法來利用內核中的UAF漏洞,這意味着對於所有品牌的設備都有效。所有現有的防範機制如PXN都可以被這種方法繞開。並且最重要的是我們獨特的未公開的針對內核UAF漏洞的利用技術表現的穩定準確。
BUG分析
漏洞被Keen Team團隊的Wen Xu 和 wushi,通過一款PC Linux漏洞發掘軟件Trinity。我們移植它到Android的ARM Linux。漏洞已經被最近的Linux內核修復,並分配CVE編號,CVE-2015-3636。
漏洞位於Linux內核底層部分,被確認可以用於一般root。首先socket(AF INET, SOCK DGRAM, IPPROTO ICMP)創建套接字,通過該套接字文件描述符調用connect函數,內核代碼處理用戶請求方式如下
<span style="font-size:14px;">int inet_dgram_connect(struct socket *sock, struct sockaddr * uaddr,
		       int addr_len, int flags)
{
	struct sock *sk = sock->sk;

	if (addr_len < sizeof(uaddr->sa_family))
		return -EINVAL;
	if (uaddr->sa_family == AF_UNSPEC)
		return sk->sk_prot->disconnect(sk, flags);

	if (!inet_sk(sk)->inet_num && inet_autobind(sk))
		return -EAGAIN;
	return sk->sk_prot->connect(sk, (struct sockaddr *)uaddr, addr_len);
}
</span>
如果sa_family == AF UNSPEC 內核根據協議類型調用指定的disconnect process。對於一個PING (ICMP)套接字,disconnect如下
<span style="font-size:14px;">int udp_disconnect(struct sock *sk, int flags)
{
	struct inet_sock *inet = inet_sk(sk);


	sk->sk_state = TCP_CLOSE;
	inet->inet_daddr = 0;
	inet->inet_dport = 0;
	sock_rps_reset_rxhash(sk);
	sk->sk_bound_dev_if = 0;
	if (!(sk->sk_userlocks & SOCK_BINDADDR_LOCK))
		inet_reset_saddr(sk);

	if (!(sk->sk_userlocks & SOCK_BINDPORT_LOCK)) {
		sk->sk_prot->unhash(sk);
		inet->inet_sport = 0;
	}
	sk_dst_reset(sk);
	return 0;
}
</span>
我們可以看到會調用sk_prot_unhash(sk) ,對於PING (ICMP)這個ping_unhash()如下

</pre><pre name="code" class="cpp"><span style="font-size:14px;">void ping_unhash(struct sock *sk)  
{  
        struct inet_sock *isk = inet_sk(sk);  
        pr_debug("ping_unhash(isk=%p,isk->num=%u)\n", isk, isk->inet_num);  
        if (sk_hashed(sk)) {  
                write_lock_bh(&ping_table.lock);  
                hlist_nulls_del(&sk->sk_nulls_node);  
                sock_put(sk);  
                isk->inet_num = 0;  
                isk->inet_sport = 0;  
                sock_prot_inuse_add(sock_net(sk), sk->sk_prot, -1);  
                write_unlock_bh(&ping_table.lock);  
        }  
}  
EXPORT_SYMBOL_GPL(ping_unhash);  </span>

從源碼中可以看到,如果sk_hashed(sk)爲真,就會刪除它sk_nulls_node在內核中的哈希鏈表的存儲,如下

<pre name="code" class="cpp">static inline void __hlist_nulls_del(struct hlist_nulls_node *n)  
{  
        struct hlist_nulls_node *next = n->next;  
        struct hlist_nulls_node **pprev = n->pprev;  
        *pprev = next;  
        if (!is_a_nulls(next))  
                next->pprev = pprev;  
}         
  
static inline void hlist_nulls_del(struct hlist_nulls_node *n)  
{  
        __hlist_nulls_del(n);  
        n->pprev = LIST_POISON2;  
}   



