Android Root方法原理解析及Hook(三) FrameworkListener漏洞

转自:  http://blog.csdn.net/jackaduma/article/details/7287926


Vold进程(root权限)在启动时会有一个CommandListener对象启动startListener线程,其继承自FrameworkListenr,

存在漏洞的函数为FrameworkListener::dispatchCommand(),其中的局部变量argv为固定大小的指针数组,

当输入参数的数量超过其大小时,会越界写入栈中。

恶意程序可据此将恶意指令写入,由root权限的vold进程执行构造的有效shellcode

 

ZergRush的攻击原理:

       根据栈溢出的信息(vold进程崩溃时的调试信息会打印至logcat),构造有效的shellcode,发送给vold,

这样shellcode在vold进程将以root权限执行,通过system调用运行该程序的脚本/data/local/tmp/boomsh(root权限执行),

其主要做了两件事情:

1.   将/data/local/tmp/sh的属性设置为04711, S位被置位

2.   设置系统的ro.kernel.qemu属性为1,即将手机当成模拟器

这样,杀掉adb进程,init进程重启adb时,会去判断系统属性ro.kernel.qemu,若为模拟器,则adb不降权,得到root权限的adbd进程

 

Androidfixed patch:

在/system/core/libsysutils/src/FrameworkListener.cpp中的

1.    函数onDataAvailable()对read(c->getSocket(), buffer,sizeof(buffer))  加了个

TEMP_FAILURE_RETRY宏的判断

    #define TEMP_FAILURE_RETRY(exp) ({         \  
        typeof (exp) _rc;                      \  
        do {                                   \  
            _rc = (exp);                       \  
        } while (_rc == -1 && errno == EINTR); \  
        _rc; })  
    #endif  

2.      函数dispatchCommand()在给局部变量argv传值时候,对长度进行判断,若超过limit,则跳转退出。


Myhook code:

loglogcat

    #include <cutils/log.h>  
    #define LOG_TAG “FrameworkListener Hooker”  
      
    void FrameworkListener::dispatchCommand(SocketClient *cli, char *data) {  
        …  
        char *argv[FrameworkListener::CMD_ARGS_MAX];   //  
        char tmp[255];  
        char *p = data;  
        char *q = tmp;  
        char *qlimit = tmp + sizeof(tmp) - 1;  
        …  
        …  
                if (q >= qlimit){  
                    LOGE(“unexpected overflow ”); //  
                    goto overflow;  
                }  
        …  
        …  
        if (argc >= CMD_ARGS_MAX){  
            LOGE(“unexpected overflow ”);  
            goto overflow;  
        }  
        argv[argc++] = strdup(tmp);  //zergRush 攻击的就是这个点,之前并未加判断  
        …  
        …  
      
    overflow:  
        cli->sendMsg(500, "Command too long", false);  
        goto out;  
    }  


©️2020 CSDN 皮肤主题: 大白 设计师: CSDN官方博客 返回首页
实付0元
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值