zergRush (CVE-2011-3874) 提权漏洞分析

最新推荐文章于 2022-04-10 23:34:21 发布
最新推荐文章于 2022-04-10 23:34:21 发布
阅读量1.2k 收藏
点赞数
分类专栏: 黑客
最近(终于)转Android了,2011年著名的zergrush是接触的第一个ROOT漏洞。虽然它已经过气了,只影响Android 2.2 - 2.3.6,但觉得还是有必要记录一下分析所得。

市面上各种ROOT工具基本都包含zergrush,大多是开源的zergRush.c直接编译而来。已有的分析文章:

  tomken_zhang,漏洞 — zergRush漏洞 — zergRush (补充)

  Claud, Android提权代码zergRush分析

分析内容集中在zergRush.c的代码结构上,对漏洞原理没有解析,或者错误地认为是栈溢出。其实CVE-2011-3874已经描述得很明白,这个漏洞的本质是"use after free"。

1. 栈溢出?No.

漏洞存在于/system/bin/vold这个root身份的系统程序。具体地,vold调用了libsysutils.so,真正有问题的是这个so。再具体地,问题出在/system/core/libsysutils/src/FrameworkListener.cpp的FrameworkListener::dispatchCommand方法。

它在栈上分配了一个固定大小的数组argv,

void FrameworkListener::dispatchCommand(SocketClient *cli, char*data) {
    FrameworkCommandCollection::iterator i;
    intargc =0;
    char*argv[FrameworkListener::CMD_ARGS_MAX];
    chartmp[255];
    char*p = data;
    char*q = tmp;
    bool esc =false;
    bool quote =false;
    intk;

 

 FrameworkListener::CMD_ARGS_MAX = 16。但后面填充argv数组时,代码并没有检查是否发生了越界。

if (!quote && *q == ' ') {
      *q ='\0';
      argv[argc++] = strdup(tmp);
      memset(tmp,0, sizeof(tmp));
      q = tmp;
      continue;
  }
 

让argv越界是很容易的,越界的数据会被写入argv下面的tmp数组中。zergRush实际上只是向argv中填充了CMD_ARGS_MAX + 2个char *,越界了8字节而已,255字节的tmp数组完全接得住,并没有破坏dispatchCommand的栈。其实,就算dispatchCommand的栈溢出了,也没什么事,因为它被编译进了__stack_chk,一旦返回地址改变,会异常结束。所以,这个漏洞不是“栈溢出”。

2. free(任意地址)

用户程序向system/bin/vold发送的数据会到达FrameworkListener::onDataAvailable。onDataAvailable会从数据中提取命令字符串,并调用dispatchCommand处理命令。用户数据可能包含多条命令,每条命令是一个以'\0'结尾的字符串,由名称和若干参数构成,名称和参数由空格分隔。例如,

"cmd1 arg11 arg12\0cmd2 arg21 arg22 arg23\0"

这样的数据进入onDataAvailable后,会提取出2条命令字符串:"cmd1 arg11 arg12" 和 "cmd2 arg21 arg22 arg23",对每条命令调用一次dispatchCommand。dispatchCommand接收到命令字符串后,会进一步解析出命令名称和参数,并存入argv数组。比如,对于"cmd1 arg11 arg12",dispatchCommand完成解析后,

argv[0] =="cmd1";
argv[1] =="arg11";
argv[2] =="arg12"
名称和每个参数,最初都是解析到tmp中,argv的每个字符串指针都是strdup(tmp)出来的,在dispatchCommand返回前要free掉, 

int j;
for (j = 0; j < argc; j++)
    free(argv[j]);


这是一个很正常的逻辑,但在argv数组越界,与tmp发生交叠的情况下,有意思的事情就发生了。假设有一条命令带有17个参数, 
"cmd p1 p2 p3 p4 p5 p6 p7 p8 p9 p10 p11 p12 p13 p14 p15 p16 \x78\x56\x34\x12"