我們發現在n (sk->sk_nulls_node) 刪除之後n->pprev的值變爲LIST_POISON2,這是一個常量值定義的宏。實際上無論在64位還是32位Android中這個值都是0x200200。這個虛擬地址可以被映射到攻擊者的用戶空間。



然而,當第二次調用connect時會發生一些令人驚訝的事情。在套接字對象被從哈希鏈表中刪除後,它仍然是哈希映射的,因爲無論是不是哈希映射,取決於sk->sk_node,而sk->sk_node在第一次連接時並未被改變。
因此內核進入if分支並且再次刪除sk_nulls_node。當內核執行*pprev = next將會發生衝突,因爲當前pprev的值爲0x200200,並且如果這個虛擬地址沒有被映射到用戶空間,之後一個關鍵頁面錯誤將會發生。0x200200應該在第二次IMCP套接字連接之前被映射到用戶空間防止衝突發生。然而,這並不是這個漏洞的全部。簡短的看一下代碼


<span style="font-size:14px;">static inline void sock_put(struct sock *sk)  
{                 
        if (atomic_dec_and_test(&sk->sk_refcnt))  
                sk_free(sk);  
}   </span>






hlist_nulls_del調用之後,發現sock_put(sk)十分可疑。


內核每次進入if分支,都要減去一次套接字對象在內核中的應用次數。更重要的是,它會檢查應用次數是否爲0。如果爲0,套接字對象將被釋放。這意味着如果嘗試再一次connect這個套接字對象,引用次數將會變成0,然後內核會釋放它。但是用戶程序中的文件描述符仍然關聯着內核中的套接字對象,這是一個典型的UAF漏洞。


int sockfd = socket(AF_INET,  
SOCK_DGRAM, IPPROTO_ICMP);  
struct sockaddr addr  
= { .sa_family = AF_INET };  
int ret = connect(sockfd, &addr,  
sizeof(addr));  
struct sockaddr _addr  
= { .sa_family = AF_UNSPEC };  
ret = connect(sockfd, &_addr, sizeof(_addr));  
ret = connect(sockfd, &_addr, sizeof(_addr));  

第一次connect必須以sa_family=AF_INET來構造sk。否則if分支不會到達。
注意這個PoC只對Android設備起作用。被允許用來構造PING套接字的group id被定義在/proc/sys/net/ipv4/ping_group_range。在Android設備,一個普通用戶有權創建一個默認的PING socket,而在PC Linux,沒有人有權限創建。





(未完)

















發表評論














所有評論



還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.







相關文章








Android 加密, Android 常用加密, Android So 庫高強度加密






移動互聯網給人們的生活帶來了極大的便利,但是隨着移動互聯網市場的需求快速增長,移動 APP 的開發與應用也是成幾何級數量遞增,帶來的流量紅利逐漸被消耗殆盡,移動應用市場由增量變成存量,移動互聯網發展開始步入下半場,在功能上得到最大化開發的






几维安全

2020-07-07 22:52:30









Android權限系統(二):開機授予運行時權限






DefaultPermissionGrantPolicy簡介
.  Android開機後,除了根據上次開機的記錄(runtime-permissions.xml)授予運行時權限外,一些系統重要的組件也需要提前授予運行時權限。例如,






Invoker123

2020-07-03 13:00:21









Android權限系統(一):開機獲取權限信息






一.SystemConfig的整機權限信息
  Android在SystemConfig的構造函數中會通過讀取相關的文件來加載整機的權限信息。這些文件是{partition}/etc/permissions下面的文件。其中{par






Invoker123

2020-07-03 13:00:21









獲取安卓APK的SHA1值(Android安裝包SHA1指紋)






接入QQ錢包支付的時候,需要獲取這個值,獲取的方法:
1) 將apk修改後綴爲 .rar文件後解壓;
2) 進入解壓後的META-INF目錄,該目錄下會存在文件CERT.RSA
3) 在該目錄下打開cmd,輸入命令 :keytoo






