Android Root方法原理解析及Hook(三) FrameworkListener漏洞

最新推荐文章于 2022-09-23 16:05:50 发布
最新推荐文章于 2022-09-23 16:05:50 发布
阅读量3w 收藏 11
点赞数
分类专栏: Android 文章标签: hook android buffer command cmd patch
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jackaduma/article/details/7287926
版权

Vold进程(root权限)在启动时会有一个CommandListener对象启动startListener线程,其继承自FrameworkListenr,

存在漏洞的函数为FrameworkListener::dispatchCommand(),其中的局部变量argv为固定大小的指针数组,当输入参数的数量超过其大小时,会越界写入栈中。

恶意程序可据此将恶意指令写入,由root权限的vold进程执行构造的有效shellcode

 

ZergRush的攻击原理:

       根据栈溢出的信息(vold进程崩溃时的调试信息会打印至logcat),构造有效的shellcode,发送给vold,这样shellcode在vold进程将以root权限执行,通过system调用运行该程序的脚本/data/local/tmp/boomsh(root权限执行),其主要做了两件事情:

1.   将/data/local/tmp/sh的属性设置为04711, S位被置位

2.   设置系统的ro.kernel.qemu属性为1,即将手机当成模拟器

这样,杀掉adb进程,init进程重启adb时,会去判断系统属性ro.kernel.qemu,若为模拟器,则adb不降权,得到root权限的adbd进程

 

Androidfixed patch:

在/system/core/libsysutils/src/FrameworkListener.cpp中的

1.    函数onDataAvailable()对read(c->getSocket(), buffer,sizeof(buffer))加了个

TEMP_FAILURE_RETRY宏的判断

#define TEMP_FAILURE_RETRY(exp) ({         \
    typeof (exp) _rc;                      \
    do {                                   \
        _rc = (exp);                       \
    } while (_rc == -1 && errno == EINTR); \
    _rc; })
#endif

2.      函数dispatchCommand()在给局部变量argv传值时候,对长度进行判断,若超过limit,则跳转退出。


Myhook code:

loglogcat

 

#include <cutils/log.h>
#define LOG_TAG “FrameworkListener Hooker”

void FrameworkListener::dispatchCommand(SocketClient *cli, char *data) {
	…
	char *argv[FrameworkListener::CMD_ARGS_MAX];   //
	char tmp[255];
	char *p = data;
	char *q = tmp;
	char *qlimit = tmp + sizeof(tmp) - 1;
	…
	…
			if (q >= qlimit){
				LOGE(“unexpected overflow ”); //
				goto overflow;
			}
	…
	…
	if (argc >= CMD_ARGS_MAX){
		LOGE(“unexpected overflow ”);
		goto overflow;
	}
	argv[argc++] = strdup(tmp);  //zergRush 攻击的就是这个点,之前并未加判断
	…
	…

