漏洞挖掘与CVE分析
Omni-Space
专注Android, Mobile Security and AI
展开
-
BINDER SECCTX PATCH ANALYSIS
在2019年初,Binder内核模块中添加了一项新功能。此修补程序允许在Binder事务中发送调用方SElinux上下文。该功能实际上是CVE-2019-2023的修复程序。此漏洞与不正确使用getpidcon函数有关,从而导致ACL绕过。本文研究此修补程序的详细信息及其对安全性的影响。getpidcon ACL绕过关于getpidcon()使用的问题在Android中由来已久。...翻译 2020-03-31 01:22:16 · 720 阅读 · 0 评论 -
android WebView详解,常见漏洞详解和安全源码(上)
这篇博客主要来介绍 WebView 的相关使用方法,常见的几个漏洞,开发中可能遇到的坑和最后解决相应漏洞的源码,以及针对该源码的解析。 由于博客内容长度,这次将分为上下两篇,上篇详解 WebView 的使用,下篇讲述 WebView 的漏洞和坑,以及修复源码的解析。 下篇:android WebView详解,常见漏洞详解和安全源码(下) 转载请注明出处:http://blog.csdn...转载 2018-03-20 15:56:54 · 392 阅读 · 0 评论 -
Android“应用克隆”漏洞分析
一、这个漏洞的特征二、这个漏洞的攻击流程三、这个漏洞的攻击原理该漏洞主要利用了Android系统WebView控件的同源策略漏洞来进行攻击,Android应用内部分可导出的Activity组件中,WebView允许通过file url对http域进行访问,并且并未对file域的路径进行严格校验所导致的。该漏洞会打破Android应用的沙箱转载 2018-02-05 17:21:20 · 589 阅读 · 0 评论 -
绕过安卓SSL验证证书的四种方式
在此之前,移动端应用程序会直接忽略掉所有的SSL错误,并允许攻击者拦截和修改自己的通信流量。但是现在,很多热门应用程序至少会检查证书链是否是一个有效可信任的证书机构(CA)颁发的。作为一名渗透测试人员来说,我们常常需要让目标应用程序信任我们的证书是有效的,这样我们就可以进行中间人攻击(MITM)并修改其流量了。在这篇文章中,我们将给大家介绍四种绕过Android SSL验证的方式。转载 2018-02-04 01:11:20 · 20063 阅读 · 0 评论 -
经验分享 | 通过adbd配置漏洞在安卓设备上提升权限
近日,Android上的一个本地提权漏洞已被确认,该漏洞可通过设备上运行的Android Debug Bridge Daemon(adbd)被利用。如果一个安卓设备被发现正在运行于TCP端口监听的adbd,那么设备上运行的恶意程序就可以进行连接和身份验证,从而实现提权。该漏洞影响版本为Android 4.2.2到Android 8.0,编号为CVE-2017-13212。利用这种错误配置可转载 2018-02-04 01:10:07 · 2427 阅读 · 1 评论 -
CVE-2017-8890漏洞分析与利用(Root Android 7.x)
漏洞简介cve.mitre.org 网站给出的信息如下:The inet_csk_clone_lock function in net/ipv4/inet_connection_sock.c in the Linux kernel through 4.10.15 allows attackers to cause a denial of service (double free转载 2018-02-04 01:09:38 · 2818 阅读 · 0 评论 -
挖洞经验 | 看我如何发现“小火车托马斯”智能玩具APP聊天应用漏洞
最近,我向智能玩具厂商ToyTalk提交了两个APP相关的漏洞并获得了$1750美金奖励,目前,漏洞已被成功修复,在此我打算公开详细的漏洞发现过程,以便其他APP开发人员将这种脆弱性威胁纳入开发过程的安全性考虑范围。漏洞发现背景ToyTalk是一家由皮克斯前高管创建的人工智能玩具初创公司,它们设计的智能玩具具备视觉跟踪、语音识别和网络扩展功能,能让儿童通过APP与玩具之间进行语音交转载 2018-02-04 01:08:34 · 1473 阅读 · 0 评论 -
安天移动安全发布“大脏牛”漏洞分析报告(CVE-2017-1000405)
