莫灰灰的专栏

Android版xx助手之天天酷跑外挂详细分析图/文      莫灰灰背景近些年来，移动互联网的大肆崛起，潜移默化中影响着人们的生活和工作习惯。当腾讯的微信平台接入手机游戏之后，移动端的游戏也开始火了起来，这更是改变了人们长久以来的游戏娱乐习惯。茶余饭后，小伙伴们掏出“家伙”打个飞机已是习以为常的事情了。加之移动客户端游戏开发周期短，投入少等特点，很多初创公司也纷纷投入到这个领域中来，

/*本文章由 莫灰灰 编写，转载请注明出处。  作者：莫灰灰    邮箱： minzhenfei@163.com*/一. 漏洞简介CVE-2010-4258这个漏洞很有意思，主要思路是如果通过clone函数去创建进程，并且带有CLONE_CHILD_CLEARTID标志，那么进程在退出的时候，可以造成内核任意地址写0的bug。PoC代码利用了多个漏洞来达到权

背景    信息化时代的高速发展，同时也孕育了更多的网络攻击。网银被盗、隐私信息泄露等无疑成为了广大网民最为关注的问题。几年前，“艳照门”事件的曝光，更是引发了互联网的一阵恐慌。         如今，移动互联网的迅速普及，手机相机的像素也越来越高，我们可以很方便的使用手机拍摄自己感兴趣的东西并上传到朋友圈、微博等。但是，这同时也引入了另外一个问题，拍了这么多东西，总有自己的一些隐私数

前置知识1.      pty/tty。历史非常悠久的产物，主要用于终端的输入输出。介绍性的文章：http://www.linusakesson.net/programming/tty/2.      slab。主要用于分配特定大小的内存，防止内存碎片、空洞，有点类似windows内核里的Lookaside。百度百科相关文章：http://baike.baidu.com/view/5870

今天有同事来问我为嘛360的su权限是755。以前还真没注意这个细节，看了下自己手机里用360root的su，果真如此。既然没有SUID或者SGID权限，那又是怎么访问root用户下的东西呢。于是花了点时间研究了一下，360此举主要是为了规避4.4以后android系统的selinux机制。它的主要步骤如下：1. 修改install-recovery

打开android设备系统调试

1. 如果已经获得了root shelladb shell mount -o remount,rw /systemadb push su /system/xbin/suadb shell chown 0.0 /system/xbin/suadb shell chmod 06755 /system/xbin/suadb shell mount -o remount,ro /s

根据每个分区的前几个字节来判断。su权限下，dump每个分区的前512字节。for ii in /dev/block/m*; do \ BASE=`../busybox basename $ii`; \ dd if=$ii of=$BASE count=1 2> /dev/null; \donedump出来了搜索boot img标志AN

近些年来，由于Android系统的兴起，作为Android底层实现的Linux内核其安全问题也是越来越被人们所关注。为了减小漏洞给用户带来的危害和损失，Linux内核增加了一系列的漏洞缓解技术。其中包括DEP，ASLR，更强的Selinux，内核代码段只读，PXN等等。Linux中这些安全特性的增加，使得黑客们对漏洞的利用越来越困难。其中，DEP，ASLR，Selinux等技术在PC时代就已经比较成熟了。内核代码段只读也是可以通过修改ptmx_fops指针表等方案来绕过。那么，PXN是什么？它又该如何绕过

简介Cydia Substrate是一个很强大的工具，他提供了很便利的方法帮助你去hook so和java中的方法。在本例中，出于学习的目的，我使用Cydia Substrate来hook每个进程的dvmLoadNativeCode函数，以达到监控加载so顺序的功能。Cydia Substrate相关链接使用指南：http://www.cydiasu

/*本文章由 莫灰灰 编写，转载请注明出处。  作者：莫灰灰    邮箱： minzhenfei@163.com*/1. 漏洞分析这是个很老的漏洞了，主要利用adb启动的时候调用setuid函数降到shell权限，却没有判断setuid返回失败的情况，因此造成了root的可能如下是已经修复漏洞后的代码：原本的代码大致如下：setgid(A

