Vold进程(root权限)在启动时会有一个CommandListener对象启动startListener线程,其继承自FrameworkListenr,
存在漏洞的函数为FrameworkListener::dispatchCommand(),其中的局部变量argv为固定大小的指针数组,当输入参数的数量超过其大小时,会越界写入栈中。
恶意程序可据此将恶意指令写入,由root权限的vold进程执行构造的有效shellcode
ZergRush的攻击原理:
根据栈溢出的信息(vold进程崩溃时的调试信息会打印至logcat),构造有效的shellcode,发送给vold,这样shellcode在vold进程将以root权限执行,通过system调用运行该程序的脚本/data/local/tmp/boomsh(root权限执行),其主要做了两件事情:
1. 将/data/local/tmp/sh的属性设置为04711, S位被置位
2. 设置系统的ro.kernel.qemu属性为1,即将手机当成模拟器
这样,杀掉adb进程,init进程重启adb时,会去判断系统属性ro.kernel.qemu,若为模拟器,则adb不降权,得到root权限的adbd进程
Androidfixed patch:
在/system/core/libsysutils/src/FrameworkListener.cpp中的
1. 函数onDataAvailable()对read(c->getSocket(), buffer,sizeof(buffer))加了个
#define TEMP_FAILURE_RETRY(exp) ({ \
typeof (exp) _rc; \
do { \
_rc = (exp); \
} while (_rc == -1 && errno == EINTR); \
_rc; })
#endif
2. 函数dispatchCommand()在给局部变量argv传值时候,对长度进行判断,若超过limit,则跳转退出。
Myhook code:
打log至logcat
#include <cutils/log.h>
#define LOG_TAG “FrameworkListener Hooker”
void FrameworkListener::dispatchCommand(SocketClient *cli, char *data) {
…
char *argv[FrameworkListener::CMD_ARGS_MAX]; //
char tmp[255];
char *p = data;
char *q = tmp;
char *qlimit = tmp + sizeof(tmp) - 1;
…
…
if (q >= qlimit){
LOGE(“unexpected overflow ”); //
goto overflow;
}
…
…
if (argc >= CMD_ARGS_MAX){
LOGE(“unexpected overflow ”);
goto overflow;
}
argv[argc++] = strdup(tmp); //zergRush 攻击的就是这个点,之前并未加判断
…
…
overflow:
cli->sendMsg(500, "Command too long", false);
goto out;
}