Android提权root漏洞,Android Binder Driver UAF 漏洞实现 Root 提权分析(CVE-2019-2215) - 嘶吼 RoarTalk – 回归最本质的信息安全,互...

最新推荐文章于 2022-02-28 00:04:19 发布
最新推荐文章于 2022-02-28 00:04:19 发布
阅读量1.4k 收藏
点赞数
文章标签: Android提权root漏洞
本文详细介绍了Android Binder Driver Use-After-Free (UAF) 漏洞(CVE-2019-2215)的利用过程,通过分析如何利用该漏洞获取root权限。作者展示了从读/写内核内存到篡改任务结构、绕过DAC、CAP、MAC(如SELinux)和SECCOMP的过程,最终达到提权目的。文章还提及了一个名为Qu1ckR00t的PoC程序,用于在Pixel 2设备上实现一键提权。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

0x00  漏洞描述

当Project Zero紧急发布CVE-2019-2215漏洞公告时,我决定将漏洞利用代码复制到本地设备上进行复现分析。我正好有一个存在漏洞的Pixel 2手机。我需要做的就是编译漏洞exp并通过ADB运行exp代码。我下载了最新的Android NDK并编译了PoC:[grant ~/Downloads/android-ndk-r20 >> ./toolchains/llvm/prebuilt/darwin-x86_64/bin/aarch64-linux-android29-clang -o poc ../poc.c

[grant ~/Downloads/android-ndk-r20 >> adb push poc /data/local/tmp/poc

poc: 1 file pushed. 0.8 MB/s (22528 bytes in 0.026s)

我在设备上运行PoC后,发现了提权漏洞。

679724ab741602bddf11fd27495474ff.gif

1571576784116664.png

PoC代码提供了完整的内核读/写原语,最终可以获取root权限。这就提出了一个问题:“root”对于现代Android系统到底意味着什么?要回答这个问题,我们必须首先了解Android如何实施其安全策略的。

Android通过分层实施方法来防御恶意应用程序。以下是主要部分:

679724ab741602bddf11fd27495474ff.gif

1571576813395365.png

·任意访问控制(DAC) -UNIX权限(用户/组ID,R / W / X对象权限

·强制访问控制(MAC) -通过SELinux / SEAndroid强制执行类型(实际上是谁可以与谁以及如何进行对话的白名单)

·Linux功能(CAP) -将功能强大的root用户分成几个权限片(CAP_XYZ)

·SECCOMP-允许过滤/阻止系统调用,有效地限制了内核的攻击面

·Android的中间件 -限定如典型Android应用权限android_manifest.xml如android.permission.INTERNET(通常由执行system_server)

为了获得完整的root shell,我们需要绕过每个执行层(Android中间件除外,因为漏洞利用针对的是binder,它不需要任何中间件检查即可访问)。在现代Android系统上,这可以防范不会出现重大内核漏洞,但是,借助可访问应用程序的内核漏洞,我们可以相对轻松地绕过或禁用这些功能。对于系统上的每个任务,Linux内核都会在task_struct结构中跟踪其状态 。此状态碰巧包括与安全性相关的详细信息,例如所有用户ID,其SELinux上下文,其具有的功能,是否启用SECCOMP等等。如果我们能够针对特定目标task_struct使用我们的R / W原语,我们将能够将这些值更改为我们想要的值。例如,如果我们针对当前进程实现特权提升(EoP)。

0x01  提权到root权限

绕过DAC和CAP

有了指向当前task_struct的指针,我们所需的就是从开始到当前进程凭证的正确偏移量。然后,我们可以读取指针值,并在随后的调用中使用它来戳我们的凭据。

credLinux中的struct具有我们希望更改的所有优点,以升级我们的当前流程。这是源于最新版本Linux内核的源代码。struct cred {

atomic_t usage;

#ifdef CONFIG_DEBUG_CREDENTIALS

atomic_t subscribers; /* number of processes subscribed */

void  *put_addr;

unsigned magic;

