北京和上海2016年11月11日電 /美通社/ -- 現(xiàn)就讀于北京理工大學(xué)計(jì)算機(jī)系,來(lái)自長(zhǎng)亭科技安全研究實(shí)驗(yàn)室的實(shí)習(xí)生于晨升在第二屆中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)上做了題為《我的手機(jī)怎么被別人控制了�?-- 利用未公開漏洞ROOT掉一款最新款的流行手機(jī)》的精彩演講。以下是來(lái)自51CTO.com的報(bào)道原文《干貨分享| 教你如何利用漏洞ROOT安卓手機(jī)》:
隨著移動(dòng)互聯(lián)網(wǎng)的快速發(fā)展�,智能手機(jī)、平板電腦等智能終端設(shè)備逐漸普及�,慢慢的融入了我們的生活。然而與此同時(shí)智能手機(jī)安全問題也越來(lái)越凸顯�,手機(jī)支付漏洞�、手機(jī)遠(yuǎn)程定位、手機(jī)信息泄露等問題屢見不鮮�。
11月9日,為期兩天的第二屆中國(guó)互聯(lián)網(wǎng)安全領(lǐng)袖峰會(huì)(Cyber Security Summit�,簡(jiǎn)稱CSS)在北京成功召開。作為主辦方的騰訊安全攜手來(lái)自世界的頂級(jí)安全廠商�、產(chǎn)業(yè)鏈上企業(yè)、個(gè)人等圍繞時(shí)下物聯(lián)網(wǎng)�、互聯(lián)網(wǎng)+等諸多議題進(jìn)行探討。并在大會(huì)第二日特設(shè)了安全極客秀分論壇�,該論壇邀請(qǐng)了來(lái)自今年GeekPwn的優(yōu)勝選手,對(duì)當(dāng)時(shí)未能展示完全的項(xiàng)目進(jìn)行深入展示�。來(lái)自長(zhǎng)亭科技安全研究實(shí)驗(yàn)室的實(shí)習(xí)生于晨升帶來(lái)了題為《我的手機(jī)怎么被別人控制了�?-- 利用未公開漏洞ROOT掉一款最新款的流行手機(jī)》的精彩演講�,現(xiàn)在他正就讀于北京理工大學(xué)計(jì)算機(jī)系。
在論壇現(xiàn)場(chǎng)�,首先他邀請(qǐng)了一位參會(huì)者一起演示了如何利用未公開漏洞控制安卓手機(jī),隨后與大家分享了自己是如何發(fā)現(xiàn)并利用漏洞�,最終控制安卓手機(jī)的。
于晨升與參會(huì)者正在進(jìn)行現(xiàn)場(chǎng)演示
Android系統(tǒng)架構(gòu)解析
于晨升指出�,想要利用漏洞進(jìn)行攻擊,第一步應(yīng)該對(duì)Android系統(tǒng)架構(gòu)有足夠的了解才行�。Android系統(tǒng)架構(gòu)主要分為四層,即是:Application層�、Framework層、Library層以及Kernel層�。手機(jī)的自帶應(yīng)用在Application層,這一層從安裝到運(yùn)行其權(quán)限較低�。Framework層主要為Application層的應(yīng)用提供系統(tǒng)服務(wù),隨后在安卓程序運(yùn)行時(shí)�,需要第三層Library層的支持,通過(guò)此層引入運(yùn)行時(shí)所依賴的動(dòng)態(tài)庫(kù)�。Kernel層為系統(tǒng)內(nèi)核層。特別是在Android系統(tǒng)第四層內(nèi)核層中包含許多廠商相關(guān)的驅(qū)動(dòng)�,例如顯卡、相機(jī)�、觸摸屏的驅(qū)動(dòng)等。于晨升表示,為了支持不同的手機(jī)不同的芯片�,需要進(jìn)行驅(qū)動(dòng)編寫給用戶提供相同的接口,導(dǎo)致廠商驅(qū)動(dòng)的安全性比Android內(nèi)核本身的安全性差�,廠商驅(qū)動(dòng)為Android系統(tǒng)帶來(lái)了新的攻擊面新的漏洞。因此�,尋找手機(jī)漏洞,可以從這個(gè)層面出發(fā)�。
漏洞分析
在分會(huì)場(chǎng)現(xiàn)場(chǎng),于晨升針對(duì)最新的一款手機(jī)實(shí)現(xiàn)了ROOT�,所利用的漏洞還未公開,所以他選擇了一個(gè)已經(jīng)公開并修補(bǔ)的漏洞分享了CVE-2015-0569�,CVE-2015-0570, CVE-2015-0571三個(gè)已知漏洞的利用思路和過(guò)程。