/*本文章由 莫灰灰 编写，转载请注明出处。  作者：莫灰灰    邮箱： minzhenfei@163.com*/背景         随着移动互联网的普及以及手机屏幕越做越大等特点，在移动设备上购物、消费已是人们不可或缺的一个生活习惯了。随着这股浪潮的兴起，安全、便捷的移动支付需求也越来越大。因此，各大互联网公司纷纷推出了其移动支付平台。其中，用的比较多的要

1.漏洞成因Linux kernel对ARM上的get_user/put_user缺少访问权限检查，本地攻击者可利用此漏洞读写内核内存，获取权限提升。2.受影响的系统Linux kernel 3.2.2Linux kernel 3.2.13Linux kernel 3.2.13.PoC分析（1）从/proc/kallsyms文件中获得数据结构pt

/*本文章由 莫灰灰 编写，转载请注明出处。  作者：莫灰灰    邮箱： minzhenfei@163.com*/漏洞成因其实0地址的妙用在windows上也有很多的利用，在windows的主动防御开发过程中，很多病毒都是用NULL地址来绕过主防的拦截。原理其实也很简单，因为开发主防的程序员经常会在自己的hook函数开头检查传进来的参数，例如if (par

通过mmap直接操作物理内存的漏洞应该算是比较常见的一类漏洞了，在2012年、2013年的这段时间里，爆出了好几个物理内存读写相关的漏洞。主要是因为某些设备本身具有mmap物理内存的功能，但是其权限又是全局可读写的，最后，黑客通过精心构造的参数，patch相关函数或者数据结构达到权限提升的目的。这样的设备主要有以下几个/dev/exynos-mem CVE-2012-6422 ht

xda上已经有很详细的说明了，文章链接：http://forum.xda-developers.com/showthread.php?p=35469999

前段时间写了关于天天酷跑游戏外挂的实现原理。文章链接：http://bbs.pediy.com/showthread.php?t=187948这几天正好有时间看了下xx助手主体的实现原理，大致如下：1./assets/injectso首先跑起来，然后判断目标进程，即要注入的游戏进程中是否有libxxghost.so文件，如果没有，那么就关闭selinux，往目标进程中注入libxx

1漏洞描述漏洞的产生主要是因为摄像头驱动提供了几个用于用户空间调用的接口。用户空间可以使用诸如ioctl或者mmap这样的系统调用函数就能对摄像头驱动产生影响。黑客可以很容易的使用事先构造好的参数将物理内存map到用户空间，并提升权限。2.影响设备绝大多数使用2013年5月1日之前的Linux内核安卓系统3.PoC/* * * This progra

/*本文章由 莫灰灰 编写，转载请注明出处。  作者：莫灰灰    邮箱： minzhenfei@163.com*/1. KeyStore Service在Android中，/system/bin/keystore进程提供了一个安全存储的服务。在过去的版本中，其他程序主要用过UNIX socket的守护进程/dev/socket/keystore去访问这个服务。然而

/*本文章由 莫灰灰 编写，转载请注明出处。  作者：莫灰灰    邮箱： minzhenfei@163.com*/1. 漏洞描述音频驱动acdb提供了一个ioctl的系统接口让应用层调用，然而，其在处理传进来的参数时没有做有效的边界检查。应用程序可以通过/dev/msm_acdb设备文件就能达到提升权限的目的。2. 漏洞分析原始代码如下if

/*本文章由 莫灰灰 编写，转载请注明出处。  作者：莫灰灰    邮箱： minzhenfei@163.com*/1. 漏洞描述在处理DIAG设备的ioctl系统调用参数时，一些未经验证的引用自用户层的不可信指针被使用了。对于本地安装的应用程序来说，可以使用这个漏洞来实施拒绝服务攻击，或者在内核下执行任意代码。2. 漏洞分析} else if

简介Cydia Substrate是一个很强大的工具，他提供了很便利的方法帮助你去hook so和java中的方法。另外，Cydia Substrate能hook java的方法和构造函数，但是不能hook字段。在本例中，出于学习的目的，我复用了官网的文档中的例子。主要功能是hook了java.net.InetSocketAddress类的构造函数，然后