 解析后,argv数组的内容是:

argv[0] =="cmd";
argv[1] =="p1";
argv[2] =="p2";
argv[3] =="p3";
argv[4] =="p4";
argv[5] =="p5";
argv[6] =="p6";
argv[7] =="p7";
argv[8] =="p8";
argv[9] =="p9";
argv[10] =="p10";
argv[11] =="p11";
argv[12] =="p12";
argv[13] =="p13";
argv[14] =="p14";
argv[15] =="p15";
argv[16] ==0x12345678;
argv[17] =="\x78\x56\x34\x12"


argv数组大小只有16项,argv[16]实际上是tmp数组的前4个字节,而最后一个参数是"\x78\x56\x34\x12",它被解析出来后缓存到tmp里,这样tmp的前4字节就成了0x78,0x56, 0x34, 0x12 ,因此argv[16]==0x12345678。之后,argv[16]被free,即执行了free(0x12345678)。我们可以任意控制参数内容,即可实现:free(任意地址)。

3. 指针复用和vtable覆盖

能够free掉任意指针了,如何实现exploit呢?最简单的办法是free掉一个带vtable的C++对象指针,然后重用这个指针,从而控制vtable。很幸运的是,dispatchCommand的代码逻辑支持这么做。它会对比接收到的命令和已注册的FrameworkCommand,如果匹配,就去运行匹配的FrameworkCommand。

  
for (i = mCommands->begin(); i != mCommands->end(); ++i) {
        FrameworkCommand *c = *i;
 
        if(!strcmp(argv[0], c->getCommand())) {
            if(c->runCommand(cli, argc, argv)) {
                SLOGW("Handler '%s' error (%s)", c->getCommand(), strerror(errno));
            }
            gotoout;
        }
    }

runCommand是FrameworkCommand的virtual方法,FrameworkCommand对象指针就是要free掉然后复用的目标。mCommands是FrameworkListener的成员,它包含了若干FrameworkCommand对象指针,如果知道了FrameworkListener *this,寻址到FrameworkCommand不在话下,这也是zergRush.c的heap_oracle() 做的事情。

假设我们成功free掉了一个FrameworkCommand指针,怎样复用这个指针呢?只需要再调用dispatchCommand解析一条命令,在解析过程中,第一次strdup(tmp)返回的就是这个指针,并且已经把tmp字符串复制到这个地址了。即:命令的前4个字节已经成为这个FrameworkCommand对象的vtable,实现了vtable的任意指定。观察上面C++代码对应的汇编:

.text:000029F6                 LDR.W           R6, [R8]
.text:000029FA                 MOV             R0, R10 ; s1
.text:000029FC                 LDR             R1, [R6,#4] ; s2
.text:000029FE                 BLX             strcmp
.text:00002A02                 CBNZ            R0, loc_2A38
.text:00002A04                 LDR             R0, [R6]           ;R0 = vtable
.text:00002A06                 MOV             R1, R5
.text:00002A08                 MOV             R2, R4
.text:00002A0A                 MOV             R3, R7
.text:00002A0C                 LDR.W           R12, [R0,#8]       ;R12 = runCommand
.text:00002A10                 MOV             R0, R6
.text:00002A12                 BLX             R12                ;Call runCommand
.text:00002A14                 CBZ             R0, loc_2A50
.text:00002A16                 LDR             R5, [R6,#4]
.text:00002A18                 BLX             __errno
.text:00002A1C                 LDR             R0, [R0] ; errnum
.text:00002A1E                 BLX             strerror
.text:00002A22                 LDR             R2, =(aFrameworkliste -0x2A2E)
.text:00002A24                 LDR             R3, =(aHandlerSErrorS -0x2A30)
.text:00002A26                 MOVS            R1, #5
.text:00002A28                 STR             R5, [SP,#0x484+var_484]
.text:00002A2A                 ADD             R2, PC  ;"FrameworkListener"
.text:00002A2C                 ADD             R3, PC  ;"Handler '%s' error (%s)"
.text:00002A2E                 STR             R0, [SP,#0x484+var_480]
.text:00002A30                 MOVS            R0, #3
.text:00002A32                 BLX             __android_log_buf_print
.text:00002A36                 B               loc_2A50


调用runCommand,实际是调用了[vtable + 8]。比如第二次传给dispatchCommand的命令是"AAAA blablabla",vtable会被覆盖成0x41414141,PC将被指向 [0x41414149]。至此,已经成功的控制了指令流,剩下的就是构造攻击数据的奇淫技巧了,比如ROP等,和漏洞本身没有直接关系了。zergRush.c成功地调用system()执行任意命令,达到了ROOT的目的。