overflow:
	cli->sendMsg(500, "Command too long", false);
	goto out;
}





巧克力工厂的查理
关注
  • 0
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Android Inline Hook原理
08-13
Android Inline Hook原理
Android SocketListenerFrameworkListener 分析
SHK242673的专栏
11-26 4510
1. xxx.rc 中使用 /dev/socket/xxx logd.rc 中 有 "socket logd stream 0666 logd logd" 以及 "socket logdr seqpacket 0666 logd logd" 这样的写法,实际会将logd 服务 与"/dev/socket/logd" "dev/socket/logdr" socket节点进行绑定 ​/system/core/logd/logd.rc service logd /system/bin/logd ..
Android Framework 记录之一
xiaoheliushuiya
06-04 1113
简介 之前的研究太偏向应用层功能实现了,很多原理不了解没有深究,现在研究framework框架层了。 记录 1、下载源码,目录如下: 2、Android系统的层次如下: 3、项目目录简单分析如下: 4、telphony目录 文件 描述 CellIdentityCdma //描述电信通信标识 CellIdentityGsm...
android检测运行设备(模拟器or真机)
weixin_36719211的博客
12-02 5288
模拟器和真实的设备存在许多差异,我们可以使用命令“adb shell getprop”查看属性值,并做对比。经过对比发现,有如下几个属性值可以用来判断软件是否运行在模拟器中: ro.product.model:该值在模拟器中为sdk,通常在正常手机中它的值为手机的型号。 ro.build.tags:该值在模拟器中为test-keys,通常在正常手机中它的值为release-keys。 ro.
Android网络框架情景分析之NetworkManagementService和Netd交互深入分析一
IT先森
08-05 5164
Android以太网框架情景分析之NetworkManagementService和netd交互深入分析 前言   在前面的篇章Android以太网框架情景分析之启动简介和Android以太网框架情景分析之NetworkFactory与NetworkAgent深入分析我们介绍了以太网的启动,NetworkFactory与NetworkAgent的注网以及关联。还记得我们最开始的关于以太网相关的时序图吗!其中涉及到了监听以太网状态变化的譬如网线的插拔,以太网络状态的变化等,这个就涉及到NetworkM
基于Android系统免Root主防方法的研究
01-20
Root授权下Android手机安全应用防护效果不理想的一系列问题,研究了 ART 运行时工作原理、Java 反射机制和 AOP 原理,设计验证了一套免Root主动防御机制,避免了传统防护应用在系统内核层Hook系统关键函数需要Root...
无需Root也能Hook?——Depoxsed框架演示
02-20
本文作者介绍并演示了无需Root也能Hook的Alibaba开源框架Depoxsed方案。之前我们介绍过rovo89在GitHub上的Xposed框架,也介绍了如何使用Xposed框架进行登录劫持和广告注入。但是,之后很多朋友都在问我,这个Xposed...
代码实例分析android中inline hook
08-28
Android 中的 Inline Hook 技术详解 Android 中的 Inline Hook 技术是指在 Android 操作系统中,使用 Hook 技术来拦截和修改应用程序的行为。Inline Hook 是一种常用的 Hook 技术,通过在应用程序的代码中注入一段...
Android上玩玩Hook:CydiaSubstrate实战
02-26
摘要:Hook的出现为开发者希望通过一个程序改变其他程序的某些行为的想法开拓了解决道路,而作为一款基于Hook的代码修改框架,CydiaSubstrate可以修改任何主进程的代码,本文作者以广告注入的实战详细介绍了Hook的...
RabbitMQ消息监听异常问题探究
热门推荐
风树种子的专栏
09-09 5万+
问题场景在使用Spring RabbitMQ做消息监听时,如果监听程序处理异常了,且未对异常进行捕获,会一直重复接收消息,然后一直抛异常。为了更好的描述问题,下面写个简单的例子。通过访问null对象来引发空指针异常,消息监听处理程序代码清单:package amqp;import org.springframework.amqp.core.Message; import org.springfram
android网络监听事件机制(kernel, c++, java)
yunjinwang的专栏
10-15 6449
里面的理解可能有不正确的或不全面的地方,如有疑问可以发邮件给我:wyj0617mail@aliyun.com  在android上层应用中,有可以监听网络状态的listener功能,这个功能是监听网络的断开与变化事件的,前些日子花了些时间,研究了下这个事件的整体流程,希望通过这个机制的研究,能帮助以后增加其它事件监听。 我们先看下android的网络监听,它是用BroadcastReceive
android bluetooth分析
xiaofengcanyue2013的专栏
06-13 2137
allwinner4.0.4: SystemServer.java: if (SystemProperties.get("ro.kernel.qemu").equals("1") || SystemProperties.get("ro.bluetooth.disable").equals("1")) {
SpringFramework事件与监听机制(事件)
yyb_gz的专栏
08-23 282
SpringBoot版本:2.0.2.RELEASE SpringFramework版本:5.0.6.RELEASE 文章目录SpringFramework事件与监听机制SpringFramework的事件SpringFramework与SpringBoot的事件关系类定义层面的关系发布事件的时机 SpringFramework事件与监听机制 SpringFramework的事件 随着SpringBoot工程的启动,程序会历经以下代码段: SpringApplication.run(XXXX.class,a
Android 4.1 Netd详细分析(五)代码分析3
Hi~ xiaokeweng
11-13 6193
个人邮箱:xiaokeweng@gmail.com         上一篇我们按照函数的调用流程,完成了由NetlinkManager,NetlinkHandler,NetlinkListener,SocketListener组成的,从kernel到framework的单项消息通路。主要是通过内部的socket实现的通信。通过设置socket监听过滤属性,来接收kernel发出的event,(其
Android 4.1 Netd详细分析(六)DnsProxyListener
Hi~ xiaokeweng
11-14 1万+
个人邮箱:xiaokeweng@gmail.com       在前面的几篇中我们从 main 函数入手,主要分析了 CommandListener + Netlinkmanager 两部分共同组成的可实现与 Kernel 层、Framework 层通信,并完成一套完整的功能系统。并且在文中提及到另外两个部分,DnsProxyListener 和 MDnsSdListener。顾名思义两者都是与
Android修改源码实现root
Android framework
09-23 284
Android修改源码实现root
android 9.0user版本如何开启root,打开su
Framework-coder的博客
06-23 1万+
在默认情况下,adbd是以uid root的权限启动的。不过它确实还会通过函数drop_privileges()主动把自己降到uid shell : shell,如下: # /system/core/adb/daemon/main.cpp static void drop_privileges(int server_port) { ScopedMinijail jail(minijail_new()); // Add extra groups: // AID_ADB to acc
android hook静态方法
最新发布
03-28
Android系统中,Hook静态方法通常指的是**通过某种手段拦截并修改静态方法的行为**。以下是Hook静态方法的一般步骤: 1. **寻找Hook点**:选择Hook的点通常是静态变量或者单例对象,因为这些一旦创建就不容易变化...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值