一、背景简介 脏牛漏洞(CVE-2016–5195)是公开后影响范围最广和最深的漏洞之一,这十年来的每一个Linux版本,包括Android、桌面版和服务器版都受到其影响。恶意攻击者通过该漏洞可以轻易地绕过常用的漏洞防御方法,对几百万的用户进行攻击。尽管已针对该漏洞进行了补丁修复,但国外安全公司Bindecy对该补丁和内容做出深入研究后发现,脏牛漏洞的修复补丁仍存在缺陷,由此产生了“大脏牛”转载 2017-12-30 07:15:07 · 1164 阅读 · 0 评论 -
android WebView详解,常见漏洞详解和安全源码(下)
上篇博客主要分析了 WebView 的详细使用,这篇来分析 WebView 的常见漏洞和使用的坑。 上篇:android WebView详解,常见漏洞详解和安全源码(上) 转载请注明出处:http://blog.csdn.net/self_study/article/details/55046348 对技术感兴趣的同鞋加群 544645972 一起交流。WebView 常见漏洞 We...转载 2018-03-20 15:58:00 · 478 阅读 · 0 评论 -
Android:你不知道的 WebView 使用漏洞
前言现在很多App里都内置了Web网页(Hyprid App),比如说很多电商平台,淘宝、京东、聚划算等等,如下图上述功能是由 Android的WebView 实现的,但是 WebView 使用过程中存在许多漏洞,容易造成用户数据泄露等等危险,而很多人往往会忽视这个问题今天我将全面介绍 Android WebView的使用漏洞 及其修复方式阅读本文前请先阅读: Android开发:最全面、最易懂的...转载 2018-03-21 14:08:49 · 351 阅读 · 0 评论 -
CVE-2015-3636(pingpong root) android内核 UAF漏洞分析
前言去年差不多这个时候就计划把这个漏洞给分析了,由于android没有经常搞,所以踩了很多坑,中间一度因为各种原因停滞放弃,最近遇到一个事情让我下定决心把它了结,也算是解决一个心病。过程会写详细一点,给和我一样的初学朋友提供点帮助。这个漏洞keen在blackhat上讲过[8],是一个很经典的android内核漏洞,也是第一个64bit root,还是很有学习价值的。分析android内核的漏...转载 2018-08-09 07:11:46 · 1440 阅读 · 1 评论 -
链表游戏:CVE-2017-10661之完全利用
原文来自安全客,作者:huahuaisadog@360 Vulpecker Team原文链接:https://www.anquanke.com/post/id/129468最近在整理自己以前写的一些Android内核漏洞利用的代码,发现了一些新的思路。CVE-2017-10661的利用是去年CORE TEAM在hitcon上分享过的:https://hitcon.org/2017/CMT/slid...转载 2018-05-29 03:34:58 · 861 阅读 · 0 评论 -
Automatic Exploit Generation:漏洞利用自动化
漏洞利用是二进制安全的核心内容之一。当安全研究员挖掘到一个新的漏洞时,首先要做的事情就是尝试写POC和exploit。所谓POC,一般来说就是一个能够让程序崩溃的输入,且能够证明控制寄存器或者其他违反安全规则的行为。Exploit则条件更严格一些,是对漏洞的完整利用,通常以弹出一个shell作为目标。 从程序到漏洞再到利用,这个过程需要对二进制程序(或者加上源代码)及其运行...转载 2018-05-09 08:08:34 · 4579 阅读 · 0 评论 -
Deep Exploit:结合机器学习的全自动渗透测试工具
Deep Exploit是一款可与Metasploit链接使用,且结合机器学习的全自动渗透测试工具。Deep Exploit有两种模式:智能模式(Intelligence mode)Deep Exploit可以识别目标服务器上所有打开端口的状态,并根据过去的经验(即训练结果)精确地执行漏洞利用。爆破模式(Brute force mode)Deep Exploit会对应于用户指定的产品名称和端口号,...转载 2018-04-18 15:13:17 · 2698 阅读 · 0 评论 -
将一个指针 free 两次之后会发生什么?