4. 总结

CVE-2011-3874这个漏洞源于栈上的数组越界,用户程序通过向/system/bin/vold发送一段包含2条特殊命令的数据,可以控制root身份的vold执行system(),借以提权。用户数据中的第1条命令会free掉一个FrameworkCommand对象;而第2条命令会重新占用对象地址,进而覆盖vtable实现控制指令流。

Android 2.2-2.3.6没有ASLR的前提下,漏洞利用过程只有2个必要数据无法直接获取:dispatchCommand的this指针和栈地址SP。不幸(幸运)的是,强大的logcat填上了这个坑。有了logcat,即使有ASLR,对这个漏洞也没有防护能力。




没有进行补丁的源码

void FrameworkListener::dispatchCommand(SocketClient *cli, char *data) {
    FrameworkCommandCollection::iterator i;
    int argc = 0;
    char *argv[FrameworkListener::CMD_ARGS_MAX];
    char tmp[CMD_BUF_SIZE];
    char *p = data;
    char *q = tmp;
    char *qlimit = tmp + sizeof(tmp) - 1;
    bool esc = false;
    bool quote = false;
    int k;
    bool haveCmdNum = !mWithSeq;

    memset(argv, 0, sizeof(argv));
    memset(tmp, 0, sizeof(tmp));
    while(*p) {
        if (*p == '\\') {
            if (esc) {
                if (q >= qlimit)
                    goto overflow;
                *q++ = '\\';
                esc = false;
            } else
                esc = true;
            p++;
            continue;
        } else if (esc) {
            if (*p == '"') {
                if (q >= qlimit)
                    goto overflow;
                *q++ = '"';
            } else if (*p == '\\') {
                if (q >= qlimit)
                    goto overflow;
                *q++ = '\\';
            } else {
                cli->sendMsg(500, "Unsupported escape sequence", false);
                goto out;
            }
            p++;
            esc = false;
            continue;
        }

        if (*p == '"') {
            if (quote)
                quote = false;
            else
                quote = true;
            p++;
            continue;
        }

        if (q >= qlimit)
            goto overflow;
        *q = *p++;
        if (!quote && *q == ' ') {
            *q = '\0';
            if (!haveCmdNum) {
                char *endptr;
                int cmdNum = (int)strtol(tmp, &endptr, 0);
                if (endptr == NULL || *endptr != '\0') {
                    cli->sendMsg(500, "Invalid sequence number", false);
                    goto out;
                }
                cli->setCmdNum(cmdNum);
                haveCmdNum = true;
            } else {              
                argv[argc++] = strdup(tmp);
            }
            memset(tmp, 0, sizeof(tmp));
            q = tmp;
            continue;
        }
        q++;
    }

    *q = '\0';  
    argv[argc++] = strdup(tmp);
#if 0
    for (k = 0; k < argc; k++) {
        SLOGD("arg[%d] = '%s'", k, argv[k]);
    }
#endif

    if (quote) {
        cli->sendMsg(500, "Unclosed quotes error", false);
        goto out;
    }

    if (errorRate && (++mCommandCount % errorRate == 0)) {
        /* ignore this command - let the timeout handler handle it */
        SLOGE("Faking a timeout");
        goto out;
    }

    for (i = mCommands->begin(); i != mCommands->end(); ++i) {
        FrameworkCommand *c = *i;

        if (!strcmp(argv[0], c->getCommand())) {
            if (c->runCommand(cli, argc, argv)) {
                SLOGW("Handler '%s' error (%s)", c->getCommand(), strerror(errno));
            }
            goto out;
        }
    }
    cli->sendMsg(500, "Command not recognized", false);
out:
    int j;
    for (j = 0; j < argc; j++)
        free(argv[j]);
    return;

overflow:
    LOG_EVENT_INT(78001, cli->getUid());
    cli->sendMsg(500, "Command too long", false);
    goto out;
}