#define CRED_MAGIC 0x43736564

#define CRED_MAGIC_DEAD 0x44656144

#endif

kuid_t  uid;  /* real UID of the task */

kgid_t  gid;  /* real GID of the task */

kuid_t  suid;  /* saved UID of the task */

kgid_t  sgid;  /* saved GID of the task */

kuid_t  euid;  /* effective UID of the task */

kgid_t  egid;  /* effective GID of the task */

kuid_t  fsuid;  /* UID for VFS ops */

kgid_t  fsgid;  /* GID for VFS ops */

unsigned securebits; /* SUID-less security management */

kernel_cap_t cap_inheritable; /* caps our children can inherit */

kernel_cap_t cap_permitted; /* caps we're permitted */

kernel_cap_t cap_effective; /* caps we can actually use */

kernel_cap_t cap_bset; /* capability bounding set */

kernel_cap_t cap_ambient; /* Ambient capability set */

#ifdef CONFIG_KEYS

unsigned char jit_keyring; /* default keyring to attach requested

* keys to */

struct key *session_keyring; /* keyring inherited over fork */

struct key *process_keyring; /* keyring private to this process */

struct key *thread_keyring; /* keyring private to this thread */

struct key *request_key_auth; /* assumed request_key authority */

#endif

#ifdef CONFIG_SECURITY<

最低0.47元/天 解锁文章
梁培定
关注
CVE-2019-2215
qq_37439229的博客
02-09 1065
CVE-2019-2215 复现环境:android 10 kernel: Linux localhost 4.14.150+ arch:x86_64架构 exp只适用于x86(主要是在patch addr_limit上) 其他的架构要根据addr_limit在thread_info或是thread_struct的偏移修改. 漏洞简述 CVE-2019-2215是一个谷歌P0团队发现的与binder驱动相关的安卓内核UAF漏洞,配合内核信息泄漏可以实现任意地址读写,进而可以通过升获取一个root
Android 2020 安全报告,CVE-2020-0423 android内核漏洞分析
weixin_33581743的博客
05-27 1055
简介2020年10月公布了bulletin,这是近新的漏洞,存在于binder中。这个漏洞大致上是binder的sender和receive端的对binder_node结构体的race condition转化为uaf漏洞,作者进一步触发了double free,结合后续巧妙的堆喷分配,利用slub和ksma机制,绕过kalsr和cfi保护,官方给出影响的版本在Android 8-11之间,详...
关于Androidroot漏洞
热门推荐
Tesi1a的充电桩
09-09 1万+
以下两个转自于知乎少仲哥 和flanker_hqd的回答:1.CVE-2009-2692(Wunderbar/asroot)sock_sendpage()的空指针解引用.因为sock_sendpage 没有对 socket_file_ops 结构的 sendpage 字段做指针检查,有些模块不具备sendpage 功能,初始时赋为 NULL,这样,没有做检查的sock_sendpage 有可能直接调
Android系统漏洞
08-13
Android系统漏洞
android 漏洞 root,[原创](Android Root)CVE-2017-7533 漏洞分析复现
weixin_34711121的博客
05-25 706
本篇主要是记录一下CVE-2017-7533是什么类型的漏洞漏洞原理是什么,以及如何触发,又是如何被patch的。进一步,编译源码刷机(此步骤耗时为长久),在pixel2上复现。此外,进一步思考如果想要从poc到exploit进一步需要做哪些事情?欢迎对这个漏洞感兴趣的同学一起交流学习~0x00 漏洞原理根据对该CVE的描述信息[1]我们可以知道,这是一个在linux kernel中fsnot...
android 漏洞,【转】android漏洞CVE
weixin_31976493的博客
05-30 964
承接上一篇博客CVE-2010-EASY漏洞android两大漏洞之一,它的修复方法很简单只需要给system/core/init/devices.c文件打个补丁就可以了,具体内容如下static int open_uevent_socket(void){+ setsockopt(s, SOL_SOCKET, SO_PASSCRED, &on, sizeof(on));//在o...
javaepoll1.8源码-CVE-2019-2215:CVE2019-2215AndroidBinder免费使用
06-11
java epoll 1.8源码CVE-2019-2215 来源: 内核 3.18.x 易受攻击的三星 S7 和 S7 Edge(请参阅 参考资料) 带有 LineageOS 内核 3.4.0 的三星 S3Neo+ 可能易受攻击(仍在进行中) Kernel 3.4.0 ...binder_thread ...
Android Binder漏洞CVE-2019-2215源码分析及利用PoC