0x00 简介在入门 c 语言时我们都知道一个常识:通过 malloc() 动态申请的内存在使用完之后需要通过 free() 释放;那么如果因为程序设计不当,导致这块堆内存释放之后,再释放一次会发生什么呢?看起来这个操作似乎很愚蠢,但是 double free 的确是现代软件中十分常见的一种二进制漏洞。我将通过一个例子来说明 double free 可能造成的危害。这个例子是曾经的一道 0ctf ...转载 2018-04-18 14:58:22 · 7812 阅读 · 0 评论 -
Double Free浅析(泄露堆地址的一种方法)
Double Free其实就是同一个指针free两次。虽然一般把它叫做double free。其实只要是free一个指向堆内存的指针都有可能产生可以利用的漏洞。double free的原理其实和堆溢出的原理差不多,都是通过unlink这个双向链表删除的宏来利用的。只是double free需要由自己来伪造整个chunk并且欺骗操作系统所以好像和普通的堆溢出伪造chunk然后free触发unlink...转载 2018-04-18 14:56:12 · 7278 阅读 · 0 评论 -
Android BlueBorne (CVE-2017-0781)漏洞分析和利用
导语:几天前,Armis公司发布了一个通过蓝牙攻击Android系统的远程代码执行安全漏洞(CVE-2017-0781)的PoC,这个漏洞也叫做BlueBorne。尽管BlueBorne是一组8个漏洞的集合,但是这个PoC只用了其中的2个来实现攻击目的。几天前,Armis公司发布了一个通过蓝牙攻击Android系统的远程代码执行安全漏洞(CVE-2017-0781)的PoC,这个漏洞也叫做Blue...转载 2018-04-18 14:52:51 · 2128 阅读 · 0 评论 -
Strengths and Weaknesses of LLVM's SafeStack Buffer Overflow Protection
IntroductionIn June 2015, a new memory corruption exploit mitigation named SafeStack was merged into the llvm development branch by Peter Collingbourne from Google and will be available with the upcom...转载 2018-03-28 15:30:00 · 421 阅读 · 0 评论 -
安天移动安全:Janus高危漏洞深度分析
一、背景介绍 近日,Android平台被爆出“核弹级”漏洞Janus(CVE-2017-13156),该漏洞允许攻击者任意修改Android应用中的代码,而不会影响其签名。 众所周知,Android具有签名机制。正常情况下,开发者发布了一个应用,该应用一定需要开发者使用他的私钥对其进行签名。恶意攻击者如果尝试修改了这个应用中的任何一个文件(包括代码和资源等),那么他就必须对APK进行重新签名转载 2017-12-30 07:10:26 · 1100 阅读 · 0 评论 -
CVE-2016-10229分析
漏洞描述Linux kernel是美国Linux基金会发布的操作系统Linux所使用的内核。Linux kernel 4.5之前的版本中的udp.c文件存在安全漏洞,Linux内核中的udp.c允许远程攻击者通过UDP流量执行任意代码,这些流量会在执行具有MSG_PEEK标志的recv系统调用时触发不安全的第二次校验和计算,远程攻击者可精心构造数据执行任意代码,进一步导致本地提权,属于高危漏洞转载 2018-01-21 13:26:33 · 1193 阅读 · 1 评论 -
QSEE privilege escalation vulnerability and exploit (CVE-2015-6639)
In this blog post we'll discover and exploit a vulnerability which will allow us to gain code execution within Qualcomm's Secure Execution Environment (QSEE). I've responsibly disclosed this vulnera转载 2017-09-28 04:59:14 · 1038 阅读 · 0 评论 -
CVE-2015-8966/AndroidID-31435731
标 题: 【原创】CVE-2015-8966/AndroidID-31435731作 者: ThomasKing时 间: 2016-12-13,23:23:02链 接: http://bbs.pediy.com/showthread.php?t=214585## 0x0 前言这个漏洞大概是在去年11月中旬无意在内核源码中发现的,原理十分简单(看起来非常像一个后门...)转载 2016-12-19 08:41:42 · 883 阅读 · 0 评论 -
BLE 安全之虫洞攻击