世纪殇
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
浅析CVE-2011-3874(zergRush)
少仲
05-07 1526
/* author:少仲 blog: http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 漏洞信息 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2011-3874 0
漏洞zergRush (补充)
10-13 5242
没看到上文的参见一下  http://blog.csdn.net/tomken_zhang/article/details/6866260   上文中还没有来细细分析漏洞的出处及利用过程,现在又有所收获,特记录下来。   上文说到,向 vold 发送了一段 SOCKET
AndroidRoot的本质和常用工具及软件,包括知名漏洞zergRush和Gingerbreak
记录和分享程序人生的点点滴滴
12-14 1735
对于Android系统来说,应用程序可以通过获取Androidroot权限,来越过Android系统的限制,从而访问到系统底层或其它应用程序的数据或文件,进程等。这和iOS的越狱的概念差不多。
Android提权代码zergRush分析
记录和分享程序人生的点点滴滴
12-22 2638
来源于: http://blog.claudxiao.net/2011/10/zergrush/ Android提权代码zergRush分析 一、背景和原理 Revolutionary工具开发小组在2011年10月发布了一个在Android 2.2和2.3上获得root权限的方法[1],并公布了漏洞利用代码zergRush.c[2]。tomken_zhang已经在其博客上发
安卓权限破解DooMLoRD_v3_ROOT-zergRush-busybox-su
03-02
安卓权限破解工具 DooMLoRD_v3_ROOT-zergRush-busybox-su
XperiaPlay-Tools:适用于Xperia Play的快速(但不推荐使用)fastboot flasher
03-09
目前,您可以: 使用zergRush(仅可利用的固件-基于)对设备进行启动。 仅针对R800i测试。 :lady_beetle: xfast(快速启动) 实验性质是,与其操作flashtool的工作方式(将设备引导至闪存模式,然后发送有效载荷)...
Android手机一键Root原理分析pdf及部分相关源码
09-03
主要分析了手机Root权限获取的过程,并介绍了常见的几个Root提权漏洞,最后通过分析su与SuperUser.apk的协作方式解了Root真正的原理。涉及的内容:Root的由来、Root漏洞的历史、CVE-2009-2692、CVE-2010-EASY、...
Android Root 漏洞程序包
05-24
1. **zergrush**: 这是一款针对Android设备的exploit工具,利用特定的安全漏洞来获取设备的root权限zergrush通常用于那些传统Root方法无效的设备,其工作原理是寻找并利用系统中的未修补安全缺陷。 2. **psneuter...
关于Android的root提权漏洞
热门推荐
Tesi1a的充电桩
09-09 1万+
以下两个转自于知乎少仲哥 和flanker_hqd的回答:1.CVE-2009-2692(Wunderbar/asroot)sock_sendpage()的空指针解引用.因为sock_sendpage 没有对 socket_file_ops 结构的 sendpage 字段做指针检查,有些模块不具备sendpage 功能,初始时赋为 NULL,这样,没有做检查的sock_sendpage 有可能直接调
cve-2011-0027漏洞分析
小强的博客
07-25 2043
这个漏洞是整数溢出漏洞漏洞环境为win7+IE8 ,调试工具为windbg,静态分析工具为IDA。 主要参考《漏洞战争》相关介绍,实际分析了一下。 首先启动页堆。 打开IE8,windbg附加进程,然后IE打开poc文件。 poc.html文件如下: function Start() { localxmlid1 = document.getElementById
记一次曲折的RCE挖掘过程
一个安全研究员
09-10 1448
????
redis未授权访问漏洞三种提权方式
FryhRx的博客
04-10 8762
redis未授权访问漏洞三种提权方式 文章目录redis未授权访问漏洞三种提权方式前言一、redis是什么?二、漏洞利用条件1. redis绑定在 0.0.0.0:6379,且没有进行添加防火墙规则避免其他非信任来源ip访问等相关安全策略,直接暴露在公网。2.没有设置密码认证(一般为空),可以免密码远程登录redis服务。三、漏洞利用1、利用redis写webshell2、写ssh-keygen公钥然后使用私钥登陆3、Redis 写入计划任务四、 Redis未授权访问防御方法 前言 扫描/连接默认的63