據(jù)悉�,這三個(gè)漏洞由slipper在2015年的GeekPwn上公開,存在于高通WLAN驅(qū)動(dòng)中的棧溢出與堆溢出漏洞�,漏洞由于在進(jìn)行內(nèi)存拷貝之前未檢驗(yàn)拷貝長(zhǎng)度,導(dǎo)致緩沖區(qū)溢出�。隨后高通第一時(shí)間修補(bǔ)了漏洞�,在內(nèi)存拷貝操作之前進(jìn)行了檢查,同時(shí)在調(diào)用對(duì)應(yīng)的代碼塊之前進(jìn)行了權(quán)限檢查(CAP_NET_ADMIN)�。
漏洞利用
如何從發(fā)現(xiàn)漏洞到利用漏洞,再獲得手機(jī)root權(quán)限呢�?于晨升解釋說(shuō),觸發(fā)漏洞后�,就能夠達(dá)到的任意內(nèi)核地址寫0效果。從0開始的地址無(wú)法申請(qǐng),寫函數(shù)指針寫0無(wú)法實(shí)現(xiàn)�,所以需要提升條件,寫0但是不把所有的指針寫為0只是更改高位的�,然后對(duì)地址進(jìn)行操作。無(wú)KASLR�,覆寫固定地址的指針高位是可行的。有時(shí)改寫函數(shù)值是不可行的�,因?yàn)槎鄶?shù)ARM64架構(gòu)的手機(jī)上PXN是打開的,不能直接申請(qǐng)一段用戶態(tài)內(nèi)存讓內(nèi)核去執(zhí)行shellcode�。那么此時(shí)該如何利用呢?
為了解決以上問題�,于晨升在鏈表頭數(shù)組inetsw中尋找到了突破口,如圖所示:
代碼
inetsw是linux內(nèi)核用于維護(hù)socket創(chuàng)建時(shí)所需要的信息的雙向鏈表�,inet_register_protosw時(shí),將特定類型的socket信息加入到鏈表中, inet_create時(shí)遍歷鏈表尋找對(duì)應(yīng)信息�。包含proto, ops等結(jié)構(gòu)的指針,這些結(jié)構(gòu)中又含有許多的函數(shù)指針�。
因此,如果在無(wú)PAN的條件下�,覆寫inetsw中某一個(gè)next指針的高位,在用戶態(tài)偽造數(shù)據(jù)結(jié)構(gòu)�,可創(chuàng)建一個(gè)完全被控制的socket,最終達(dá)到如下效果:
代碼
如圖所示�,我們可以看到PC指針形成了一個(gè)特殊的指令,此時(shí)我們可以控制PC指令了�。
那么�,控制PC之后如何進(jìn)一步利用呢�?此時(shí)無(wú)法執(zhí)行用戶態(tài)代碼,只能利用內(nèi)核態(tài)代碼�。我們注意到ioctl中r0, r1, r2寄存器可以控制,于是可以利用以下gadget達(dá)到任意地址讀寫:
0x000000000021b598 : str w1, [x2] ; ret
0x00000000001e246c : ldr x0, [x2] ; add w0, w0, #1 ; ret
通過(guò)任意地址讀寫�,利用init_task可以找到當(dāng)前進(jìn)程的task_struct(或者利用泄露sp的gadget,通過(guò)thread_info找到task_struct�,更穩(wěn)定)。找到task_struct之后即可修改cred�,將uid等改為0即可。同時(shí)patch掉selinux_enforcing�,關(guān)掉selinux、mount -o rw,remount /system即可關(guān)掉/system分區(qū)寫保護(hù)�。在實(shí)際利用中,發(fā)現(xiàn)mtk設(shè)備的內(nèi)核代碼是可寫的�。在關(guān)閉selinux之后,某處的assert會(huì)失敗�,可以利用上面的特性patch掉assert的代碼?;蛘咄ㄟ^(guò)修改修改當(dāng)前進(jìn)程的sid,將其selinux的context修改為u:r:init:0�。實(shí)際測(cè)試中,我們會(huì)發(fā)現(xiàn)u:r:init:0進(jìn)程啟動(dòng)/system/bin/sh后權(quán)限會(huì)降為u:r:init_shell:0�。
總結(jié)
演講最后�,于晨升表示�,Android 6.0/7.0版本中已經(jīng)增強(qiáng)了SEPolicy�,防止未經(jīng)授權(quán)的app訪問白名單以外的設(shè)備,減少了攻擊面�,大大增強(qiáng)了安全性。并建議�,廠商應(yīng)該更加重視自家驅(qū)動(dòng)的安全性,防止被黑客濫用�,造成惡劣影響。
原文鏈接:http://netsecurity.51cto.com/art/201611/521141.htm�;作者:杜美潔