资源摘要信息:"Java、epoll、CVE-2019-2215Android Binder、源码、内核漏洞、三星设备、S7、S7 Edge、LineageOS、内核版本、攻击向量、系统开源" 知识详细说明: 1. Java: Java是一种广泛使用的高级编程语言,常...
Androidroot漏洞,【转】结合init源码剖析android root漏洞CVE
weixin_42602241的博客
05-29 1081
这篇文章是上一篇博客的后续分析,主要介绍向init进程发送热拔插信息后init进程的处理流程首先我们来了解一个数据结构,uevent,如下struct uevent {const char *action;const char *path;const char *subsystem;const char *firmware;int major;int minor;};内核收到的信息如下,ACTIO...
CVE-2014-7911 Android本地漏洞分析与利用
omnispace的博客
10-05 5920
概述 前面我们了解了Android Binder机制的基本原理,当然仅仅了解是不够的,我们要做到:Know it and hack it。这篇文章我们就来分析一个和Binder相关的漏洞CVE-2014-7911。这是由Jann Horn发现的一个Android本地漏洞,能够使普通应用的升到System限,影响Android5.0以下版本。这个漏洞是非常值得Android安全研
Android root源码(利用CVE-2013-6282漏洞
08-25
CVE-2013-6282是一个漏洞编号,该漏洞属于Linux内核级别的漏洞,在android 2.x至4.3之前的版本中同样存在, 可以用于系统,获得root限,属于Linux系统API缺陷。 利用该漏洞,开发Android root程序。
基于利用方式的Android Root漏洞分析
03-24
Android平台恶意软件可以使用获取系统root限的方式来绕过传统的Android安全机制,并且由于Android碎片化现象的存在,出现了很多利用方式、范围不同的Android root漏洞,因此有必要详细了解这些漏洞实现机制,以采取相应的安全对策。基于利用方式将Android root漏洞按照是否可以直接在手机端利用的角度对其分类,评估其威胁程度,并详细描述了现有漏洞实现细节、利用方式以及覆盖的范围,从而为进一步制定漏洞检测方案供帮助。
Android Zero day CVE-2019-2215安全漏洞
weixin_43901866的博客
10-09 1457
漏洞位于Android操作系统的内核代码中,可用于帮助攻击者获得对该设备的root访问限。具有讽刺意味的是,该漏洞已于2017年12月在Android内核版本3.18、4.14、4.4和4.9中进行了修补,但发现较新版本存在漏洞。 哪些手机有漏洞漏洞会影响以下运行Android 8.x及更高版本的Android手机型号: 具有Android9和Android10预览版的Pixel2 华为P...
Android内核层驱动程序UAF漏洞实例
道阻且长,行则将至
02-28 7872
文章目录前言UAF漏洞 前言 自 2021 年 11 月从国企离职并入职联网私企后,发现博客很少更新了……自然不是因为开始躺平了(菜鸡的学习之路还很漫长…),而是新的平台充满挑战,需要学习的东西实在太多了(所以一直加班中…),加上很多内部学习材料和内容不可在公司外网传播,所以就很少写 优快云 博文了。但是稍有时间还是要保持写博文习惯的hh,个人觉得这不仅是对个人技术成长的记录,也是一种促使自己不断保持学习状态的好习惯。 换工作后开始从事移动终端安全的方向,近在学习 Android 内核层和驱动的漏洞
android ioctl fuzz,android 本地漏洞 android root
weixin_30847865的博客
05-16 197
目前正在研究android 三方设备驱动 fuzzer , 也就是下图所说的 ioctl fuzzing, 下图是由keen team nforest 大神发布; 欢迎正在研究此方面的人联系我共同交流进步!Email: Blind Fuzz Smart Fuzz android 内核栈溢出android slab/slub 类堆溢出android 数组越界导致的复写内核中的重要数据...
android 漏洞 root,新漏洞可获取root限 所有安卓机躺枪
weixin_39832829的博客
05-25 1025
原标题:新漏洞可获取root限 所有安卓机躺枪【中关村在线软件资讯】10月25日消息:Android系统的安全问题可以用源源不断来形容,近一个新的严重漏洞被发现,该漏洞甚至可以获取root限。安全专家David Manouchehri日前公布了这个名为脏牛(Dirty COW)的Linux漏洞的源代码,该漏洞允许攻击者在内核操作中不断升自己的限并作为合法用户来执行远程代码。该漏洞由安全专...
Android漏洞分析——rageagainstthecage
Flass Blog
06-07 3051
Android adb setuid漏洞由Sebastian Krahmer在2010年公布,并发布利用工具RageAgainstTheCage..
cve-2015-0569 安卓手机ROOT漏洞 分析
omnispace的博客
03-20 3593
测试机器:nexus4       android版本:4.4   内核版本3.4.漏洞介绍:函数进行拷贝时没有对长度进行判断,导致用户可以修改内核栈中值。 漏洞利用:通过修改函数返回地址,来进行操作 1,首先找到官方的修补代码 修补代码地址:https://www.codeaurora.org/cgit/quic/la/platform/vendor/qcom-openso
Android root漏洞分析汇总
漫步者的博客
07-27 805
名称:Exploid 编号:CVE-2009-1185 udev是一个android组件负责USB连接,进程应该只处理kernel发送的device的NETLINK的socket消息,但实际上并未检测NETLINK的socket消息的来源,这样可以广播add device的socket信息,触发硬件处理事件,将恶意代码传入kernel,由其写入设备文件.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值