Invoker123

2020-07-03 13:00:21









安卓安全那點事






本文旨在對於一個安卓app的安全知識做一個較爲泛泛的總結,爲開發出更安全的應用提供思路。內容比較粗略,僅起到拋磚引玉的效果,還望大家見諒。
Android應用的安全
意義
在維基百科上有一個關於計算機安全的定義:
計算機安全(






xjz729827161

2020-07-02 01:02:20









Android應用程序簽名和權限增強應用程序安全性






沙箱、進程和權限
在 Linux 中,一個用戶 ID 識別一個給定用戶;在 Android 上,一個用戶 ID 識別一個應用程序。應用程序在安裝時被分配用戶 ID,應用程序在設備上的存續期間內,用戶 ID 保持不變。權限是關於允許或限制應






dacainiao007

2020-06-29 12:09:04









Root exploit for Android and Linux(CVE-2010-4258)






/*
本文章由 莫灰灰 編寫,轉載請註明出處。  
作者:莫灰灰    郵箱: [email protected]
*/
一. 漏洞簡介
CVE-2010-4258這個漏洞很有意思,主要思路是如果通過clone函數去創建進






莫灰灰

2020-06-29 10:02:51









移動APP外掛攻防實戰






前言
近日,某某龍在2018年的一次會議上發表了一個演講,4000多人聚集在現場玩“跳一跳”遊戲。隨着他們指尖的翻飛跳躍,大屏幕上的現場排名也在不斷刷新……而在全場的驚歎聲中,最高分出現了,967分!而這位最高分得主,就是某某龍本人。






阿里安全

2020-06-29 03:42:47









unity3d引擎的遊戲的腳本DUMP及HOOK方案優化






對unity3d引擎的遊戲,重要的資源就是C#腳本,腳本是被打包到APK的assets目錄下的一些dll文件,有的APP可能會對其加密,運行的時候再動態解密。可以通過HOOK libmono.so中的函數mono_image_op






asmcvc

2020-06-29 01:25:30









基於Xposed和Substrate的通用性SO注入






需求來源
如果需要注入SO且HOOK一些功能做研究分析,必然需要注入、HOOK,而對於不同的分析目標除了HOOK的函數不同之外,注入部分是相同的,可以把相同部分的代碼提出來,做成一個功能,那麼以後注入部分就不用再次編寫了,分析的時






asmcvc

2020-06-29 01:25:30









基於Xposed的通用破解簽名的方法






@Override
public void initZygote(IXposedHookZygoteInit.StartupParam startupParam) throws Throwable {
XposedBrid






asmcvc

2020-06-29 01:25:30









如何快速定位Android APP中的關鍵函數?






需求來源
在逆向分析中,肯定是越快地定位到目標函數越好,那麼有沒有這樣的一種工具可以快速地輔助分析人員定位到目標函數呢?
最早的一個想法是這樣的:
- 通過某種機制讓APP輸出函數調用時候的日誌記錄。
- APP在運行的時候可






asmcvc

2020-06-29 01:25:30









【Android病毒分析報告】 - ZooTiger “集惡意推廣、隱私竊取、惡意吸費於一體”






本文章由Jack_Jia編寫,轉載請註明出處。  文章鏈接:http://blog.csdn.net/jiazhijun/article/details/11772379作者:Jack_Jia    郵箱: [email protected]






Jack_Jia

2020-06-28 17:02:00









Bionic中的ptrace函數






ptrace函數的原型是:
long ptrace(enum __ptrace_request request, pid_t
pid, void *addr, void *data);
q 
參數request是請求ptrace執行






行者无疆-超越

2020-06-28 01:43:36









AndroidBinder進程間通信系統






目錄
前言及知識準備
Service組件結構
Clinet組件結構
與Binder驅動程序交互
總結
Binder進程間通信實例
問題
本次
主要介紹Android平臺下Binder進程間通信庫。所謂通信庫,就是Adroid在應






fesng

2020-06-26 14:51:04