Nginx 内嵌lua脚本,结合Redis使用
byteway的专栏
06-03 4428
0x00 Nginx 内嵌Lua脚本有以下特点: 20k个并发连接 Lua脚本可以在Nignx 11个层次的不同层次发挥作用,扩展Ngnix功能 Lua速度极快(寄存器指令) 0x01 应用场景 在web server端做请求过滤处理(如:WAF、Anti CC等) 0x02 简单配置过程 测试环境Ubunt
黑客攻防Redis拉锯战之Root提权
qq_40907977的博客
05-19 1942
转载来源:记一次重大安全事故,黑客攻防Redis拉锯战之Root提权 :http://www.safebase.cn/article-259347-1.html 摘要: 黑客攻击前言要想做一名优秀的程序员,除去个人扎实的基础技能这一不可或缺的因素,还有一个更加不能忽略的潜在意识。那就是——安全防范意识!为什么说,安全防范意识会成为另外一个不可或缺的因素,你且听我慢慢道来。服务器被植入木马linux其实这件事情呢,也就发生在前几天。公司需要部署一套新的 … 前言 要想做一名优秀的程序员,除去个人扎实的基础
【数据库提权】Redis未授权访问常见提权方式
ssrf
03-02 903
目录0x001 验证是否存在未授权访问0x002 利用计划任务执行命令反弹shell0x003 通过向Web目录中写webshell的方式进行getshell0x004 通过写SSH key的方式进行getshell0x005 修复方案 0x001 验证是否存在未授权访问 Redis在默认情况会将服务绑定在6379端口上,从而将服务暴露在公网环境下,如果在没有开启安全认证的情况下,可以导致任意用户未授权访问Redis服务器并Redis进行读写等操作。 使用redis客户端redis-cli.exe连接,
yolo-fastest.zip
07-28
yolo-fastest
mysql安装配置教程.pdf
最新发布
07-28
MySQL的安装配置教程可以细分为以下几个步骤,这里以Windows系统为例进行说明: 一、下载MySQL 1.访问MySQL官网: 1.前往MySQL的官方网站(https://www.mysql.com/)下载MySQL Community Server。 2.选择下载版本: 1.在官网的Downloads页面,选择“MySQL Community (GPL) Downloads”下的“MySQL Installer for Windows”。 2.跳过注册步骤,直接下载MySQL安装包。 二、安装MySQL 1.运行安装包: 1.找到下载好的MySQL安装包文件,双击运行。 2.选择安装类型: 1.在安装向导中,选择安装类型(通常建议选择“Custom”进行自定义安装)。 2.选择操作系统的位数(如64位),并勾选“Enable the Select Features...”等选项(如果提示缺少运行库,需要先安装相应的VC_redist)。 3.设置安装路径: 1.选择MySQL的安装路径和数据存储路径,建议将MySQL安装在非系统盘(如D盘)以避免潜在的问题。 4.设置密码:
基于transformers+pytorch实现非结构化商业文本信息中隐私信息识别python源码(比赛获奖项目).zip
07-28
基于transformers+pytorch实现非结构化商业文本信息中隐私信息识别python源码(比赛获奖项目).zip CCF大数据与计算智能大赛-非结构化商业文本信息中隐私信息识别方案 bert base + flat + crf + fgm + swa + pu learning策略 + clue数据集 = test1单模0.906 词向量:https://github.com/Embedding/Chinese-Word-Vectors SGNS(Mixed-large 综合) loss mask相关代码为pu learning策略的实现 主要模块版本 python 3.6.9 torch 1.1.0 transformers 3.0.2 pytorchcrf 1.2.0 torchcontrib 0.0.2 主要功能点 使用BERT base作为基础模型 采用flat结构进行命名实体识别 使用CRF层进行序列标注 采用对抗训练(FGM)和平滑权重平均(SWA)策略提高模型泛化能力 使用PU learning策略处理标注不全的数据 利用clue数据集进行训练
Razr刷机新手指南:步骤详解与注意事项
- 你需要下载相应的底包文件(如115.com/file/bhyqz7vs),以及Root工具包(如115.com/file/aq68nng3),如DooMLoRD_v2_ROOT-zergRush-busybox-su.rar。 4. **刷机步骤**: - 下载ROM(如115.com/file/dnofkt24)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值