注:本文为“小米安全中心”原创,转载请联系“小米安全中心”上期回顾:跨站读取数据小结0x00 前言所谓『虫洞』,在天体物理中是通过扭曲空间,连接宇宙遥远区域间的一个隧道,通过穿越这个隧道可以完成『时空穿越』。其实我并不懂天体物理,这些是我 Google 来的。在 BLE 安全中,有一种攻击近似于『虫洞』,可以在一瞬间让相隔万里的两个设备完成亲密接触。这种攻击手法在 blackh转载 2016-12-16 09:20:24 · 2442 阅读 · 0 评论 -
OpenSSL X509 Certificate反序列化漏洞(CVE-2015-3825)成因分析
一、序序列化 (Serialization),是将对象的状态信息转换为可以存储或传输的形式的过程。在序列化期间,对象将其当前状态写入到临时或持久性存储区。使用者可以通过从存储区中读取或反序列化对象的状态,重新创建该对象。Android也有许多场景使用序列化进行数据传递,如App间/内的对象传递、Binder通信的数据传递等等,一般涉及跨进程、跨权限。序列化/反序列也是程序/接口的一个输入,存储转载 2016-10-05 15:39:02 · 2369 阅读 · 0 评论 -
CVE-2014-7911 Android本地提权漏洞分析与利用
概述前面我们了解了Android Binder机制的基本原理,当然仅仅了解是不够的,我们要做到:Know it and hack it。这篇文章我们就来分析一个和Binder相关的漏洞:CVE-2014-7911。这是由Jann Horn发现的一个Android本地提权漏洞,能够使普通应用的权限提升到System权限,影响Android5.0以下版本。这个漏洞是非常值得Android安全研转载 2016-10-05 15:36:16 · 5797 阅读 · 0 评论 -
Kernel Vulnerabilities in the Samsung S4
Multiple kernel vulnerabilities in the Samsung S4 (GT-I9500)1 - Bugs DescriptionOne year ago, we found some security issues in the Samsung S4 (GT-I9500) version I9500XXUEMK8. After several e转载 2016-03-20 09:26:21 · 483 阅读 · 0 评论 -
cve-2015-0569 安卓手机提权ROOT漏洞 分析
测试机器:nexus4 android版本:4.4 内核版本3.4.0 漏洞介绍:函数进行拷贝时没有对长度进行判断,导致用户可以修改内核栈中值。漏洞利用:通过修改函数返回地址,来进行提权操作1,首先找到官方的修补代码修补代码地址:https://www.codeaurora.org/cgit/quic/la/platform/vendor/qcom-openso转载 2016-03-20 09:20:13 · 3430 阅读 · 0 评论 -
CVE-2014-3153笔记
CVE-2014-3153可以说是相当经典的漏洞,影响范围相当广泛。这实际上是一个Linux内核的Use-After-Free漏洞,利用得当可以转化为任意内核地址写入。Geohot的TowelRoot也利用了这个漏洞,在当时(以及现在)能够Root(或Crash)绝大多数Android设备。由于工作的需要,收集了该漏洞的一些资料,并且对漏洞原理和利用方法进行了一些学习和分析。参考资料转载 2016-03-19 16:49:52 · 3416 阅读 · 0 评论 -
Double Free浅析
最近在研究一些堆上面的漏洞。然后某一天骑自行车在路上跑的时候我突然悟出了Double Free的真谛。 2333好像太中二了一点,我是根据堆溢出的利用方法启发,再结合linux中libc的源码。研究出了double free的利用方法。虽然有关double free的利用技巧已经不是一个秘密。不过好像很少有相关的中文的介绍,所以以一个初学者的角度来讲解一下double free漏洞的利用方法。 如转载 2016-03-29 15:20:58 · 5525 阅读 · 2 评论 -
Google Project Zero挖洞经验整理
1. 目标:漏洞挖掘越来越难2. 关注客户端,包括安卓,IOS,WINDOWS操作系统,PDF,DOC,AV等等;各种OSS开源代码安全,并且开放了OSS-FUZZ工具;3. 漏洞削减技术来帮助Google的技术提升,包括彻底修复一类漏洞、彻底修复这个漏洞,此种漏洞的攻击面、增加这个漏洞利用的阶段性必须使用组合技术绕过;4. 漏洞挖掘方法:Fuzzing、优秀的漏洞挖掘者想转载 2017-01-19 03:08:44 · 2942 阅读 · 0 评论 -
科普 | 你必须了解的漏洞利用缓解及对抗技术
随着软件系统越来越复杂,软件漏洞变得无法避免。业界逐渐推出了让漏洞无法利用或利用难度提高的方法,简称漏洞缓解技术。我们简单介绍下Android和iOS中广泛使用的一些漏洞缓解及可能的绕过技术。当然这里也包含一些相关联的安全限制,而非真正意义的缓解技术。缓解及绕过技术点User Permissions每个app有自己uid,selinux_context,转载 2017-04-24 16:23:38 · 4693 阅读 · 0 评论 -
War of the Worlds - Hijacking the Linux Kernel from QSEE
After seeing a full QSEE vulnerability and exploit in the previous blog post, I thought it might be nice to see some QSEE shellcode in action.As we've previously discussed, QSEE is extremely pri转载 2017-09-28 04:57:13 · 567 阅读 · 0 评论 -
TrustZone Kernel Privilege Escalation (CVE-2016-2431)
In this blog post we'll continue our journey from zero permissions to code execution in the TrustZone kernel. Having previously elevated our privileges to QSEE, we are left with the task of exploiti转载 2017-09-28 04:55:33 · 819 阅读 · 0 评论 -
Extracting Qualcomm's KeyMaster Keys - Breaking Android Full Disk Encryption
After covering a TrustZone kernel vulnerability and exploit in the previous blog post, I thought this time it might be interesting to explore some of the implications of code-execution within the Tr转载 2017-09-28 04:52:54 · 2010 阅读 · 0 评论 -
Full TrustZone exploit for MSM8974
In this blog post, we'll cover the complete process of exploiting the TrustZone vulnerability described in the previous post. If you haven't read it already, please do! Responsible Disclosure转载 2017-09-28 04:47:54 · 989 阅读 · 0 评论 -
如何通过数据包套接字攻击Linux内核
一、前言最近我花了一些时间使用syzkaller工具对Linux内核中与网络有关的接口进行了模糊测试(fuzz)。除了最近发现的DCCP套接字漏洞之外,我还发现了另一个漏洞,该漏洞位于数据包套接字(packet sockets)中。在这篇文章中,我会向大家介绍这个漏洞的发现过程,以及我们如何利用这个漏洞来提升权限。该漏洞本身(CVE-2017-7308)是一个符号类型漏转载 2017-08-11 13:41:42 · 2516 阅读 · 0 评论 -
Android libcutils库中整数溢出导致的堆破坏漏洞的发现与利用
作者:龚广(@oldfresher)阅读本文之前,您最好理解Android中的Binder机制、用于图形系统的BufferQueue原理、堆管理器je_malloc的基本原理。此文介绍了如何利用libcutils库中的堆破坏漏洞获得system_server权限,此漏洞是研究Android图形子系统时发现的,对应的CVE号为CVE-2015-1474和CVE-2015-1528。转载 2017-05-19 16:41:42 · 995 阅读 · 0 评论 -
PWN2OWN 2017 Linux 内核提权漏洞分析
0.前言在2017年PWN2OWN大赛中,长亭安全研究实验室(Chaitin Security Research Lab)成功演示了Ubuntu 16.10 Desktop的本地提权。本次攻击主要利用了linux内核IPSEC框架(自linux2.6开始支持)中的一个内存越界漏洞,CVE编号为CVE-2017-7184。众所周知,Linux的应用范围甚广,我们经常使用的Androi转载 2017-05-17 16:43:18 · 2391 阅读 · 0 评论 -
Blind Return Oriented Programming (BROP) Attack - 攻击原理
0x00 写在前面第一次在WooYun发文章,不知道是否符合众客官口味,望轻拍。这篇文章翻译至我的这篇博客,主要介绍了一种叫做BROP的攻击,该文章主要介绍原理部分,对该攻击的重现可以参看我的另外一篇博客。BROP攻击基于一篇发表在Oakland 2014的论文Hacking Blind,作者是来自Standford的Andrea Bittau,以下是相关paper和slide的链转载 2016-03-29 15:11:59 · 4687 阅读 · 0 评论